WSJ에 따르면 틱톡은 휴대폰 수백만 대에서 구글 안드로이드 운영체제(OS) 기반의 앱을 통해 사용자 고유식별번호인 ‘맥(MAC) 주소’를 수집해왔다. 맥 주소는 핸드폰을 포함한 모든 인터넷 사용 기기에 부여되는 12자리 고유 번호로 재설정하거나 변경할 수 없어 광고 기반 앱에 유용하게 활용된다. 구글은 앱을 이용해 사용자를 추적하는 것을 제한하고 있지만, 틱톡은 이런 규정을 어겼다.
WSJ는 2018년부터 올해 1월까지 구글 플레이스토어에 출시된 9개 버전의 틱톡을 설치해본 결과 맥 주소를 비롯한 개인 정보들이 모기업인 바이트댄스로 전송되는 것을 확인했다고 전했다. 특히 틱톡은 서비스 약관에 이용자가 동의하지 않더라도 휴대전화에 앱을 설치하면 유출되도록 했다. 모바일 앱 분석업체 앱센서스의 공동창립자인 조엘 리어든 캘거리대 조교수는 “장기간 사용자 정보를 추적할 수 있는 방식”이라고 설명했다.
틱톡의 맥 주소 수집 관행은 15개월 동안 이어지다가 지난해 11월 중단됐다. 당시는 모회사 바이트가 미국 정부로부터 이용자 자료수집 문제를 놓고 압박을 받던 때였다.
애플은 2013년 아이폰의 맥 주소 관련 보안을 강화했고, 구글도 2015년 안드로이드 체제의 보안을 강화했다. 하지만 틱톡은 우회 경로를 이용해 안드로이드의 제한을 뚫고 맥 주소를 수집해왔다. 리어든 조교수는 “안드로이드의 이런 허점은 널리 알려진 사실”이라며 “구글에 이런 문제를 지적하는 보고서를 제출했는데 아직도 악용된다는 것은 충격적”이라고 말했다.
틱톡은 “중국 정부와 데이터를 공유하지 않았고 요청이 와도 공유하지 않을 것”이라며 “현재 업데이트된 버전은 맥 주소를 수집하지 않는다”고 해명했다. 구글 대변인은 “WSJ의 의혹 제기를 확인하고 있다”며 자세한 언급을 피했다.
미국 정부는 그동안 틱톡의 이용자 정보가 중국 정부의 손에 넘어가 스파이 행위에 이용될 수 있다고 우려했다. 도널드 트럼프 행정부는 틱톡이 안보 위협 우려를 해소하지 못하면 미국 내에서 사용을 금지할 것이라며 압박해왔다.