안드로이드 앱 개인정보 무단수집, 어떻게 가능했나

美연구진 "와이파이 연결지점·우회경로 등 방법 다양"

홈&모바일입력 :2019/07/09 16:47    수정: 2019/07/09 16:51

김익현 미디어연구소장 기자 페이지 구독 기자의 다른기사 보기

1천300개를 웃도는 안드로이드 앱들이 개인정보를 무단 수집하고 있는 것으로 드러났다. 특히 일부 앱들은 이용자가 ‘접근 거부’ 의사를 밝히더라도 정보를 수집해 간 것으로 확인됐다.

이 같은 사실은 국제컴퓨터과학연구소(ICSI) 연구를 통해 알려지게 됐다.

8일(현지시간) 미국 씨넷에 따르면 ICSI 연구진들이 구글 플레이 스토어에 있는 앱 8만8천개 가량을 조사한 결과 1천325개 앱들이 개인정보를 무단 수집하고 있는 것으로 나타났다.

해당 앱들은 이용자들이 거부 의사를 명시적으로 밝힌 경우에도 우회 경로를 통해 개인정보를 수집했다.

(사진=씨넷)

■ 사진에 포함된 메타정보도 중요한 노출 지점

방법도 다양했다. 와이파이 연결이나 사진에 포함돼 있는 메타 정보 등을 통해 개인 정보를 확보했다.

연구자들은 이런 방식으로 정보를 수집해가는 대표적인 것이 사진 편집 앱인 셔터플라이였다고 밝혔다. 이 앱은 사진에서 GPS 좌표를 수집한 뒤 자사 서버로 전송한다.

특히 셔퍼플라이는 이용자들이 위치 정보 접근을 허락하지 않는 경우에도 무단 수집하는 것으로 드러났다고 연구진들이 지적했다.

앱들끼리 정보를 공유하는 방식으로 원치 않는 이용자 정보가 수집되기도 했다. 이를테면 이런 방식이다.

어떤 이용자가 A 앱에선 개인정보 수집에 동의하지 않았다. 반면 상대적으로 믿을만한 B 앱에선 개인정보 수집을 하도록 허락했다.

일부 안드로이드앱들은 개인정보 접근에 동의하지 않는 경우에도 다른 앱을 통해 수집해가는 것으로 나타났다.

이 때 A앱이 B앱을 통해 단말기고유식별번호(IMEI) 같은 정보를 가져간다.

이런 방식을 통해 단말기의 SD카드에 저장돼 있는 파일들을 읽은 뒤 개인정보를 수집해 간다. 물론 이용자들이 A앱에선 수집에 동의하지 않은 정보들도 포함돼 있다.

결국 어떤 앱에서 개인정보에 접근할 수 있도록 허락한 뒤 그 정보가 SD카드 내 폴더에 저장돼 있기만 하면 다른 앱들이 그 정보를 가져갈 수 있다는 얘기다.

다른 앱에서 개인정보를 수집해가는 앱은 13개에 불과했다. 하지만 이 앱들은 1천700만회 이상 다운됐다고 연구자들이 주장했다.

바이두가 만든 홍콩 디즈니랜드 앱이 이런 방식으로 개인정보를 가로채가는 대표적인 앱이라고 미국 씨넷이 전했다.

■ 작년 9월 구글에도 통보…안드로이드Q에 방지기능 적용

연구자들은 지난 해 9월 구글과 연방거래위원회(FTC)에도 통보했다고 밝혔다. 구글은 올해 내놓을 예정인 안드로이드Q에 개인정보 무단 수집 관행을 차단하는 기능을 포함시킬 예정이다.

관련기사

보도에 따르면 구글은 몇 가지 방식으로 개인정보 무단 수집을 차단한다.

이를테면 구글은 사진에 있는 위치 정보를 앱에선 볼 수 없도록 한다거나, 와이파이에 접속하는 앱들에겐 모두 위치정보 수집 허락을 받도록 하는 방식을 적용할 예정이다.

김익현 미디어연구소장sini@zdnet.co.kr