방통위 “갤럭시S 정보수집 권한 과도… 유출은 없었다”

진상조사 결과 공개

삼성전자의 스마트폰에 포함된 앱(응용프로그램)에 사용자의 e메일과 문자메시지, 위치정보 등에 접근할 수 있는 지나친 권한이 들어 있다는 동아일보 보도에 대해 정부가 진상조사에 나섰다. 그 결과 과도하게 권한을 부여한 건 맞지만 실제로 개인정보가 유출된 사실은 없다는 결론이 나왔다.

▶본보 5일자 A1면 갤럭시S에도 개인정보 수집 앱 깔려있다
5일자 A3면 삼성 갤럭시S ‘거울’앱 속에 당신의 정보 몰래 보는 ‘눈’…

방송통신위원회는 국내에서만 약 1000만 대가 팔린 인기 스마트폰 ‘갤럭시’ 시리즈에 대해 5일 진상조사를 벌였다. 방통위 관계자는 “삼성전자가 만든 앱이 개인정보에 접근할 수 있는 권한을 과도하게 부여한 것은 맞지만 정보통신망법에 따른 책임을 물을 수는 없다”고 말했다.

이에 앞서 본보는 갤럭시S에 포함된 거울, 데이터통신설정, 프로그램모니터 등 3가지 앱에 본질적인 기능과 상관없이 개인정보에 접근할 수 있는 과도한 권한이 부여됐다고 보도했다.

갤럭시 스마트폰 소비자들은 보도를 접한 뒤 충격적이라는 반응을 보였다. 1년 반 전부터 ‘갤럭시S’를 써 왔다는 회사원 한유경 씨(34)는 “‘거울’은 나도 흔히 쓰는 앱인데 이런 막강한 권한을 갖고 있었다는 게 황당하다”며 “어떤 정보를 어떻게 가져갔는지, 가져가지 않았다면 뭐가 문제였는지 밝혀야 하는 것 아니냐”고 말했다.　　
▼ IT 전문가들 “해명 자체가 오류” ▼

삼성전자는 이날 “개인정보를 수집한 일이 전혀 없으며 해당 앱이 과도한 권한을 가진 것으로 나타난 건 표기 오류”라고 해명했다. 또 앞으로 이런 오류가 생기지 않도록 해당 앱을 수정해 다시 배포하겠다고 밝혔다. 하지만 언제 앱을 수정할 것인지에 대한 구체적인 일정은 공개하지 않았다.

○ 해명이 낳은 의문

삼성전자의 ‘갤럭시’ 스마트폰에 기본으로 설치된 앱이 문제가 된 건 크게 두 가지 점에서다. 첫째, 스마트폰을 쓸 때 사용자의 개인정보가 삼성전자나 제3자에게 유출됐느냐는 점이다. 이에 대해 방통위는 “그런 걱정은 없다”는 조사 결과를 내놓았다.

둘째, 이렇게 많은 권한을 소비자가 지울 수도 없는 기본 앱(응용프로그램)에 설치한 게 무슨 나쁜 의도가 있는 게 아니냐는 것이다. 방통위는 “권한 설정은 법적 책임을 물을 영역이 아니다”라고 밝혔다. 삼성전자는 이런 앱에 과도한 권한을 줬다는 지적에 대해 “단순한 표기 오류”라고 설명했다.

결국 두 번째 우려에 대한 불안은 해소되지 않은 것이다. 특히 앱 개발자와 보안 전문가들은 삼성전자의 ‘표기 오류’라는 해명에 “앞뒤가 맞지 않는다”는 반응을 보였다. 이들은 삼성전자가 개인정보 수집을 하지 않았다는 해명에 대해서는 별다른 문제를 제기하지 않았지만 ‘단순한 표기 오류’라는 해명에 대해서는 “해명 자체가 오류”라고 꼬집었다.

고려대 정보보호대학원 김승주 교수는 “접근 권한이 있다는 표기는 삼성전자가 하는 게 아니라 구글이 만든 안드로이드 운영체제(OS) 내부에서 자동으로 이뤄지는 것”이라며 “표기 오류라는 표현 자체가 말이 되지 않는다”고 지적했다.

