Meta의 "Localhost tracking" 기법, 최대 320억 유로(47조원) 벌금 위기

2 days ago 4

Meta는 Android 샌드박스 우회 추적 수단(“localhost tracking”) 을 개발해 VPN이나 시크릿 모드, 쿠키 삭제에도 무관하게 사용자의 실제 신원과 웹 브라우징 활동을 연결 추적함
해당 기법은 Meta 앱(백그라운드) 과 브라우저 내 Meta Pixel 스크립트가 로컬 네트워크 포트를 통해 정보를 교환, 로그인을 하지 않아도 사용자의 _fbp 쿠키를 계정과 연결함
이 기법으로 웹 브라우저 행동과 실제 Facebook/Instagram 계정을 연결해 사용자 동의 없이 대규모 개인정보 통합이 이루어짐
GDPR, DSA, DMA 등 유럽 주요 개인정보보호법을 동시 위반, 제재가 누적 적용될 수 있어 최대 320억 유로(약 4%, 6%, 10% 매출 비율) 벌금 가능성이 있음
9개월 이상, 실제 22%의 세계 주요 웹사이트(미국 내 1만 7천여 개 등)에서 사용자 동의 없이 대규모 추적이 이뤄졌고, 수억 명의 개인정보가 ‘명시적 설명 없이’ 연동 수집됨
반복적 위반·시장지배력 남용·기술적 회피 의도가 명백하여, 사상 최초 누적 최고벌이 부과될 가능성까지 논의됨
iOS·PC·앱 미설치 사용자 등 일부만 영향에서 벗어남

Meta의 "localhost tracking" 기술

Meta는 “localhost tracking” 이라는 혁신적이지만 논란이 많은 기법을 통해, Android 샌드박스 시스템이 의도적으로 막은 사용자 자원식별 보호책을 우회함
페이스북/인스타그램 앱이 백그라운드에서 휴대폰 내 특정 TCP/UDP 포트를 열어 ‘리스닝(수신 대기)’ 상태로 유지됨 (로그인 필수)
사용자가 같은 기기에서 브라우저로 웹사이트 접속(예: 뉴스, 쇼핑몰) 시, 해당 사이트에 Meta Pixel이 설치되어 있으면 쿠키와 활동 정보가 즉시 수집됨
- VPN, 시크릿 모드, 쿠키 삭제 등 사생활 보호 수단을 써도 효과 없음
브라우저의 Meta Pixel 스크립트는 WebRTC(원래는 영상/음성 통신용) 와 SDP Munging이라는 트릭을 활용, _fbp 쿠키를 앱에 직접 전송
동시에 동일 정보를 Meta 서버에도 별도로 송신해, 온라인·오프라인 양방향 연동 추적 가능
Facebook/Instagram 앱은 _fbp 값을 받아, 계정 고유 식별자와 함께 Meta GraphQL 서버에 다시 전송
- 그 결과 웹브라우저 방문 ID와 실제 Facebook/Instagram 사용자 계정이 웹 방문 활동과 실제 신원을 1:1 매핑하여 강력하게 결합됨

GDPR: 광고 목적 개인정보 처리 동의 필요, 데이터 최소화/프라이버시 설계 의무 위반(매출의 최대 4%)
DSA(26조): 프로필로 민감정보(성향, 정치관, 건강 등) 기반 맞춤광고 금지(매출의 최대 10%)
DMA(5.2조): 핵심 플랫폼간 명시적 동의 없는 개인정보 결합 금지(최대 10%, 반복시 20%)
- 계정 연동 최소 세 가지 동의 필요(GDPR, ePrivacy, DMA) 중 1개만 요구(강제 "Pay or OK" 대안)
- 이미 2025년 4월 DMA 위반 관련 2억 유로 벌금 부과 사례 존재

GDPR·DMA·DSA는 각기 별도의 법익과 처벌 체계를 가지므로 누적 벌금 산정 가능
이론적 최대 벌금은 320억 유로. Meta의 반복적 위반·규제 협력 미흡·시장 지배력·의도적 회피 정황상 선례적 중징계 전망 가능성 있음

Meta의 “localhost tracking” 기법은 사생활 보호 기술적·법적 기준을 악의적으로 우회한 대표적 사례로, 전 세계적으로 매우 폭넓은 파급력과 심각성을 보임.
GDPR/DSA/DMA 복수 규정 위반 상황에 시장 지배력, 반복 위반 기록 등이 감안되어 사상 최대 수준의 누적 벌금이 실제 부과될 가능성이 있음
규제 당국이 최초로 GDPR·DSA·DMA 누적 벌금(최대 320억 유로) 부과할지 세계적 관심 집중