"안드로이드 앱 4천여개, 조용히 앱 설치 목록 수집"

IAM 악용…광고 위한 사용자 정보 수집이 주요 목적

컴퓨팅입력 :2020/03/30 14:14    수정: 2020/03/30 14:53

구글 플레이스토어에 등록된 앱 중 4천개 이상이 기기에 설치된 앱 목록을 수집하고 있다는 연구 결과가 나왔다.

최근 이탈리아 라킬라 대학교, 네덜란드 암스테르담 자유대학교, 취리히 연방 공과대학교 연구진은 이같은 내용을 담은 연구 논문을 소개했다.

연구진은 구글 플레이스토어에서 제공되는 무료 앱 1만4천342개와 오픈소스 앱 7천886개를 연구해 IAM(Installed Application Methods) 사용량을 분석했다.

IAM은 앱 개발자가 기기에 설치된 다른 애플리케이션 목록을 가져올 수 있게 하는 안드로이드 API 호출 세트다. 구글은 개발자들이 앱 비호환성을 감지하거나, 다른 앱과의 상호작용을 미세하게 조정하기 위해 IAM을 만들었다. 그런데 IAM이 기기 프라이버시 침해에 오용되고 있다는 조사 결과가 나온 것이다.

문제가 된 앱들은 IAM을 이용해 기기를 검색했다. 이 과정에서 사용자에게 허가를 요청하지 않는다. 앱 이름과 앱 설치 일자, 최근 업데이트 일자 등 36종 이상의 앱 세부 정보를 수집해 원격 서버에 업로드했다.

출처=Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User's Device

조사 결과 플레이 스토어 앱 중 4천214개의 앱 코드 또는 서드파티 라이브러리에서 IAM이 발견됐다. 오픈소스 앱의 경우 228개 앱이 이같은 경우에 해당됐다.

IAM은 앱 코드보다 주로 서드파티 라이브러리에서 발견됐다. 연구진에 따르면 플레이 스토어 앱과 오픈소스 앱에서 각각 7천538건, 287건의 IAM 호출을 탐지했다. 플레이 스토어 앱의 호출 건수 중 83.7%인 6천306건은 서드파티 라이브러리를 통해 나타났다. 오픈소스 앱 호출 건수 중 62% 가량인 178건도 서드파티 라이브러리에서 나타났다.

연구진은 IAM을 호출하는 서드파티 라이브러리의 3분의 1이 광고를 목적으로 사용자의 데이터를 수집했다고 밝혔다.

관련기사

앱 개발자 70명을 대상으로 후속 설문조사를 실시한 결과 서드파티 라이브러리를 통해 IAM이 실행되는지를 전혀 알지 못하는 개발자들도 있었다.

연구진은 구글이 IAM 호출을 제한하기를 촉구하면서, 해당 기능을 사용할 때 사용자 허가를 요청하게 하는 것이 바람직하다고 조언했다.