사용자 허가를 받지 않고 위치 정보, 통화 기록 등 개인 정보를 마음대로 수집하는 안드로이드 애플리케이션(앱)이 1000개가 넘는 것으로 나타났다. 개인 정보 수집 동의에 '거부' 의사를 밝혀도 다양한 수단을 악용해 사용자 정보를 수집했다. 셔터플라이, 홍콩 디즈니랜드 등 인기 앱도 포함돼 국내 사용자의 피해도 예상된다.
9일 더버지 등 외신에 따르면 안드로이드 운용체계(OS)에서 사용하는 안드로이드 앱 1325개가 사용자의 개인 정보 수집 권한 요청 시 '아니오' 등을 택하더라도 무단으로 정보를 수집했다.
이 같은 사실은 UC버클리, 앱센서스, 마드리드카를로스3세대 연구진이 공동 작성한 '50가지 데이터 유출 방법' 논문에서 밝혀졌다. 연구진은 8만8000여개 안드로이드 앱을 조사, 고객 데이터 유출을 확인했다.
이들 앱은 앱 간 소통을 통한 직접 방식과 우회 방식 등 다양한 방법을 이용해 정보를 무단 수집했다. 앱 간 소통 직접 방식은 앱이 동일한 소프트웨어개발키트(SDK)를 사용·구축돼 데이터 공유와 접근이 가능하다는 점을 악용했다.
개인 정보 데이터의 무단 수집 방식은 교묘했다. 사용자가 위치 정보 수집 권리를 거부하자 사진에서 위성항법장치(GPS) 데이터를 통해 위치 정보를 얻었다. 다른 앱 위치 정보를 직접 가져오는 대신 장치가 연결된 와이파이 라우터 맥(MAC) 어드레스를 수집, 위치 정보를 추론했다.
1325개 앱 가운데 유명 앱이 다수 포함됐다. 사진을 모으거나 편집하는 '셔터플라이' 앱은 사진에 포함된 GPS 정보를 확인 후 지속적으로 특정 서버로 정보를 전송했다. 홍콩 디즈니랜드, 삼성헬스, 삼성브라우저 앱 등도 중국 바이두가 만든 SDK를 사용했다. 연구진은 이들 앱에서 사용자 정보가 유출됐을 가능성이 있다고 설명했다.
연구진은 미국 공정거래위원회와 구글에 관련 문제를 통보했다. 다음 달 열리는 유즈닉스 보안 콘퍼런스에서 문제가 된 앱 전체 목록을 전수 공개한다. 구글은 올 하반기에 공개할 안드로이드Q에서 해당 문제를 수정할 예정이다.
전문가는 사용자가 거부 의사를 분명히 밝혔음에도 무단으로 정보를 수집한 만큼 해당 앱 마켓 등에서 앱 보안 평가를 강화해야 한다고 지적했다. 불법 앱 운용자 또는 개인 정보 불법 수집자에 대한 조치도 필요한 것으로 보인다.
박춘식 아주대 사이버보안학과 교수는 “사용자는 개인 통화 목록, 위치 정보 등에 대해 거부 의사를 밝혔기 때문에 가능한 조치를 모두 취한 것”이라면서 “이를 방치하거나 악용해 개인 정보를 불법 수집, 제3자 등을 동해 이익을 취한 기업 등에 책임을 물도록 해야 한다”고 말했다.
정영일기자 jung01@etnews.com
