<M이코노미 김선재 기자> 전 세계 스마트폰 보급률이 70%에 육박할 정도로 스마트폰은 우리에게 친숙한 존재가 됐다, 2016년 3월 TNS·KT경제경영연구소에 따르면 우리나라의 스마트폰 보급률은 91%로, 스마트폰 보급률 세계 1위다. 스마트폰이 많이 보급된 만큼 우리는 아무데서나 무선인터넷을 즐길 수 있고, 필요할 때 바로바로 원하는 정보를 얻을 수 있게 돼 생활이 상당히 편리해졌다. 그러나 그만큼 스마트폰을 노리는 해킹 수법이 다양해져 개인정보 유출의 위험성도 커진 것인 사실이다. 그래서 사람들은 보안에 많은 신경을 쓰지만, 굳이 해킹이라는 불법적인 수단에 당하지 않더라도 스마트폰에서 개인정보가 유출될 수 있는 통로는 활짝 열려있다고 해도 과언이 아니라고 할 수 있다. 바로 어플리케이션(앱) 실행을 위한 ‘접근권한’ 때문이다.
직장인 최성민 씨(29)는 어느 날 자신의 스마트폰에 은행앱을 설치하는 과정에서 이상한 점을 발견했다. 은행앱을 선택하고 설치를 하는데 필요한 ‘동의 요구사항’에 ‘위치정보’가 포함돼 있었기 때문이다. 게다가 통화기록, 사진·영상 촬영 등 카메라와 관련된 권한도 동의를 요구하고 있었다. 최 씨는 “내 통장에서 다른 사람 통장으로 돈을 이체하거나 잔고를 확인하는 용도로만 앱을 사용하는데, 이런 요구사항들이 굳이 필요한 부분인가 싶은 생각이 들었다”면서 “위치정보나 카메라에 대한 권한까지 요구하는 부분은 아무래도 이해하기 어려웠다”고 말했다.
대학생 김승철 씨(21)도 비슷한 일을 겪었다. 게임을 휴대폰에 설치하고 실행하자 전화를 걸고 통화목록에 접근할 수 있는 권한 등을 요구하는 창이 떠 이를 거부했더니 게임 실행이 안 됐다. 김씨는 울며 겨자먹기로 게임에서 요구하는 접근권한 요구를 수용했지만, 꺼림칙한 기분을 떨칠 수가 없었다고 말했다. 김씨는 “게임앱을 통해서 어디 전화를 하거나 할 일이 없는데 앱에서 왜 이런 권한을 요구하는지 알 수 없다”며 “이를 거부하고 싶지만, 거부하면 앱 자체의 실행이 안 돼 어쩔 수 없이 동의를 하기는 했지만 찜찜한 마음을 떨쳐 버릴 수가 없다”고 언짢아했다.
한국, 평균 53개 앱 설치…아시아·태평양 국가 중 최대, 출시된 앱만 420만개
스마트폰 보급이 활발해지면서 어느 순간 PC보다는 스마트폰을 사용하는 것이 더 자연스러운 시대가 됐다. 손에 고 다니면서 필요한 순간 원하는 정보나 즐길 거리를 바로 해결할 수 있다는 신속성과 편의성 때문이다. 특히, 우리나라는 스마트폰 보급률이 91%로 세계 최고 수준인 만큼 출시된 앱만 420만개(2016년 6월 기준, 애플 앱스토어 200만개, 구글 구글플레이스토어 220만개)가 넘을 정도로 다양한 앱들이 스마트폰 이용자들을 둘러싸고 있다.
출시된 앱이 많은 만큼 스마트폰 이용자들이 자신의 단말기에 설치해 둔 앱 수도 많다. 지난달 4일 구글코리아에 따르면 구글 아시아·태평양 법인은 일본, 싱가포르, 인도네시아, 중국 등 아시아·태평양 지역 10개국 스마트폰 이용자 1만명을 조사한 ‘2016년 아·태 지역 모바일 앱 보고서’에서 지난해 한국 소비자들의 스마트폰 평균 설치 앱은 53개에 달해 아·태 지역 국가 중 1위를 차지했다고 발표했다. 2위와 3위를 차지한 싱가포르, 필리핀의 평균 설치 앱은 35~45개 수준이었다. 스마트폰에 설치된 앱 수가 가장 적은 아·태지역 국가는 중국으로 평균 25~30개가량이었고, 베트남, 태국, 인도네시아, 인도 등도 각각 30~35개로 하위권에 속했다.
