동아일보

삼성 갤럭시S ‘거울’앱 속에 당신의 정보 몰래 보는 ‘눈’이 있다

  • Array

  • 입력 2011년 12월 5일 03시 00분

글자크기 설정

코멘트

삼성 갤럭시S에도 ‘캐리어IQ’와 유사한 프로그램 내장

크게보기
《 많은 사람이 손거울 대신 스마트폰을 꺼내 넥타이를 확인하고, 화장을 고친다. 국내에 스마트폰이 2000만 대 이상 보급되면서 새로 생긴 풍속도다. 스마트폰의 카메라 기능을 활용한 것이다. ‘거울’ 애플리케이션(앱)은 스마트폰을 더욱 손쉽게 거울로 바꿔주는 기능을 갖고 있다. 그런데 소비자들 가운데 누구도 몰랐다. 이런 단순한 앱을 통해 누군가 마음만 먹으면 자신의 위치와 휴대전화에 저장된 개인 연락처, 문자메시지 등을 맘대로 들여다볼 수 있었던 것이다. 》
거울 앱이 설치된 삼성전자의 ‘갤럭시S’ 시리즈는 국내에서만 1000만 대 이상 팔렸다. 삼성전자 측은 “정보를 수집하거나 활용한 적은 없다”고 밝혔지만 이 앱이 민감한 개인정보를 수집할 권한을 갖고 있었다는 사실은 인정했다. 소비자들은 “단순히 거울을 볼 때 위치정보와 주소록까지 파악될 수 있다는 사실은 몰랐다”며 당혹스러워했다.

○ 거울 볼 때 위치와 통화기록도 파악

이 사실을 발견한 고려대 정보보호대학원 김승주 교수는 “거울 앱이 작동할 때마다 사용자의 정보를 삼성전자나 이동통신사로 전송하는 사실은 확인되지 않았다”면서도 “지나치게 광범위한 정보를 수집하기 때문에 개인정보 유출 가능성을 배제할 수는 없다”고 설명했다.

거울을 보는 앱에 왜 이렇게 많은 개인정보에 접근할 수 있는 권한이 부여됐는지 의문이라는 것이다. 삼성전자가 개인정보를 수집하지 않았다고 해도 거울 앱이 제3자가 만든 해킹 프로그램이 정보를 빼내도록 돕는 ‘구멍’ 역할을 할 수도 있다는 게 김 교수의 설명이다.

갤럭시 시리즈의 ‘데이터 통신 설정’ 앱과 ‘프로그램 모니터’ 앱도 같은 문제를 갖고 있다. ‘데이터 통신 설정’은 스마트폰에서 데이터 통화를 할 때 유료인 3세대(3G) 통신망은 꺼두고 무료인 와이파이 통신망만 이용하는 데 사용하는 앱이다. ‘프로그램 모니터’ 앱은 안드로이드 운영체제(OS)를 사용하는 스마트폰의 특성에 따라 과도하게 사용하는 앱을 강제 종료할 때 주로 쓰인다.

그런데 이런 앱들이 거울 앱과 마찬가지로 사용자 스마트폰의 주소를 읽고 일정을 추가하거나 수정하며, e메일을 보내고 문자메시지를 읽도록 만들어졌다.

고려대 정보보호대학원은 이번 분석 과정에서 갤럭시S와 갤럭시S2 외에도 LG전자의 ‘옵티머스Q’ 스마트폰도 함께 조사했다. 그 결과 옵티머스Q에서는 이렇게 앱의 본질적 기능과 관계없는 지나친 개인정보를 요구하는 앱이 발견되지 않았다.

○ 누가 만들었나

안드로이드 OS를 개발한 건 구글이다. 하지만 안드로이드 OS는 제조사가 얼마든지 맘대로 수정할 수 있다. 동아일보 취재팀이 확인해 본 결과 같은 삼성전자 스마트폰이라고 해도 구글이 직접 기획해 만든 최신 스마트폰인 ‘갤럭시 넥서스’에는 문제가 된 3가지 앱이 들어있지 않았다. 반면 비슷한 시기에 발매된 ‘갤럭시 노트’에는 갤럭시S 시리즈처럼 과도한 권한을 부여한 앱이 들어 있었다.

문제가 된 앱이 설치된 스마트폰들은 모두 삼성전자가 직접 개발한 ‘터치위즈UI’라는 사용자 인터페이스를 쓰고 있었다. 이는 구글과는 별도로 삼성전자가 직접 만들었다. 터치위즈UI는 국내에서 판매되는 갤럭시 시리즈뿐 아니라 해외 판매 제품에도 쓰인다.

애초에 이렇게 많은 정보를 고객 동의 없이 앱에서 접근할 수 있다는 것도 문제로 지적된다. 삼성전자 측은 “개발 과정에서의 단순 실수”라고 했지만 사안의 성격을 감안할 때 상식적으로 납득하기 쉽지 않은 해명이다.

○ 소비자는 선택할 수 없다

스마트폰을 거울처럼 쓸 수 있는 ‘거울’ 앱에는 문자메시지 내용과 연락처 등 사용자의 개인정보에 대해 접근할 수 있는 권한이 들어갔다. 사진은 거울 앱을 사용하고 있는 모습. 원대연 기자 yeon72@donga.com
스마트폰을 거울처럼 쓸 수 있는 ‘거울’ 앱에는 문자메시지 내용과 연락처 등 사용자의 개인정보에 대해 접근할 수 있는 권한이 들어갔다. 사진은 거울 앱을 사용하고 있는 모습. 원대연 기자 yeon72@donga.com
또 다른 문제는 이런 과도한 권한이 앱에 부여된 걸 확인한 뒤에도 소비자가 어떤 대응도 할 수 없다는 데 있다. 문제가 된 앱들은 ‘프리로드’라는 방식으로 스마트폰 제조과정에서 설치된다. 삼성전자가 이를 사용자가 지울 수 없는 롬(ROM)이라는 영역에 설치하기 때문에 삭제할 수 있는 방법이 없다. 바탕화면에서 보이지 않게 지워도 아이콘만 사라지지 앱 자체는 그대로 남는다.

방송통신위원회는 지난해 말 ‘스마트 모바일 시큐리티 종합계획’이라는 스마트폰 정보보안 대책을 마련하면서 앱의 무분별한 정보보호 수집을 제한하기 위한 조치도 마련했다. 여기에 포함된 ‘한국형 앱 게놈 프로젝트’는 이번에 고려대 측이 밝혀낸 것처럼 개별 앱의 위험을 미리 확인하는 예방 기능이다. 하지만 이 프로젝트는 시중에 새로 유통되는 앱의 위험성을 파악하기 위한 것이다. 이번 경우처럼 제조사가 미리 만들고 스마트폰에 넣어 배포하는 앱들은 파악도 쉽지 않은 데다 한 번 설치된 뒤에는 삭제하기도 어렵다.

정진욱 기자 coolj@donga.com  
김상훈 기자 sanhkim@donga.com  


  • 좋아요
    0
  • 슬퍼요
    0
  • 화나요
    0
  • 추천해요

댓글 0

지금 뜨는 뉴스