거울 앱이 설치된 삼성전자의 갤럭시S 시리즈는 국내에서만 약 1000만 대 가까이 팔렸다. 삼성전자 측은 정보를 수집한 적은 없다고 해명했지만 이 앱이 민감한 개인정보를 수집할 권한을 갖고 있었다는 사실은 인정했다. 소비자들은 단순히 거울을 볼 때 위치정보와 주소록까지 파악된다는 사실은 알지 못했다며 당혹스러워했다.
거울 볼 때 위치와 통화 명세도 파악
이 사실을 발견한 고려대 정보보호대학원 김승주 교수는 확인 결과 이 앱이 작동할 때마다 사용자의 정보를 삼성전자나 통신사로 전송하는 사실은 확인되지 않았다면서도 지나치게 광범위한 정보를 수집하기 때문에 개인정보 유출 가능성을 배제할 수는 없다고 설명했다.
단순히 거울을 보는 앱이 지나치게 많은 정보에 접근할 수 있는 권한을 갖고 있다는 것 자체가 의심스럽다는 것이다. 또 이것이 단순 실수라고 해도 거울 앱이 제3자가 만든 해킹 프로그램이 정보를 빼내도록 돕는 구멍 역할을 했을 가능성도 높다는 게 김 교수의 설명이다.
문제가 된 앱은 거울 앱 외에도 이 스마트폰의 데이터 통신 설정 앱과 프로그램 모니터 앱이었다. 데이터 통신 설정은 스마트폰에서 데이터통화를 할 때 유료인 3세대(3G) 통신망은 꺼두고 무료인 와이파이 통신망만 이용하는데 사용되는 앱이다. 프로그램 모니터 앱은 안드로이드 운영체제(OS)를 사용하는 스마트폰의 특성에 따라 과도하게 많이 사용되는 앱을 강제로 종료시킬 때 주로 쓰인다. 이런 앱들이 거울 앱과 마찬가지로 사용자 스마트폰의 주소를 읽고 일정을 추가하거나 수정하며, e메일을 보내고 문자메시지를 읽는 일도 할 수 있게 만들어져 있었다.
고대 정보보호대학원은 이번 분석 과정에서 갤럭시S와 갤럭시S2 외에도 LG전자의 옵티머스Q 스마트폰도 함께 조사했다. 그 결과 옵티머스Q에서는 이렇게 앱의 본질적 기능과 관계없는 과도한 개인정보를 요구하는 앱이 발견되지 않았다.
누가 만들었나
안드로이드 OS를 개발한 건 삼성전자가 아니라 구글이다. 하지만 안드로이드 OS는 제조사가 얼마든지 맘대로 수정할 수 있다. 동아일보 취재팀이 확인해 본 결과 같은 삼성전자 스마트폰이라고 해도 구글이 직접 기획해 만든 최신 스마트폰인 갤럭시 넥서스에는 이번에 문제가 된 3가지 앱이 들어있지 않았다. 반면 비슷한 시기에 발매된 갤럭시 노트에는 갤럭시S 시리즈처럼 과도한 권한을 요구하는 앱이 똑같이 들어 있었다.
문제가 된 앱이 설치된 스마트폰들은 모두 삼성전자가 직접 개발한 센스UI라는 사용자 인터페이스를 쓰고 있었다. 이는 구글과는 별도로 삼성전자가 직접 만든 소프트웨어다. 문제는 센스 UI가 국내에서 판매되는 갤럭시 시리즈가 아닌 해외에서 판매되는 제품에도 쓰인다는 사실이다. 애초에 이렇게 많은 정보를 고객 동의 없이 앱에서 접근할 수 있다는 것도 문제다. 삼성전자 측은 개발 과정에서의 단순 실수라고 해명했다.
소비자는 선택할 수 없다
또 다른 문제는 이런 과도한 권한이 앱에 부여된 걸 확인한 뒤에도 소비자가 어떤 대응도 할 수 없다는 데 있다. 문제가 된 앱들은 프리로드라는 방식으로 스마트폰 제조과정에서 설치된다. 삼성전자가 이를 사용자가 지울 수 없는 롬(ROM)이라는 영역에 설치하기 때문에 삭제할 수 있는 방법이 없다. 바탕화면에서 보이지 않게 지워도 아이콘만 사라지지 앱 자체는 남는다.
방송통신위원회는 지난해 말 스마트 모바일 시큐리티 종합계획이라는 스마트폰 정보보안 대책을 마련하면서 앱의 무분별한 정보보호 수집을 제안하기 위한 조치도 마련했다. 이 가운데 한국형 앱 게놈 프로젝트라는 건 이번에 고려대 측이 밝혀낸 것처럼 개별 앱의 위험을 미리 확인하는 예방 기능이다. 하지만 이는 시중에 새로 유통되는 앱을 진단하기 위한 것이다. 이번 경우처럼 제조사가 미리 만들어 배포하는 앱들은 파악도 쉽지 않은 데다 한 번 설치된 뒤에는 이후 삭제하기도 쉽지 않다.
정진욱 김상훈 coolj@donga.com sanhkim@donga.com
About Dong-A Ilbo