국가별로 스마트폰에 설치된 앱 수가 다른 이유는 단말기 사양, 현지 앱 시장의 다양성과 관련 있다는 것이 보고서의 분석이다. 스마트폰 단말기의 사양이 낮고 설치할 수 있는 앱의 다양성이 떨어질수록 소비자 입장에서는 스마트폰 단말기에 설치할 앱 선택의 폭이 줄어들게 된다. 우리나라에는 삼성전자, LG전자 등 세계 스마트폰 시장에서 높은 평가를 받는 제품을 생산하는 기업이 있고, 매년 새로운 기술과 기능이 접목된 스마트폰이 출시돼 소비자들의 눈을 사로잡는다. 또한 IT와 관련된 높은 수준의 요구사항과 민감도는 제품 사양과 주변 인프라 수준을 높이는데 큰 역할을 하기도 했다. 전 세계에서 길거리에서 무료 무선인터넷을 할 수 있는 나라, 무선인터넷속도가 이 정도로 빠른 나라는 우리나라가 유일하다. 앞에서 언급한 것처럼 출시된 앱의 수는 420만개에 달한다.
높은 수준의 IT환경과 스마트폰 보급률은 그에 걸맞은 ‘보안’을 요구하기 마련이다. 특히, 우리나라 국민들은 기업이나 은행 등의 관리 소홀로 인한 고객개인정보유출 사례를 많이 접하고 피해를 보기도 했기 때문에 개인정보보호에 상당히 민감하다. 지난달 19일 기준 ‘구글플레이스토어의 인기앱’ 상위 10개 중 보안과 관련된 앱은 3개이다. 상위 30개로 범위를 확대하면 총 6개의 보안 및 스파이웨어 관리 앱이 인기앱 순위에 이름을 올렸다. 이처럼 스마트폰 이용자는 자신의 개인정보보호에 민감한 모습을 보이지만, 이런 노력을 물거품으로 만드는 것이 일부 앱의 지나친 ‘접근권한’ 요구다. 이용자들이 앱을 설치하는 과정에서 별다른 의심 없이 ‘동의’ 버튼을 누르는 습관을 이용해 개인정보를 수집하는 사례가 늘고 있기 때문이다.
전문가들은 스마트폰 운영체제가 안드로이드인 경우에는 더욱 신경을 쓸 필요가 있다고 조언한다. 안드로이드가 애플의 iOS보다 보안에 취약하다는 근거는 없지만, 안드로이드의 경우 이용자가 임의로 설치파일(APK)을 다운받아 앱을 설치할 수 있는 등 자유도와 확장성이 넓기 때문에 보안에 더 신경을 써야 한다는 것이다.
스마트폰 뱅킹 하는데 위치정보가 왜 필요?
스마트폰 이용자라면 단말기에 새로운 앱을 설치할 때 ‘동의여부’를 묻는 창이 뜨는 것을 볼 수 있을 것이다. 지금까지는 그냥 무심코 ‘동의’ 버튼을 눌렀다면 앞으로는 이 창의 내용을 잘 살펴보기 바란다. 스마트폰 단말기에 설치된 모든 앱은 실행 간 ‘접근권한’을 필요로 한다. 네이버 정보보호실에 따르면 ‘접근권한’이란 앱이 작동하는 과정에서 스마트폰의 기능을 제어하거나 저장된 정보에 접근하기 위해 OS가 제공하는 기능 또는 기기에 저장된 각종 정보에 접근할 수 있는 권한을 말한다.
