VPN 서비스 업체 서프샤크(Surfshark)의 새로운 조사에 따르면, 사용자의 스마트폰에서 가장 많은 정보를 수집하는 브라우저는 크롬인 것으로 나타났다. 반면 토르(TOR)는 어떠한 데이터도 수집하지 않아 가장 프라이버시 중심적인 브라우저로 평가됐다.

연구 결과를 소개하는 게시물에서 서프샤크는 2025년 미국 내 애플 스마트폰에서 가장 인기 있는 브라우저 앱을 선정하기 위해 시장 분석 툴 앱매직(AppMagic)을 활용해 크롬과 토르를 포함해 10가지 브라우저 앱을 분석했다고 설명했다.

연구팀은 “가장 많은 데이터를 수집하는 브라우저는 크롬으로, 다양한 범주에서 20종의 데이터 유형을 수집한다”라고 말했다. 크롬이 수집하는 데이터에는 연락처 정보, 금융 정보, 위치, 검색 기록, 브라우징 기록, 사용자 콘텐츠, 식별자, 사용 데이터, 진단 정보 등 다양한 데이터가 포함된다. 특히 결제 수단, 카드 번호, 은행 계좌 정보 등의 금융 정보까지 수집하는 브라우저는 크롬이 유일했다.

또한 크롬은 사용자의 스마트폰, 주소록, 소셜 그래프에서 연락처 목록을 수집하는 유일한 브라우저로 나타났다. 연구팀은 “나머지 브라우저는 평균적으로 6종의 데이터 유형만을 수집했다. 이 중 빙이 12종으로 두 번째로 많은 데이터를 수집했으며, 애플의 사파리는 8종을 수집했다”라고 설명했다.

이외에 눈에 띄는 조사 결과는 다음과 같다.

• 조사 대상 브라우저 앱 중 40%가 사용자의 위치 정보를 수집하는 것으로 나타났다. 사파리, 크롬, 오페라는 정확한 위도와 경도가 아닌 낮은 정밀도의 대략적인 위치를 수집하는 반면, 빙은 유일하게 정확한 위치 데이터를 수집하는 것으로 분석됐다. 보고서는 60%의 앱이 위치 정보를 전혀 수집하지 않는다는 점을 언급하며, 브라우저 앱 기능 수행에 사용자 위치 정보 수집이 반드시 필요한 것은 아니라고 강조했다. 연구팀은 “이런 결과는 일부 브라우저가 위치 데이터를 왜 수집하고 어떻게 사용하는지에 대한 우려를 불러일으킨다”라고 지적했다.
• 오페라, 빙, 파이(Pi) 브라우저만이 서드파티 광고를 위한 데이터를 수집하는 것으로 조사됐다.
• 파이 브라우저, 엣지, 빙은 개인 식별을 위한 데이터 추적도 수행하는 것으로 나타났다.
• 연구팀은 덕덕고와 파이어폭스가 데이터 수집 측면에서 비교적 중간 수준에 해당한다고 분석했다. 두 브라우저는 가장 민감한 데이터 수집은 피하고 있지만, 사용자 연락처 정보, 디바이스 ID와 같은 식별자, 사용 데이터, 진단 정보 등은 수집하는 것으로 나타났다. 연구팀은 “프라이버시를 어느 정도 우려하지만 여전히 강력한 브라우징 기능을 원하는 사용자에게 적합한 브라우저”라고 설명했다.
• 2025년 기준 애플 기기에서 크롬과 사파리가 전 세계 시장 점유율의 90%를 차지하는 것으로 조사됐다.

이번 조사 결과에 대한 의견을 묻는 질문에 포레스터 수석 애널리스트 앤드루 콘월은 “프라이버시를 중시한다면 모바일 기기는 결코 좋은 선택이 아니다. 애플과 구글 모두 사용자가 스마트폰과 상호작용하는 과정에서 다양한 정보를 수집한다. 안드로이드 사용자는 상대적으로 저렴한 하드웨어와 소프트웨어를 제공받는 대가로 어느 정도의 정보 수집을 감수하지만, 애플 사용자는 더 높은 수준의 프라이버시를 기대한다. 그러나 애플 역시 사용자가 남기는 디지털 흔적을 추적할 수 있다”라고 말했다.

