전 세계에 4억 3천 5백만 명의 월간 고객을 지닌 인터넷 거대 백신 회사인 어베스트가 고객의 인터넷 사용 기록을 저장해 판매해온 일이 마더보드와 PC매거진의 공동 조사에 의해 드러났다.
어베스트의 자회사인 점프샷은 어베스트 백신 제품이 수집한 사용자의 인터넷 활동 기록들을 재포장하여 전 세계의 여러 거대 회사들에게 판매했다. 확인된 고객 중에는 구글, 마이크로소프트, 맥킨지, 펩시 등이 있다. 점프샷이 수백만 불에 판매한 상품들은 1억 개의 기기로부터 수집한 사용자의 행동, 클릭, 웹사이트 이동 기록인 ‘모든 클릭 피드’를 포함하고 있다.
구체적으로 마더보드와 PC매거진이 확인한 어베스트의 인터넷 사용 수집에는 구글 검색, 구글 맵에서의 사용자 위치, 시청한 유튜브 영상, 성인 웹사이트 방문과 시청한 영상 등이 있다. 예를 들어 대표적인 성인물 사이트인 유폰과 폰허브의 경우 방문 날짜와 시간, 그리고 영상을 보기 위해 사용한 검색어가 수집되었다.
어베스트는 2015년에 의심스러운 웹사이트를 고객에게 경고하는 역할을 하는 웹브라우저 플러그인을 통해 고객들의 웹 사용 기록을 수집하다 발각되어 모질라, 오페라, 구글에 의해 어베스트의 플러그인이 앱스토어에서 삭제당하는 일이 있었다. 이후 어베스트는 고객의 기기에 설치된 자사 백신을 통해 고객의 정보를 수집하는 쪽으로 방향을 선회했다.
사용자가 어베스트의 백신을 PC나 모바일 기기에 설치하면 백신은 어베스트 패널이 되어 사용자의 웹브라우저 상의 모든 활동을 기록하고 수집하여 점프샷에 전달한다. 마더보드와 PC매거진은 유출된 사용자 데이터, 점프샷과 고객사 간의 기밀 유지 내용을 담은 문건과 판매 계약서 등을 확보하여 보고서를 작성했다.
점프샷이 제품 홍보를 위해 사용한 문구인 ‘모든 검색, 모든 클릭, 모든 구매, 모든 사이트’는 점프샷이 판매한 상품의 성격을 잘 나타내고 있다. 2019년 14개국 데이터를 담은 ‘모든 클릭 피드’를 구입한 뉴욕의 옴니콤 미디어 그룹은 점프샷에 2백 7만 5천 불을 지불했고, 이는 유출된 계약서에서 확인되었다.
점프샷은 사용자의 인터넷 활동 정보가 익명으로 수집되고 있다고 해명했으나 사용자의 검색과 활동 행태가 GPS 위치 정보와 조합될 경우 사용자의 신원이 노출될 가능성이 높다. 마더보드와 PC매거진은 점프샷의 고객으로 확인된 기업들의 입장을 듣기 위해 접촉을 시도했으나 대부분 응답하지 않았다.
구글은 점프샷과 더는 관계를 갖고 있지 않다고 밝혔고, 마이크로소프트는 답변을 내놓지 않았다. 어베스트는 보도가 나간 후 백신을 통한 인터넷 검색 기록 수집을 즉시 중단하고 점프샷 운영도 단계적으로 폐쇄한다고 발표했다. 미국의 민주당 상원의원 론 와이든은 성명에서 “어베스트 백신 소프트웨어와 소비자 데이터 비밀 수집이라는 결혼은 끔찍한 행동이었습니다”라고 밝혔다.