예를 들어 내비게이션앱을 사용하는 경우라면 이용자의 위치를 중심으로 길 안내를 해야 하기 때문에 이용자 위치정보에 대한 접근권한을 요구한다. ‘카카오톡’과 같은 메신저앱이 경우 대화상대를 목록에 자동으로 추가하기 위해 전화번호부나 주소록에 접근할 수 있는 권한을 요구하고, 대화 도중 사진이나 영상을 주고받을 수 있게 하기 위해서 카메라, 저장된 미디어 파일에 대한 접근권한을 요구한다. 이밖에 안드로이드에서는 ▲통화기록 읽기 ▲문자메시지 받기·수정 ▲일정 추가·변경 등을 요구하는 등 130여개의 세부 접근권한을 제공하고 있다.
스마트폰에는 이용자의 개인정보를 담고 있는 경우가 대부분이기 때문에 앱의 기능을 구현하는데 있어 꼭 필요한 접근권한만 요구한다면 문제가 될 것이 없겠지만, 앱의 기능을 넘는 범위의 접근권한을 요구하는 사례가 많다는 것이 문제다. 일반적으로 개인정보수집 약관을 꼼꼼하게 읽어보고 동의하는 경우가 거의 없듯이 이용자가 앱을 설치할 때 앱이 요구하는 접근권한을 일일이 확인하지 않는다는 점을 악용하는 것이다. 실제로 2014년에는 일부 손전등 앱이 본래 기능과는 무관한 접근권한 요구를 통해 이용자의 위치정보와 유심칩 고유번호, 개인일정 등 개인정보를 빼돌린 일이 있었다. 해당앱은 각종 정보를 빼내는 10개 명령어를 숨겨놔 이용자가 앱을 설치하고 실행하는 순간 이용자의 개인정보를 빼돌린 것으로 확인됐다. 빼돌려진 이용자 개인정보는 해외 광고 마케팅 회사의 서버로 전송됐다. 돈을 받고 팔아넘긴 것이다.
기능과 무관한 접근권한 요구 많아...
이밖에도 앱이 기능과 무관한 접근권한을 요구하는 사례는 어렵지 않게 찾아볼 수 있다. 구글플레이스토어에 등록돼 있는 은행·카드·결제 앱들의 접근권한 요구사항을 살펴본 결과 금융거래와 관련 없는 것으로 보이는 접근권한 요구사항이 다수 발견됐다.
신한은행의 ‘신한S뱅크’는 ▲ID(기기 계정 검색) ▲캘린터(소유자에게 알리지 않고 캘린더 일정을 추가 또는 수정) ▲주소록 ▲위치 ▲문자메시지 ▲사진·미디어·파일 ▲카메라(사진·동영상 촬영) ▲기기ID 및 통화정보 등 총 29개의 접근권한을 요구해 접근권한 요구가 가장 많았다. ‘NH스마트뱅킹’, ‘KB국민은행 스타뱅킹’, ‘우리은행 원터치 개인뱅킹’, ‘i-ONE 뱅크(중소기업은행)’등 다른 은행들의 앱도 요구하는 접근권한의 수만 다를 뿐이지 전반적으로 비슷한 내용의 접근권한을 요구하고 있었다.
유사한 지적은 2015년 국정감사 때도 있었다. 김기식 당시 새천년민주연합(현 더불어민주당) 의원(현 더미래연구소장)은“금융회사들이 금융앱 이용에 필요하지 않은 정보까지 접근할 권한을 요구하고 있다”며 “설령 지점 검색 등 부수적이 서비스를 위해 해당 접근권한이 필요하더라도 본질적인 뱅킹외의 부분은 고객들이 서비스 이용 여부와 정보 제공 여부를 선택할 수 있도록 하는 것이 타당하다”고 지적했다.
이어 “특히, 이렇게 불필요하고 과도한 접근권한을 내주는데 동의하지 않으면 앱 다운로드 자체가 불가능하고 스마트폰 뱅킹 서비스를 아예 이용할 수 없다”면서 “이는 지난해(2014년) 신용정보와 관련해 모든 정보를 회사가 서비스 제공에 반드시 필요한 ‘필수 동의사항’과 그 외의 ‘선택 동의사항’으로 구분해서 이용자에게 설명하고, 필수정보는 최소한으로 제한하며 이용자가 선택사항에 동의하지 않는다는 이유로 회사가 서비스 제공을 거부할 수 없도록 개정한 신용정보법의 취지를 훼손하는 것”이라고 강조했다.
