Apple 개인정보보호 매니페스트
Apple 프라이버시 매니페스트는 App Store의 모든 앱이 반드시 제출해야 하는 서류이며, 앱의 데이터 수집 범위와 사용처에 대한 구체적인 정보를 포함해야 합니다.
Apple 개인정보보호 매니페스트란 무엇인가요?
Apple은 App Store에 출시되는 모든 앱에 개인정보보호 매니페스트 제출을 의무화하고 있습니다. 앱 코드에 반드시 포함되어야 하는 파일로, 앱이 수집하는 데이터의 유형과 수집 목적을 상세히 명시합니다. Xcode는 이러한 파일들을 취합하여 리포트를 생성하며, 해당 정보는 검토를 거쳐 App Store 내 앱의 ‘개인정보 보호’ 섹션에 업로드됩니다.
자세한 내용은 Apple 공식 문서를 통해 확인하실 수 있습니다.
Apple의 2023 세계 개발자 컨퍼런스(WWDC23)에서 처음 공개된 개인정보보호 매니페스트는 사용자 투명성을 강화하고 개인 데이터를 보호하려는 Apple의 지속적인 개인정보보호 이니셔티브의 일환입니다. 이는 개발자가 앱에 포함된 서드파티 SDK와 관련하여 데이터 수집 관행을 명확히 공개하도록 의무화합니다.
해당 규정이 시행되기 전까지, 상당수의 앱 개발자들은 연동된 서드파티 SDK의 데이터 수집 항목이나 구체적인 데이터 사용처를 명확히 파악하지 못하고 있었습니다.
Apple이 개인정보보호 매니페스트를 도입한 이유는 무엇인가요?
Apple은 지난 2022년, 일반 사용자가 앱의 개인정보 보호 관행을 쉽게 파악할 수 있도록 ‘프라이버시 영양 성분 표시(Privacy Nutrition Labels)’ 제도를 발표한 바 있습니다.
개인정보보호 매니페스트는 이 영양 성분 표시의 다음 단계로, 사용자에게 데이터 수집 및 활용 방식에 대한 더욱 상세한 정보를 제공합니다. 특히 개발자의 앱에 연결된 모든 서드파티 앱과 플러그인 역시 각자의 매니페스트를 보유하고 있으므로, Apple은 이를 하나의 매니페스트로 통합 할 수 있도록 하여 관리 프로세스를 간소화했습니다.
개인정보보호 매니페스트는 개발자가 데이터 사용 처와 API 접근 권한을 선언하도록 요구함으로써 투명성을 강화하고, 핑거프린팅과 같은 승인되지 않은 목적의 디바이스 API 오남용을 방지합니다. 이러한 데이터 사용 선언 의무화는 API의 부적절한 사용을 차단하며, 궁극적으로 SKAdNetwork가 광고주를 위한 핵심 어트리뷰션 툴로 자리 잡도록 유도합니다.
Apple 프라이버시 매니페스트의 핵심 구성 요소는 무엇인가요?
iOS 17부터 모든 신규 앱 또는 업데이트된 앱은 반드시 다음 정보를 포함해야 합니다.
데이터 사용: NSPrivacyTracking
해당 키는 타사 앱 및 웹사이트를 가로지르는 사용자 트래킹 시 권한 요청 여부를 표시합니다. 모든 추적 행위 이전에 사용자 동의를 구하도록 규정하는 Apple의 App Tracking Transparency(ATT) 프레임워크 정책을 따릅니다.
외부 도메인: NSPrivacyTrackingDomains
트래킹 투명성 확보를 목적으로 앱 및 서드파티 SDK에서 활용하는 모든 외부 도메인을 프라이버시 매니페스트 리스트에 명시해야 합니다. Apple의 프라이버시 정책과 ATT 가이드라인을 따르지 않는 도메인은 사용자의 동의를 얻지 못할 경우 접속이 제한될 수 있습니다.
