인스타그램이 메시지 종단간 암호화(E2EE) 서비스를 전격 중단하고 틱톡이 도입 불가 방침을 확정하는 등 글로벌 주요 소셜미디어(SNS) 플랫폼들이 사용자 프라이버시 보호 정책에서 잇따라 발을 빼고 있다. 인공지능(AI) 모델 학습을 위한 데이터 확보와 각국 정부의 규제 강화 움직임이 맞물린 결과로 풀이된다.
3일 비엔엑스프레스(VnExpress) 등 현지 언론과 IT 업계에 따르면 미국 메타(Meta)는 낮은 활성화율을 이유로 지난 5월 인스타그램의 종단간 암호화(E2EE) 기능을 전격 삭제했다. 메타는 지난 2021년 선택 적용 기능으로 E2EE를 처음 도입했으나, 사용자가 설정 깊숙한 곳까지 찾아 들어가 직접 활성화해야 하는 불편함 등으로 이용률이 저조했다는 입장이다.
중국계 숏폼 플랫폼 틱톡 역시 다이렉트 메시지(DM) 기능에 E2EE를 도입할 계획이 없음을 공식화했다. 틱톡 미국 법인 대변인은 영국 BBC 방송과의 인터뷰에서 사기 및 괴롭힘 방지 등 플랫폼 내 안전 우려에 대응하고 사용자 프라이버시와의 균형을 맞추기 위해 종단간 암호화를 적용하지 않기로 결정했다고 밝혔다.
메타의 또 다른 메신저인 와츠앱(WhatsApp)은 현재 미국, 호주, 브라질, 인도 등지에서 심각한 사법적 사생활 침해 소송에 휘말린 상태다. 와츠앱은 당초 약속한 보안 서약과 달리 내부 직원 및 제3자가 사용자의 개인 메시지에 접근할 수 있도록 방치했다는 의혹을 받고 있다.
이 같은 와츠앱의 보안 논란에 대해 엑스(X·옛 트위터) 소유주인 일론 머스크와 텔레그램 창립자 파벨 두로프는 와츠앱의 보안 약속을 “세기적인 거짓말”이라며 강도 높게 비난했다. 두로프는 자신의 SNS를 통해 와츠앱의 암호화 매커니즘에서 다수의 보안 취약점이 발견됐다며 빅테크의 보안 가이드라인을 정면으로 반박했다.
보안 전문가들은 인스타그램이 E2EE를 제거함에 따라 메시지 전송 방식이 표준 전송 암호화(TLS/HTTPS) 단계로 회귀했다고 지적했다. 이 매커니즘 하에서는 메시지가 메타의 서버를 통과할 때 일반 텍스트 형태로 존재하게 되어 회사 시스템이 그 내용을 고스란히 읽을 수 있게 된다. 비유하자면 편지봉투에 풀을 바르지 않고 편지를 보내는 격이어서, 우체부(메신저 서버)나 서비스 제공업체가 사용자의 취향, 습관, 관심사 등 모든 프로필 데이터를 수집해 광고 회사에 매각하거나 자체 인공지능 학습용 파이프라인에 주입할 위험이 커진다.
이러한 행보는 지난 2019년 마크 저커버그 메타 최고경영자(CEO)가 개발자 콘퍼런스에서 “미래는 프라이버시 중심이 될 것”이라며 와츠앱, 메신저, 인스타그램을 아우르는 강력한 암호화 플랫폼 구축을 공언했던 지침을 7년 만에 스스로 뒤집은 것이다.
빅테크 기업들이 프라이버시 보호 정책에서 급선회한 배경에는 두 가지 결정적인 원인이 존재한다. 첫째는 갈수록 치열해지는 AI 개발 전쟁이다. 메타는 이미 유럽 등지에서 약관 시방서의 모호한 문구를 활용해 암호화되지 않은 사용자 게시물과 이미지, 메시지 데이터를 거대언어모델(LLM)인 ‘라마(Llama)’의 기계 학습에 활용해 오다 유럽 인권단체의 거센 반발을 샀다.
둘째는 각국 정부의 규제 수위가 높아졌기 때문이다. 미국의 경우 유해 콘텐츠를 48시간 이내에 삭제하도록 의무화하는 법안이 추진되면서, 불법 콘텐츠 유통을 상시 검사하기 위해 기업들이 E2EE 도입을 의무적으로 기피하는 명분 가이드라인이 형성됐다. 틱톡의 이 같은 방침 역시 영국의 인터넷감시재단(IWF) 등 규제 당국의 지지를 받고 있다.
베트남의 유명 화이트해커이자 사이버 보안 전문가인 응오 민 히에우(Ngo Minh Hieu)는 대형 플랫폼의 E2EE 폐지 추세에 대해 심각한 경고를 보냈다. 히에우 전문가는 “이제 인스타그램이나 틱톡 같은 서비스는 비밀번호, 금융 OTP 인증코드, 개인 서류, 민감한 개인 정보 등을 공유하기에 절대 부적합한 채널로 분류해야 한다”라며 “중요한 대화는 종단간 암호화가 기본 지침으로 탑재되고 사법적 독립 감사를 거친 투명한 전문 메신저 앱을 선택해야 한다”라고 제언했다.
또한 전문가들은 E2EE가 적용된 메신저라 하더라도 대화 상대방, 메시지 전송 시간, 기기 정보, IP 주소, 연락처 목록 등 핵심 ‘메타데이터’는 여전히 서버에 기록되어 마케팅이나 사법당국의 영장 집행 파이프라인으로 흘러 들어갈 수 있는 만큼, 사용자 스스로가 개인정보 보호에 대한 방어벽을 높여야 한다고 강조했다.
