애플, 앱스토어 모든 탭·키 입력 기록…WWDC 다음날 드러난 아이러니

마이스크가 발견한 것

보안 연구진 마이스크(사이버 보안 취약점을 자주 발굴하는 팀)는 애플 자체의 'App Store 클릭 활동 데이터 내보내기(Click Activity data export)' 기능을 이용해 이 추적 현황을 입증했다 . 연구진이 공유한 기록에 따르면, "Tim Cook"이라는 검색어를 입력하는 과정이 단계별로 기록된다. 'T', 'Ti'부터 시작해 'Tim cook'에 이르기까지 검색어의 각 단계마다 별도의 항목이 생성되며, 각각 정확한 타임스탬프가 함께 저장된다 .

데이터 내보내기 결과, 애플이 수집하는 정보는 다음과 같다:

• App Store 검색창에 입력되는 모든 개별 키스트로크
• 화면 터치(탭) 동작 하나하나
• 정확한 시간 정보 – 이를 통해 애플은 사용자의 타이핑 속도까지 계산할 수 있다

애플은 이 데이터를 활용해 App Store에서 앱을 추천하는 맞춤형 컬렉션 기능을 구동한다 . 하지만 문제는 사용자가 이 기능을 원하든 원하지 않든 데이터 수집 자체를 차단할 방법이 없다는 점이다 .

"이제 애플은 자사 App Store에서 수집한 방대한 식별 가능한 분석 데이터를 실제로 활용하고 있습니다. 모든 탭을 기록하며 이를 끌 방법도 없습니다. 심지어 사용자의 타이핑 속도까지 계산할 수 있습니다." — 마이스크, 맥루머스 인용

타이밍: WWDC 2026 하루 만에 폭로

이 폭로는 2026년 6월 8일 열린 애플의 WWDC 2026 기조연설 다음 날인 6월 9일에 이루어졌다. 해당 기조연설에서 애플은 신뢰, 안전, 개인정보 보호에 상당한 시간을 할애하며, 새로운 Siri AI를 클라우드 기반 서비스와 차별화되는 프라이버시 친화적 대안으로 자리매김했다 .

WWDC 2026에서 애플은 다음과 같은 내용을 발표했다 :

• 차세대 Apple Intelligence와 완전히 재구축된 Siri AI – 애플은 이 기능이 기기 내(on-device) 처리 또는 Private Cloud Compute 인프라를 통해 데이터를 처리한다고 설명
• 강화된 아동 안전 기능 및 확장된 자녀 보호 기능 – 13세 미만 사용자에게는 Child Account(어린이 계정)가 의무화됨
• iOS 27, iPadOS 27, macOS 27, visionOS 27 전반의 광범위한 소프트웨어 업데이트 – 개인정보 보호 기능이 시스템 전반에 통합됨

비공개 언론 세션에서 애플 임원 크레이그 페더리기(Craig Federighi)와 마이크 록웰(Mike Rockwell)은 새로운 Siri AI의 프라이버시 아키텍처를 설명하며 구글의 Gemini와 같은 클라우드 기반 서비스와의 차별점을 강조했다 . 애플은 프라이버시에 대한 헌신이 주요 차별화 요소이며, AI 서비스를 통해 처리되는 개인 데이터가 안전하게 보호된다고 밝혔다 .

애플 프라이버시 마케팅과의 충돌

마이스크의 발견은 애플의 프라이버시 마케팅과 정면으로 배치된다 :

• WWDC 무대 위: 애플은 프라이버시 최우선 기업으로 자신을 포장했다. 임원들은 새로운 Siri AI와 Apple Intelligence 주변의 보안 및 개인정보 보호 조치를 상세히 설명하며 , Apple Intelligence를 통해 처리되는 데이터는 비공개로 유지된다고 강조했다. 시스템은 '시스템 오케스트레이터(system orchestrator)'를 사용해 요청을 기기 내에서 처리할지 Private Cloud Compute로 보낼지 결정한다고 설명했다 .
• 무대 뒤에서: 애플은 정작 자사 App Store 내에서 개별 검색 키스트로크, 탭, 시간 정보 등 미세한 행동 데이터를 수집하고 있었으며, 사용자에게는 이를 차단할 수 있는 방법조차 제공하지 않았다 .

이러한 대비는 마이스크의 발견이 애플 임원들이 WWDC에서 자사의 AI 접근 방식을 보안 및 프라이버시 측면에서 차별화된다고 발표한 지 불과 하루 만에 나왔기 때문에 더욱 충격적으로 다가온다 .

사용자에게 미치는 의미

애플의 프라이버시 약속을 신뢰하는 사용자들에게 마이스크의 발견은 불편한 진실이다:

• 비활성화 불가: 애플은 플랫폼 내 다른 분석 시스템과 달리 App Store 분석 데이터 수집을 중단할 수 있는 토글(toggle) 스위치를 전혀 제공하지 않는다 .
• 자사(1st-party) 데이터 수집: 이는 애플이 앱 추적 투명성(App Tracking Transparency)을 통해 엄격히 제한해 온 타사 앱 추적과 달리, 애플 자체 앱 내에서 이루어지는 수집이다 .
• 데이터의 세분화 수준: 수집되는 데이터에는 개별 키스트로크와 시간 정보가 포함되며, 이는 잠재적으로 타이핑 속도, 검색 행동 패턴 등을 유추하는 데 사용될 수 있다 .

애플은 이 보도 시점까지 마이스크의 발견에 대해 공식적으로 응답하지 않았다. WWDC 2026에서 애플은 타사 앱을 위한 새로운 프라이버시 매니페스트(Privacy Manifest) 요구 사항을 발표했지만 , 정작 App Store 자체의 데이터 수집은 이러한 규칙의 적용을 받지 않는 것으로 보인다.

결론

마이스크의 폭로는 애플의 프라이버시 마케팅과 실제 데이터 수집 관행 사이에 존재하는 반복적인 긴장 관계를 다시 한번 드러냈다. 애플은 특히 새로운 온디바이스 AI 기능과 아동 안전 통제 장치를 앞세워 프라이버시 리더로 자처하지만, 정작 자신의 App Store는 비활성화 옵션 없이 세분화된 행동 데이터를 수집하고 있다. 현재로서는 '맞춤형 컬렉션' 기능이 기본적으로 활성화되어 있으며, 사용자가 이면의 키스트로크 로깅을 비활성화할 수 있는 방법은 알려져 있지 않다 .