[초점]스마트폰 앱 무료다운…당신은 얼마나 많은 ‘권한’을 내줬나요?
등록 2015.01.19 18:30:24수정 2016.12.28 14:27:26
【서울=뉴시스】구글플레이 스토어에서 카카오톡과 페이스북 메신저 애플리케이션(앱) 다운시 고지되는 접근권한 내역. (사진=스마트폰 화면 캡처)
최근 세계최대 보안전산업체 시만텍(Symantec)의 모바일 보안전문가인 제임스 구엔은 스마트폰에서 이용자들이 애플리케이션(앱)을 내려받는 순간, 앱 개발자들은 이런 개인정보를 물어볼 필요없이 얻게 된다며, 현실에서는 당황스러운 일들이 디지털 세계에서는 자연스럽게 받아들여지고 있다고 지적했다.
야후 캐나다 뉴스와 인터넷 매체 ‘IT비즈니스’(ITBusiness.ca) 등에 따르면 그는 “구글플레이 마켓에는 무료 앱들이 많이 있지만, 이 가운데 비용을 치르지 않고 얻을 수 있는 것은 없다”며 “이용자들의 개인정보는 일종의 돈처럼 사용되고 있는 셈”이라고 말했다. 앱은 공짜가 아니라 거래를 통해 산 것이란 얘기다.
안드로이드 스마트폰 앱을 다운받을 때 이용자들은 설치 전 앱이 요구하는 개인정보가 무엇인지 즉각적으로 고지를 받는다.
접근을 허용해줘야 하는 정보는 앱의 종류에 따라 다른데 이용자들이 동의하면 앱 개발자들은 개인 문자메세지 읽기, 사진 보기, 건강 정보 분석 등을 할 수 있다.
건강·운동 앱의 경우 이용자들이 깨어 있을 때를 추적할 수 있고 현재 위치나 잠자는 시간까지도 파악할 수 있다.
프라이버시 문제에 민감한 이용자들은 이런 앱이 갖는 접근권한이 불편하다. 하지만 대다수 이용자들은 “앱을 깔아야 편하다”는 이유로 앱을 내려받는 상황이다.
문제는 개인정보를 넘기는 댓가(?)로 앱을 받더라도 사업자가 요구하는 접근권한이 과다하다는 점이다.
구글플레이 마켓에서 검색되는 신용카드사 대다수 앱들은 사용자 위치, 주소록, 사진·미디어파일, 카메라, 실행중인 앱 검색 등 서비스와 무관하거나 민감한 개인정보들을 수집하고 있다.
금융 관련 앱 뿐만이 아니다. 사람들이 많이 사용하는 손전등 앱 일부는 지난해 11월 개인정보 유출 논란을 일으켰음에도 불구하고 여전히 보호된 저장소에 접근, 휴대폰 상태, 전화번호 및 기기ID 확인 등 많은 정보를 요구하고 있다.
사용자들은 지나치게 많은 접근권한이 마음에 들지 않지만, 동의하지 않으면 앱을 설치할 수 없기 때문에 울며 겨자먹기로 동의 버튼을 누른다.
◇앱 권한, 과다하지 않다는 항변
국내 가입자수 3700만명이 넘는 ‘국민메신저’ 카카오톡 메신저 앱은 기기ID를 비롯해 주소록, 위치, SMS, 사진·미디어 파일, 카메라, 마이크 등 총 25가지에 달하는 접근 권한을 요구한다. 여기에는 SD카드의 콘텐츠 읽기 및 수정·삭제와 같은 권한도 포함된다.
다음카카오 관계자는 “SD카드의 콘텐츠 읽기 및 수정·삭제 기능은 SD카드에 저장돼 있는 데이터를 빼서 쓸 것이냐 안쓸 것이냐를 묻기 위해 필요하다”며 “이를 통해 카카오톡 이용자들이 사진이나 파일 공유를 할 수 있다”고 설명했다.
이어 “모바일 플랫폼이다 보니 일일이 사용자들에게 다 동의를 받을 수 없어서 동의절차가 들어가 있는 것”이라며 “앱 구동을 위해 필요한 권한을 앱한테 주는 것일 뿐, 접근하는 내용을 엿보는 것이 아니다. 개인정보 유출 위험은 없다”고 강조했다.