영양 성분 표시: NSPrivacyCollectedDataTypes
이 항목은 앱이나 서드파티 SDK가 수집하는 사용자 데이터의 종류와 수집 목적을 명시합니다. 개발자는 Xcode를 사용하여 앱 및 연동된 모든 서드파티 SDK가 수집한 데이터 내역이 요약된 프라이버시 리포트를 간편하게 생성할 수 있습니다.
SPrivacyCollectedDataTypes 포함 항목:
- 수집되는 데이터의 종류
- 데이터와 사용자의 연관성 표시
- 데이터의 사용자 추적 여부 표시
- 데이터 수집 사유
다음은 Apple 공식 문서에 기재된 연락처 정보 수집 사례의 예시입니다.
필수 사유 API: NSPrivacyAccessedAPITypes
사용자의 트래킹 동의 여부와 관계없이 핑거프린팅은 전면 금지됩니다. 이 조치는 자체 코드뿐만 아니라 서드파티 SDK를 통한 핑거프린팅 시도까지 차단합니다. 본 섹션에서는 iOS, iPadOS, tvOS, visionOS 또는 watchOS 앱과 서드파티 SDK가 해당 API를 사용하는 이유를 명확히 설명해야 하며, 각 API가 본래의 목적에 맞게 사용되고 있는지 확인해야 합니다.
Apple 개인정보보호 매니페스트 생성 및 구현 방법
Apple 개인정보보호 매니페스트를 구성하는 요소를 이해했다면, 이제 직접 파일을 생성하고 적용할 차례입니다. 단계별 가이드는 다음과 같습니다.
1단계: Xcode를 실행합니다.
2단계: File > New File을 선택합니다.
3단계: 하단 “Resource” 섹션으로 스크롤을 내려 App Privacy 파일 유형을 선택합니다.
4단계: Next를 클릭합니다.
5단계: Targets 목록에서 해당 매니페스트를 적용할 앱 또는 서드파티 SDK 타겟을 확인하고 체크합니다.
6단계: Create를 클릭하여 파일을 생성합니다.
파일 이름은 PrivacyInfo.xcprivacy로 자동 지정되며, 이는 번들링된 개인정보보호 매니페스트에 필수적으로 요구되는 파일명입니다. 또한 Xcode에서 프라이버시 리포트를 생성할 때 해당 매니페스트 파일이 타겟의 리소스(Resources)에 포함되어 있는지 확인해야 합니다. 파일 생성이 완료되면, 해당 속성 리스트 파일의 최상위 딕셔너리에 다음 키들을 추가하십시오.
파일 생성이 완료되면, 해당 속성 리스트 파일의 최상위 레벨 딕셔너리에 다음의 키 항목들을 추가하십시오.
- NSPrivacyTracking
- NSPrivacyTrackingDomains
- NSPrivacyCollectedDataTypes
- NSPrivacyAccessedAPITypes
핵심 요약
- Apple 개인정보보호 매니페스트는 모든 App Store 앱에 필수적인 문서로, 수집되는 데이터와 그 사용 목적을 명시합니다.
- 투명성 제고 및 프라이버시 영양 성분 표시의 확장판으로 등장한 매니페스트는 핑거프린팅 오용을 막고, 광고주들이 SKAdNetwork를 주된 어트리뷰션 수단으로 활용하게끔 유도하는 역할을 합니다.
- 여기에는 추적 권한(NSPrivacyTracking) 및 외부 도메인 선언(NSPrivacyTrackingDomains)와 같은 주요 구성 요소가 포함됩니다.
- 개발자는 수집되는 데이터 종류(NSPrivacyCollectedDataTypes)과 사용된 API(NSPrivacyAccessedAPITypes)를 목록화하여 Apple의 정책 가이드라인을 지켜야 합니다.
- 개발자는 Apple의 개인정보보호 표준을 충족하기 위해 정해진 절차에 따라 Xcode에서 개인정보보호 매니페스트를 간편하게 생성할 수 있습니다.