또한 녹색소비자연대 전국협의회 ICT소비자정책연구원이 지난해 11월29일 다운로드 상위 30위에 해당하는 인기 앱을 대상으로 접근권한 요구 현황을 조사한 결과 보안앱인 ‘360 시큐리티(Security)’는 무려 42개의 접근권한을 요구하는 것으로 나타났다. 이 앱은 단말기 내 불필요한 파일을 정리하고 스파이웨어로부터 단말기를 보호하는 것이 주요 기능이지만, ▲위치정보 ▲카메라 ▲오디오 ▲주소록 읽기·수정 ▲문자메시지 전송·읽기 등 거의 모든 종류의 접근권한을 요구하고 있었다. 비슷한 역할을 하는 ‘V3 모바일 플러스(Mobile Plus)’가 10개의 접근권한만을 요구하는 점과 비교했을 때 상당히 많은 수준이다. 접근권한 요구사항이 전혀 없는 ‘경찰청 폴-안티스파이(스파이웨어 탐지 및 삭제)’와도 비교된다. 결국 앱의 접근권한 요구는 기능에 대한 고려보다 앱을 제작하는 회사가 ‘이용자의 어떤 정보에 접근할 것인가’를 우선한데 따른 것으로 볼 수 있다. 아울러, 상위 30위 앱 중 21개 달 하는 앱이 위치정보에 접근할 수 있는 권한을 요구하는 등 많은 앱이 본래 기능과 무관한 접근권한을 요구하고 있는 것으로 분석됐다.
2015년 방통위, 앱 관련 가이드라인 마련…정부도 안 지키는 ‘무용지물’
방송통신위원회도 스마트폰 앱의 과도한 접근권한 요구에 따른 문제를 인식하고 2015년 8월 ‘스마트폰 앱 개인정보보호 가이드라인’을 내놨다. 가이드라인은 개인정보 수집 및 이용의 투명성 확보를 통해 안전하고 편리한 스마트폰 이용문화를 확산하기 위해 앱 관련 단계별·사업자별 개인정보보호기준을 제시한 것이다. 먼저 앱이 이용자의 스마트폰 정보에 접근할 수 있는 권한의 범위를 서비스에 필요한 범위 내로 최소화했고, 앱 마켓 등록 시 권한정보와 개인정보 취급방침을 알기 쉽게 공개하도록 해 이용자가 다운받을지를 결정하도록 했다.
또한 개인정보 취급과 관련, 동의절차를 간소화해 편리하게 서비스 이용이 가능하도록 하고 서비스 탈퇴 절차 등을 쉽게 개선했다. 하지만 법적 의무사항이 아니고 이를 위반했을 경우 처벌에 대한 조항이 없기 때문에 앞서 언급한 내용에서 알 수 있듯 시행 1년이 넘도록 별다른 효과를 보지 못하고 있다. 실효성이 떨어진다는 의미다.
방통위의 가이드라인 발표 1년이 지난 시점인 지난해 8월19일 녹색소비자연대 ICT소비자정책연구원은 같은 달 17일 정부가 발표한 ‘정부 3.0 서비스 알리미 앱’에 연결되는 194개의 정부 서비스 중 앱 형태로 제공되는 91개 앱(안드로이드 구글플레이스토어)을 조사해 이들 앱의 접근권한 요구가 평균 10개에 달했다고 밝혔다. 당시 조사결과에 따르면 경찰청의 ‘스마트 국민제보’ 앱은 27개, ‘국립자연휴양림정보’ 앱은 26개, ‘국립공원 산행정보’ 앱은 25개의 접근권한을 요구했다. 이밖에 공항가이드, 교통정보 앱 등도 15개 이상의 접근권한을 요구했다. 이 중 ‘휴대전화 상태 및 읽기’ 55개(60.4%), ‘위치정보’ 50개(54.9%), ‘연락처’ 37개(40.7%), ‘카메라·오디오’ 31개(34.1%), ‘문자메시지’ 9개(9.9%) 등은 포괄적인 권한에 해당하는 것들이다. 5개미만의 권한을 요구하는 앱은 91개 중 13개로 전체의 14.3%에 불과했다. 결국 이용자의 스마트폰 정보에 접근할 수 있는 권한의 범위를 최소한으로 하라는 방통위의 가이드라인을 정부조차 지키지 않은 것이다. 현재 ‘스마트 국민제보’ 앱은 7개, ‘국립자연휴양림정보’ 앱은 5개로 접근권한 요구항목이 줄었다.
