최근 공개된 iOS 앱 '루프(Loupe)'가 아이폰 및 아이패드 앱들이 사용자 모르게 접근하고 활용할 수 있는 기기 핑거프린팅(fingerprinting) 정보를 시각적으로 보여주며 개인정보 보호 논란에 불을 지피고 있습니다. 루프는 공개된 iOS API를 통해 실제 기기 값을 읽어 원시 형태로 표시함으로써, 서드파티 앱들이 어떤 정보를 수집하여 사용자를 추적할 수 있는지 투명하게 공개합니다.
루프가 보여주는 정보는 크게 세 가지 접근 비용 단계로 나뉩니다. 첫째, '수동(Passive)' 정보는 지역(locale), 시간대(time zone), 화면(screen), 배터리 상태(battery) 등 사용자 프롬프트 없이 모든 앱에 노출되는 값입니다. 둘째, '권한 필요(Needs Permission)' 정보는 연락처(contacts), 사진(photos), 위치(location), 캘린더(calendars)처럼 iOS 권한 요청을 통해 접근 가능한 값입니다. 마지막으로 '고급(Advanced)' 정보는 `canOpenURL`을 통한 URL 스킴 프로빙(URL-scheme probing)이나 재설치 후에도 남아있는 키체인(Keychain) 영속성 같은 공개 API의 사이드채널(sidechannel)을 이용하는 방식입니다. 이러한 다양한 정보들이 조합되면 이름, 이메일, 위치 같은 직접적인 식별자 없이도 앱과 웹사이트를 넘나들며 사용자를 고유하게 식별하는 '핑거프린트'를 형성할 수 있습니다. 루프는 이 정보를 기기 외부로 전송하거나 공유하지 않고 오직 사용자에게 시각적으로 보여주는 데 집중합니다.
이러한 핑거프린팅 기술은 사용자의 명시적인 동의 없이도 추적을 가능하게 하므로 심각한 개인정보 침해 문제를 야기합니다. 특히, '볼륨 생성 날짜(volume creation date)'나 '붙여넣기 버퍼 변경 횟수(Pasteboard changeCount)' 같은 정보는 앱이 왜 그렇게 세밀한 데이터에 접근해야 하는지 의문을 제기합니다. 애플(Apple)은 설치된 앱 목록이 지문 추적에 사용될 수 있어 앱 심사 시 제한을 두지만, 여전히 하나의 앱이 최대 50개 앱의 존재 여부를 확인할 수 있는 것으로 알려져 있습니다. 이는 데이터 브로커들이 수천 개의 앱에서 수집한 정보를 결합하여 개인을 고유하게 식별할 수 있는 강력한 도구가 될 수 있음을 의미합니다. 루프와 같은 도구는 사용자들이 자신의 디지털 발자국을 이해하고, 운영체제와 앱 개발자들이 더욱 강력한 개인정보 보호 조치를 마련하도록 압력을 가하는 중요한 역할을 할 것입니다.