콘월은 대부분 사용자가 “편의성을 위해 어느 정도 프라이버시를 포기하는 데 동의한다. 사용자는 매번 비밀번호를 직접 입력하는 것을 선호하지 않는다. 온라인 결제 시 크롬이 자동으로 카드 정보를 입력하는 기능을 위해 신용카드 정보를 저장하는 것에 동의할 수도 있다. 또한 많은 사용자가 지메일을 이메일 서비스로 사용한다. 대부분 사용자는 자신에 대한 정보가 얼마나 많이 수집되고 있는지 인지하지 못한다”라고 덧붙였다.

인포테크 리서치 그룹(Info-Tech Research Group)의 리서치 디렉터 사파얏 모하마드는 “모바일 브라우저는 사용자 행동을 관찰할 수 있는 독보적인 위치에 있다. 구글과 마이크로소프트와 같은 기업은 검색어, 방문 사이트, 위치 정보 등의 수집한 데이터를 개인화 서비스 제공, 기능 개선, 그리고 무엇보다 타깃 광고에 활용한다”라고 말했다.

모하마드는 “데이터가 세분화될수록 광고 수익과 제품 충성도 측면에서 더 큰 가치를 가지게 된다. 또한 사용자의 의도를 추론해 비즈니스 의사결정을 유도하는 데도 중요한 역할을 한다”라고 설명했다.

현행 규제의 허점으로 인해 브라우저들이 충분한 감독 없이 데이터를 수집할 수 있는지, 그리고 새로운 법률이 상황을 바꿀 수 있는지에 대한 질문에 모하마드는 “그렇기도 하고 아니기도 하다”라고 답했다. 이어 “최근 혼다와 CPPA 간의 합의 사례가 대표적이다. 규제 당국은 쿠키 동의 방식이 균형을 갖추지 못했다고 판단했다. 사용자는 추적을 수락하거나 거부할 동등한 선택권을 제공받지 못했다”라고 설명했다.

이어 “이번 사례는 더 광범위한 문제를 보여준다. 많은 브라우저가 다크 패턴이나 기만적인 설정을 통해 실질적인 동의 없이 사용자 데이터를 추적한다. GDPR, CCPA와 같은 기존 법률이 중요한 기준을 마련했지만, 여전히 여러 허점이 존재한다. EU 디지털시장법(Digital Markets Act)이나 미국 FTC의 혼다 제재 사례와 같은 규제 기관의 조치는 이런 허점을 보완하고 사용자가 실질적으로 통제할 수 있는 권한을 갖도록 하는 것을 목표로 한다”라고 덧붙였다.

모하마드는 “이 모든 것이 의미하는 바는 사용자에게 명백한 보안 위협이 존재하며, 그 위험이 점점 커지고 있다는 점이다. 브라우저는 로그인 상태를 유지하는 세션 쿠키를 저장하는데, 해커들이 이를 대규모로 탈취하고 있다. 현재까지 약 170억 개가 유출됐다”라고 지적했다.

유출된 세션 쿠키를 통해 공격자는 비밀번호나 심지어 MFA(Multi-factor Authentication)까지 우회해 사용자의 계정에 몰래 침투할 수 있다. 모하마드는 “악성코드, 악성 확장 프로그램, 피싱 링크 등이 모두 침입 경로가 될 수 있다. 사용자는 2FA으로 안전하다고 생각할 수 있지만, 브라우저가 침해되면 모든 보안 방어 체계가 무너진다”라고 경고했다.

콘월은 브라우저를 통한 개인 데이터 수집 문제와 관련해 “기술적인 완벽한 해결책은 없고 일부 완화 방법만 존재한다. 쿠키 삭제, 위치 정보 비활성화, 기기의 위치 및 광고 ID 갱신 등이 도움이 될 수 있지만, 애플과 구글은 여전히 사용자의 디바이스 ID를 알고 있다”라고 설명했다.

이어 “일부 국가와 지역에서는 사용자 프라이버시 권리를 보호하기 위해 강력한 데이터 보호 법률이 제정됐고, 이를 집행하기 위한 재정적 벌칙도 마련됐다. 그러나 글로벌 기업은 국가마다 다른 법률 체계의 빈틈을 이용해 책임을 회피할 수 있다”라고 덧붙였다.
dl-itworldkorea@foundryco.com