정보통신망법 개정…위반 시 3,000만원 과태료
관련해서 국회는 지난해 3월22일 스마트폰 앱의 무분별한 접근권한 설정으로 인한 개인정보 오남용을 방지하고, 이용자가 앱의 필수적 권한과 선택적 권한을 구분해 이용자의 동의를 받도록 한 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법)’ 개정안을 통과시켰다. 이와 함께 ▲선택적 접근권한에 대한 동의 거절을 이유로 서비스 제공을 거부하는 행위 ▲운영체제 사업자·단말장치 제조업자·앱 개발자각 접근권한에 대한 동의 철회 방법을 마련하는 등 필요한 조치를 이행하지 않은 행위에 대해 3,000만원 이사의 과태료를 부과하기로 했다. 개정안은 올해 3월23일부터 시행된다.
이에 발맞춰 방통위는 법률에서 위임한 접근권한의 범위, 동의 방법 등 구체적인 사항을 정한 ‘정보통신망법 시행령 개정안’을 같은 해 11월 발표했다. 방통위는 이용자의 통제가 필요한 접근권한의 범위를 ▲연락처·사진·바이오 정보 등 이용자가 저장한 정보 ▲위치정보·통신기록·신체활동기록 등 이용과정에서 자동으로 생성·저장되는 정보 ▲국제 모바일기기식별코드(IMEI) 등 개인과 쉽게 연결될 수 있는 고유식별정보, ▲음성인식·센서 등 입출력이 가능한 기능 등으로 규정했다.
방통위 개인정보보호윤리과 관계자는 “현재는 앱에서 설정하고 있는 접근권한이 왜 필요한지를 이용자들이 알 수 있는 방법이 없지만, 오는 3월에 시행되는 개정안은 이용자가 앱 마켓에서 앱을 다운받을 때 각 접근권한이 왜 필요한지를 알 수 있도록 하고 있다”며 앱에서 구현하는 어떤 기능 때문에 접근권한이 필요하다는 식으로 설명이 될 것이라고 전했다. 각 앱의 필수 접근권한 설정에 대해서는 “개정안 기준으로 사업자 측면, 이용자 측면, 기술적 측면이 있다”며 “사업자는 앱의 서비스 범위가 어디부터 어디까지인지를 공개해야 하는데, 공개한 내용 대비 실제 서비스가 제공되고 있는 부분이 필수 접근권한의 기준이 된다. 내용만 공개하고 실제 서비스가 이뤄지지 않는 부분은 효력이 없다”고 설명했다.
이용자 선택권 강화하는 노력 필요해
또한 앱 이용자가 서비스를 이용할 때 합리적으로 예측 가능한 범위 내에서 필수 접근권한 설정이 이뤄져야하고, 해당 서비스와 해당 접근권한이 기술적으로 관련성도 있어야 한다. 그러나 현재는 이러한 기준이 없다. 그러다보니 본래 기능과 무관한 접근권한을 요구한다.
접근권한의 과도한 설정 자체가 개인정보 수집을 전제로 하지는 않는다고 하더라도 개인정보에 접근해 수집할 가능성은 열어 둔 것이나 마찬가지다. 지난해부터 방통위와 한국인터넷진흥원이 사전 예방 차원에서 과도한지 아닌지를 판단하는 감독·개선활동을 하고는 있지만 관련성이 없는 접근권한 요구는 여전한 상황이다. 이용자의 개인정보에 대한 선택권을 강화하고 앱의 필수적 권한과 선택적 권한을 구분해 이용자의 선택권을 강화하는 노력이 절실한 상황이다.
MeCONOMY magazine February 2017
