美 앱 다운로드 1위 ‘테무’ 운영
악성SW로 계정 등 무차별 접근
월평균 7.5억명 이용 일파만파
한 번 설치되면 제거도 어려워

美 59% “中 SNS기업 신뢰 안해”
정치권 틱톡 금지… 퇴출도 검토

미국 나스닥에 상장된 중국 대형 전자상거래 업체 ‘핀둬둬’(PDD홀딩스)의 안드로이드 애플리케이션(앱)에 사용자의 개인정보에 접근할 수 있는 악성 소프트웨어가 탑재됐던 것으로 나타났다. 핀둬둬는 미국 내 앱 다운로드 1위인 온라인 쇼핑몰 ‘테무’도 운영해 중국 측이 미국 내 사용자의 개인정보를 빼갈 수 있다는 우려가 커지고 있다.

CNN은 2일(현지시간) 아시아·유럽·미국 전문가와 핀둬둬의 전·현직 직원들에게 자체 의뢰한 결과 “핀둬둬 앱은 사용자의 휴대전화 보안을 우회해 다른 앱의 활동과 알림을 확인하고, 비공개 메시지를 읽거나 설정을 변경할 수 있다”며 “한 번 설치되면 제거하기 어렵다”고 보도했다.

핀둬둬가 전례 없는 수준의 개인정보 침해를 자행했다는 평가도 제기됐다. 한 전문가는 “접근 불가한 정보에 접근하려 권한을 확대한 (핀둬둬 같은) 앱은 본 적이 없다. 매우 이례적이고 치명적”이라고 말했다.

핀둬둬 앱은 구체적으로 동의 없이 사용자의 위치와 연락처, 캘린더, 사진 앨범, 소셜네트워크(SNS) 계정 등에 접근할 수 있는 것으로 나타났다. 이를 통해 사용자에게 특화된 개인 알림 광고를 보내 상품 구매를 유도하는 마케팅 기법을 썼다. 월평균 7억 5000만명이 이용하는 핀둬둬는 2015년 설립돼 2018년 7월 나스닥에 상장됐고, 현재 중국 온라인 시장 이용자의 4분의3가량을 확보한 초대형 전자상거래 업체다.

핀둬둬의 스파이웨어 문제는 지난달 처음 제기됐고 구글은 곧 ‘플레이스토어’에서 다운로드를 금지했다. 이에 핀둬둬는 3월 초 해당 스파이웨어를 삭제했다. 하지만 CNN은 “스파이웨어를 개발한 직원들이 테무에서 근무 중”이라며 “테무의 글로벌 확장에 그림자를 드리울 위험이 있다”고 짚었다. 테무는 출시 7개월 만인 지난달 미국 앱스토어에서 다운로드 1위를 기록하며 급성장했지만 개인정보 유출 논란에 휩싸일 가능성이 커졌다.

미국 정치권은 중국 정부가 틱톡을 통해 미국 사용자의 정보에 접근할 위험성을 제기하며 행정 기관 내 틱톡 사용을 금지했다. 이어 미국 내 퇴출도 검토 중이다.

핀둬둬가 중국 당국에 고객 데이터를 넘겼다는 증거는 아직 없지만 가능성은 충분하다는 우려가 커진다. 중국은 2021년 개인정보 보호법을 시행하고도 핀둬둬의 스파이웨어를 적발하지 못하는 등 감독에 소홀했다.

이와 관련해 퓨리서치센터가 지난달 31일 공개한 설문에 따르면 미국인의 59%가 틱톡 등 중국 소셜네트워크서비스(SNS) 기업들의 개인보호정책에 대해 ‘전혀 신뢰하지 않는다’고 답했다. 이는 미국 SNS 기업에 대한 응답률(32%)의 거의 2배에 가깝다. 또 미 정부 내 틱톡 금지 조치에 대해 50%가 찬성해 반대(22%)보다 두 배 이상 많았다.