런처플래닛, T맵 안심보행 앱 서비스를 제공하는 SK플래닛 역시 이용자들에게 과다한 정보 접근권을 요청하지 않는다고 주장했다.
SK플래닛 관계자는 “정보접근권한과 수집권한은 구분해야 한다. 정보 접근권한은 기기와의 연동 요청을 하는 것인데, 그것도 동의를 얻어서 한다”며 “필요에 따라 수집하더라도, 외부 기관의 관리 감독하에 정보를 관리하고 있다. 그래서 개인정보 유출에 대한 위험은 없다”고 잘라 말했다.
하지만 정보접근권한과 수집권한는 별도라는 시각에 보안업계는 회의적이다. 기술적으로는 같은 것으로 볼 수 있다는 이유에서다.
보안전문가인 권석철 큐브피아 대표는 “마음만 먹으면 기술적으로 (개인정보에) 접근하는 것은 어렵지 않다”며 “앱 서비스 제공업체들이 정보에 대한 접근 권한을 과도하게 요구하는 경향이 있다”고 지적했다.
그는 또 “동의를 안하면 앱을 사용할 수 없기 때문에, 개인에게 선택권을 준 것처럼 보이지만 안 준 것과 같다”며 “정보를 그냥 가져가면 불법이니 동의를 얻어서 가져가는 것이다. 문제가 생길 경우 동의를 얻었다고 하면 되기 때문에 법을 피하기 위한 방편이 될 수도 있다”고 경고했다.
한편 정부는 정보접근 권한에 대해 따로 규율하고 있지 않다.
이소라 방송통신위원회 개인정보보호윤리과 사무관은 “정보접근 권한만 있다고 해서 수집한다고 판단할 수는 없지만, 권한이 있다는 자체가 수집 가능성이 있는 것”이라며 “권한이란 개념은 법에는 없다. 수집·이용만 있다”고 밝혔다.
그는 특히 “필요한 경우 정보통신망법에서는 수집·이용에 대해 동의를 얻도록 하고 있는데, 어떤 상황을 위법으로 판단할 지는 고민중”이라고 말했다.
◇앱 권한 제한, 정부 대책은 있나
사업자들이 앱 권한을 남용해 개인정보를 유출한 사례는 지난 2014년 손전등 앱을 제외하고는 공식적으로 많지 않다.
그러나 앱 사업자들이 앱 권한을 이용해 개인정보를 유출할 수 있는 위험은 상존하며, 해킹을 통해 앱 서비스 이용자들의 개인정보가 유출될 수 있다는 점을 고려한다면 앱 권한은 제한될 필요가 있다는 지적도 나온다.
실제 지난해 12월말에는 국내 3위 음식배달앱 ‘배달통’이 해킹을 당해 75만명의 회원 계정 정보 중 일부가 유출되기도 했다.
현재 정부는 이와 관련한 대책이 전무한 상태다. 다만 방통위는 지난 해 4월 개인정보보호위원회로부터 스마트폰 앱 사용자의 개인정보 보호 강화 방안을 마련하라는 권고를 받은 이후 8월부터 12월까지 한국인터넷진흥원(KISA)와 함께 스마트폰 앱 권한 설정 현황을 파악하기 위한 연구용역을 수행 중이다.
KISA 관계자는 “방통위와 KISA는 2014년 하반기에 스마트폰 앱 권한 설정 현황을 파악하기 위한 연구용역을 수행했다”며 “올 상반기에 현황 조사 결과 개선점을 도출해 적절한 앱 권한 설정에 관한 지침을 제시하는 가이드라인 개발할 예정이다”라고 밝혔다.
결국 스마트폰 이용자는 정부의 용역 결과가 나오고 개선책이 마련될 때까지 ‘벌거벗을 각오를 하고’ 앱을 다운 받든지, 아니면 그 때까지 앱 사용을 포기하든지 불편한(?) 선택을 해야만 하는 상황이다.
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지
