패션 브랜드 '애버크롬비&피치(Abercrombie & Fitch)'나 호텔 예약 서비스 '호텔스닷컴(Hotels.com)', 항공사인 '싱가포르항공'이 운영하는 공식 앱은 '세션 리플레이(재생)' 기술을 이용하여 사용자가 어떤 행동을 취했는지를 기록하기 위한 목적으로 고객 경험 분석 회사인 '글래스박스(Glassbox)'의 툴을 앱에 포함시키고 있는 것으로 알려져 있다.
실제 글래스박스의 공식 트위터 계정에는 "당신의 웹 사이트나 모바일 앱에서 당신의 고객이 실시간으로 무엇을 하고 있는지 정확히 볼 수 있다고 상상해 보라. 왜 그랬을까? 그것이 바로 글래스박스다"라고 트윗하고 있다. 이것만으로도 글래스박스가 앱상에서 사용자의 동작을 기록하는 툴이라는 사실을 스스로 인정한 셈이다.
그런데 최근 캐나다 최대 항공사인 에어캐나다(Air Canada)의 공식 iOS 앱에서도 글래스박스가 사용되고 있던 사실이 드러났다. 모바일 앱을 분석하는 더앱애널리스트(The App Analyst)에 따르면, iOS 앱을 분석한 결과 글래스박스를 통해 많은 스크린샷을 촬영하고 있던 것으로 밝혀졌다.
특히 글래스박스에서는 사용자가 숨기고 싶은 은밀한 데이터를 입력할 때 일부분을 마스킹 할 수 있도록 하는데, 에어캐나다의 iOS 앱에서는 이 설정이 제대로 적용되지 않고 있어, 사용자가 숨기고 싶은 은밀한 데이터가 그대로 보이며, 당연히 캡처도 되고 있다.
위의 캡쳐 화면은 에어캐나다의 iOS 앱으로 글래스박스가 캡쳐한 스크린샷을 늘어 놓은 것인데, 일부 정보는 검게 칠해져 마스킹되어 숨겨져 있지만, 신용카드 정보 등 숨겨져야 할 일부 정보가 훤히 그대로 노출되어 있다. 더앱애널리스트는 글래스박스가 신용카드 정보 등을 촬영하고 있었던 사실은 의도하지 않은 것이지만 "에어캐나다의 직원 및 스크린샷 데이터베이스에 액세스하는 모든 사용자들은 암호화되어 있지 않은 신용카드 및 패스워드 정보를 볼 수 있게 되어 있다"고 경고했다.
글래스박스는 어디까지나 시장에서 나돌고 있는 세션 리플레이 툴 중 하나다. '앱씨(Appsee)'와 'UX캠(UXCam)' 등 글래스박의 경쟁 툴은 여러 가지가 있다. 그리고 에어캐나다와 같이 세션 리플레이로 기록한 스크린샷이 적절히 정보 마스킹을 행할 수 없는 경우가 있지만, 많은 기업들은 확실이 이를 이해하고 사용자의 프라이버시를 지키기 위한 정책을 펼치고 있다. 하지만 이를 완전히 막지 못한 것은, 결국 개발자나 운영자 그리고 이를 게시한 iOS 기기 모두에게 책임이 있다고 할 수 있다.
테크크런치는 이처럼 세션 리플레이 툴의 존재를 명기하지 않고 운영했다는 사실이 "매우 소름끼친다"고 표현했다.
김길수 기자 gskim@g-enews.com