원본 게시물은 TikTok 뉴스룸에 게시되었습니다.

당사는 TikTok 플랫폼에 대한 적법한 검토를 환영합니다. 또한 차세대 사이버 위협을 예방하기 위해 계속해서 플랫폼 보안을 강화하며 업계를 선도하는 최고의 전문가와 협업하여 플랫폼 보안을 테스트합니다. 그러므로 당사는 HackerOne과 같은 업계 리더와 협력하며, 여러분께서 소스 코드 및 TikTok 애플리케이션 알고리즘 작동 방식에 대해 알 수 있도록 글로벌 투명성 및 책임 센터를 개설했습니다.

지난 2월 13일, 미국과 호주의 합작 사이버 보안 회사를 자칭하는 Internet 2.0의 Malcore 팀은 최소한 오해의 소지가 있으며, 최악으로는 매우 심각한 결함이 존재하고 편향된 업계 분석 보고서를 게시했습니다. 보고서에 따르면 Malcore는 파일 및 프로그램을 스캔하고 맬웨어를 감지하며 위험을 평가하도록 설계된 자동화된 분석 도구입니다. Malcore 팀에서 스스로도 인정했듯, 해당 도구를 사용하여 수행한 분석은 결론에 이르지 못했으며 자세한 소스 코드 검토도 포함하지 않았습니다. 보고서 결과에는 발견의 타당성에 의심이 갈 정도로 부정확한 내용이 많았습니다.

당사는 이 분석에 대응하여 당사 연구자와 Malcore의 결론에 대해 기술적 분석을 수행했으며 TikTok에서 발견한 사실은 아래와 같습니다.

당사의 데이터 수집 관행

• TikTok에서는 사용자 디바이스의 IMEI, SIM 시리얼 번호 또는 통합 IC 카드 식별자 번호를 수집하지 않습니다. 현재 버전의 TikTok 앱은 MAC 주소를 활용하지 않습니다. 당사에서는 사용자에게 중요한 보안 업데이트가 포함되어 있는 최신 버전의 앱을 다운로드하도록 권장합니다.
• TikTok은 디바이스의 어떠한 계정도 수집하지 않습니다.
• 현재 버전의 TikTok 앱은 미국, 호주, 대한민국과 같은 특정 지역에서 사용자의 정확하거나 대략적인 GPS 정보를 수집하지 않습니다. 사용자가 TikTok에 GPS 위치 정보 수집 권한을 부여한 지역 및 부여하지 않은 기타 지역의 경우에는 TikTok에서 사용자 디바이스의 GPS 데이터에 기반하여 위치 정보를 수집합니다.
• 특정한 경우, 예를 들어 정확하거나 대략적인 GPS 정보를 수집하도록 허용된 이전 버전의 TikTok 앱(2020년 8월 마지막 릴리스)을 사용하며 TikTok에 해당 권한을 부여한 미국 사용자의 경우에는 해당 정보를 수집할 수 있습니다. 사용자는 언제나 해당 정보를 TikTok과 공유하지 않도록 선택할 수 있습니다. 또는 언제든지 디바이스 설정을 통해 이전에 부여한 권한을 취소할 수 있습니다.
• 는 앱 경험 개선 지원 및 개인정보 처리방침에 명시된 이유(예: 사용자에게 해당 지역에서 인기 있는 동영상 및 콘텐츠를 표시하고 해당하는 경우 더 관련성 높은 광고를 표시하려는 목적)를 위해 위치 정보를 사용합니다.
• 또한 사용자는 플랫폼이 사진, 연락처 목록, 디바이스의 마이크 및 카메라에 액세스하도록 허용할지를 선택할 수 있습니다. 당사에서 수집하는 정보는 개인정보 처리방침과 고객 지원 센터에 자세히 설명되어 있습니다.

소프트웨어 개발 키트(SDK)

SDK는 소프트웨어 개발자가 특정 플랫폼을 위한 애플리케이션을 개발하는 데 도움이 되는 도구 모음입니다. 당사는 TikTok과 통합된 모든 SDK의 보안 위협을 전반적으로 평가할 수 있는 프로세스를 갖추고 있습니다. Malcore 팀은 세 가지 경우에서 SDK 통합을 잘못 파악했습니다. TikTok은 Pangle, Google CrashLytics 또는 Facebook Analytics SDK를 사용하지 않습니다. 당사는 Malcore 분석에서 인용된 나머지 SDK를 다음의 방식으로 사용합니다.

• Facebook Login SDK 및 VKontakte SDK(8개 국가에서만 사용 가능)는 사용자가 자신의 Facebook 또는 VK 자격 증명을 통해 로그인할 수 있도록 하는 데 사용됩니다. Facebook Share는 사용자가 TikTok에서 콘텐츠를 Facebook으로 공유하는 데 사용됩니다.
• Facebook Bolts는 엔지니어의 모바일 앱 개발에 도움이 되는 오픈 소스 SDK입니다. Appsflyer 및 Google Firebase Analytics는 측정 및 데이터 분석 도구입니다.

지수 산정 및 가중 평가

Malcore 팀은 다른 모든 주요 소셜 미디어 앱의 업계 표준인 34 및 모든 21개 앱의 평균 지수인 28.8과 비교하여 TikTok에 가장 높은(가장 나쁜) 지수인 63.1을 매긴 지수 산정 시스템에 대해 어떠한 설명도 제공하지 않았습니다.

해당 보고서에는 5개의 지표(트래커/SDK, 위험한 권한, 코드 분석 결과에 대한 높은 심각도의 경고, 의심스러운 권한, 코드 분석 결과에 대한 심각도 경고)에 지정된 지수 가중치가 임의로 기재되었습니다. 이러한 5개의 지표가 선정된 이유 또는 방법에 대한 설명은 없습니다.

또한 각 지표에 지정된 지수에 대한 이유나 해당 지수를 외적으로 정당화하는 내용도 찾아볼 수 없으며, 2번째 지표에는 0.25(10배 적음), 5번째 지표에는 0.25(50배 차이)의 지수가 부여된 반면 트래커/SDK에는 가장 높은 지수인 2.5가 부여되었습니다. 한 카테고리의 지수가 산정되는 방식이 변경되면 TikTok 및 다른 앱의 위험 지수도 크게 변경됩니다.

특히 보고서 또한 "트래커는 개발자가 앱이 사용되는 방식을 이해하고 잠재적 문제를 해결하며 소프트웨어를 개선하는 데 도움이 되도록 설계된 일반적으로 적법한 소프트웨어 개발 키트(SDK)다."라고 인정합니다. SDK의 편향된 가중치에는 예를 들어 마스터 SDK를 사용하는 일부 회사들에 대해 반영되어 있지 않습니다. 따라서 SDK의 수는 위험을 평가하는 데 더욱 의미 없는 요소가 될 수 있습니다. 즉, Malcore의 점수 산정 시스템은 전혀 타당하지 않습니다.

당사는 당사 플랫폼을 이용하는 사용자의 개인 정보 보호 및 보안을 가장 중요하게 여깁니다. 그리고 사람들의 개인 정보 및 보안을 책임을 다하며 최선을 다해 보호합니다. 뿐만 아니라 이러한 목표를 달성하기 위해 많은 리소스를 투입합니다. 또한 뉴스룸, 고객 지원 센터, 개인정보 처리방침에서 당사의 관행에 대한 업데이트를 계속 제공하겠습니다.