안드로이드 앱을 만드는 한 소프트웨어업체 관계자도 “안드로이드 OS에서 접근 권한이 저절로 표기되는 것은 OS의 기본 기능이라 개발자가 해당 앱에 권한을 설정해야만 그렇게 표기된다”고 말했다. 표기가 잘못된 게 아니라는 얘기다.

표기 오류라는 설명이 맞아떨어지려면 구글이 만든 안드로이드 OS가 자체적으로 오류를 일으켜야 하는데 그런 사례는 지금까지 보고된 바 없다. 물론 삼성전자가 안드로이드 OS를 맘대로 개조하면 이런 일이 생길 수 있다. 하지만 구글은 호환성 테스트를 통과한 안드로이드폰에서만 ‘안드로이드 마켓’ 같은 고유 기능을 쓸 수 있게 한다. 갤럭시 시리즈는 모두 구글의 호환성 테스트를 통과했다.

삼성전자도 이날 해명자료에서 “필요 이상으로 환경설정이 된 것은 개발 과정에서 해당 기능을 정리하지 않았기 때문이며 이번 기회에 정리하겠다”고 밝혔다. ‘필요 이상의 환경설정’은 과도하게 권한을 부여했다는 걸 다르게 표현한 것이다. ‘단순한 표기 오류’라는 삼성전자 스스로의 주장과도 앞뒤가 맞지 않는 설명이다.

○ 어색한 해명, 고의성은 없나

한 국내 스마트폰 업체 관계자는 “삼성전자 측이 아마 문제의 앱에 권한을 부여하기는 했지만 실제로 정보를 수집하지 않았다는 사실을 강조하기 위해 ‘표기 오류’라는 표현을 고른 게 아닌가 싶다”고 추측했다.

실제로 삼성전자가 개인정보를 무단으로 수집했다면 이는 고객의 동의를 거치지 않았기 때문에 정보통신망 이용촉진 및 정보보호 등에 관한 법률 위반이다. 해외에서도 관련법에 위배되는 내용이어서 자칫하면 삼성전자가 대규모 집단소송에 휘말릴 가능성도 있다. 따라서 ‘개인정보를 수집하지 않았다’는 사실을 최대한 강조하려다 생긴 실수라는 해석이다.

삼성전자가 말을 바꿨던 것도 이런 해석에 신빙성을 더한다. 삼성전자는 4일 취재 과정에서 “실수로 권한이 부여된 건 사실이나 정보는 수집하지 않았다”고 공식 해명했다가 하루가 지난 5일에는 “권한이 부여되지 않았는데 표기를 잘못했다”고 말을 바꿨다.

한편 삼성전자가 사후 조치를 쉽게 내놓지 못하고 있는 것도 문제로 지적된다. 세계 스마트폰 시장 1위 업체인 삼성전자가 이런 일을 ‘실수’로 겪었다면 소프트웨어를 개발하고 이를 하드웨어에 설치하는 시스템의 관리 과정이 예상외로 허술하다는 뜻이기 때문이다.

만약 삼성전자가 고의로 문제의 앱에 과도한 개인정보 접근 권한을 부여했다면 문제는 심각해진다. 물론 세계적으로 수천만 대의 스마트폰을 판매하는 글로벌 기업이 의도적으로 이런 과도한 권한을 앱에 부여했을 가능성은 거의 없다. 특히 방통위 조사 결과에서도 해당 앱을 사용하는 과정에서 특별히 정보를 외부로 전송하는 트래픽(데이터 전송량)이 발견되지 않았기 때문에 이럴 위험은 낮다고 전문가들은 분석했다.

이번에 문제가 된 앱처럼 스마트폰 제조사가 안드로이드 OS 수정 과정에서 추가하는 앱에서 보안 결함이 생긴 경우도 보고되고 있다. 미국에서는 시중에 판매되는 안드로이드폰에 기본으로 설치된(프리로드) 앱이 정보 보안의 취약한 결함을 만들어 악의적인 해커에 의해 잘못 이용될 수 있다는 지적이 나온 바 있다.

정진욱 기자 coolj@donga.com　　
김상훈 기자 sanhkim@donga.com