‘손전등 앱’ 정말로 개인정보 빼갈까?

MBC 뉴스 화면 스크린샷.

MBC의 ‘개인정보 빼돌린다’ 보도에 IT 커뮤니티 ‘갸웃’
“무료앱 광고 안에 개인정보 전송 명령어가 숨어 있어”
구글 쪽 “정확한 사실 파악중…조만간 결론 발표할 것”

[뉴스 AS]

MBC가 5일 밤 <뉴스데스크>에서 “인기 1위의 스마트폰 손전등 앱이 위치정보와 유심번호 등 개인정보를 해외 서버로 전송하고 있다”고 보도해 ‘손전등 앱’에 대한 불안감이 증폭되고 있습니다. 설치 당시 요구한 접근 권한 이상의 개인정보를 몰래 빼돌리고 있다는 겁니다. ‘위험 앱’으로 지목된 3개 앱은 고스란히 비난의 화살을 맞았고, 일부는 “사실과 다르다”고 밝혔습니다. 어떻게 손전등 앱이 개인정보를 ‘몰래’ 빼돌린 걸까요? <디지털 한겨레>가 짚어 봤습니다.

‘손전등 앱이 개인정보를 과다하게 가져가고 있다’는 논란은 1년 전에 한차례 크게 이슈가 되었습니다. 2013년 12월 한국의 공정위 격인 미국 연방거래위원회(FTC)는 안드로이드 스마트폰용 앱 ‘브라이티스트 플래시라이트 프리’(Brightest Flashlight Free)가 위치 정보를 무단 수집해 제3자에 유출했다고 밝힌 바 있습니다.( ▶SBS 12월6일자 보도 )

구글 플레이스토어는 앱이 접근할 수 있는 권한을 설치 전에 사용자에게 먼저 알리도록 하고 있습니다.

MBC가 자료화면을 통해 문제 삼은 앱 3개를 짚어 봤습니다.

MBC 뉴스 화면 스크린샷.

MBC 보도에 대한 플래쉬라이트의 반박 공지.

#. 플래쉬라이트(Nikolay Ananiev)

뉴스에 거론된 ‘플래쉬라이트’ 쪽은 펄쩍 뛰었습니다. 공지사항을 내고 “MBC의 보도는 잘못되었습니다. Tiny Flashlight는 필요한 권한 외에 위치 정보와 같은 사용자의 정보에 접근할 수 있는 권한을 사용하지 않습니다.”라고 주장했습니다. 요구하는 권한에 대해 일일이 설명까지 붙였습니다. 카메라와 마이크 권한을 요구하는 이유는 플래시를 활성화시키기 위해서라고 합니다.

‘브라이티스트 플래시라이트’ 설치 전에 뜨는 개인정보 요구 공지.

#. 브라이티스트 플래시라이트(GoldenShores Technologies, LLC)

‘브라이티스트 플래시라이트’는 2013년 미국에서 문제가 됐던 바로 그 앱입니다. 이 앱은 위치 정보를 요구한다는 사실을 설치 전에 알려줍니다. 요구하는 개인 정보로 ‘정확한 위치 정보 - GPS 및 네트워크 기반’ 항목이 가장 위에 뜹니다. 무료 앱에 붙는 광고 가운데 지역 기반 광고에 한해 사용자의 위치를 파악한 뒤 광고를 내보내기 때문인 것으로 보입니다.

#. 슈퍼 밝은 LED 플래쉬 등(Surpax Technology Inc.)

구글 플레이스토어에 있는 ‘슈퍼 밝은 LED 플래쉬 등’이 요구한 권한은 ‘카메라/마이크’ 권한뿐입니다. 그래서 일부 누리꾼들은 ‘슈퍼 밝은 LED 플래쉬 등’을 두고 “혹시 자료화면이 바뀐 실수 아니냐”고 추측하기도 했습니다. 이름이 비슷한 ‘가장 밝은 LED손전등’ 앱의 경우, 기기의 ID 및 통화정보, 통화가 연결된 원격 번호, 실행중인 앱과 기기 활동 정보, 인터넷 활동 기록에 북마크까지 전부 가져간다고 설치 전 미리 알려주고 있기 때문이었습니다.

이런 문제제기는 IT 커뮤니티를 중심으로 이뤄졌습니다. 구글의 플레이스토어에서 정식으로 다운받은 앱의 경우, 해당 프로그램이 요구하는 권한을 설치 전에 숨길 수 없게 돼 있다는 겁니다. 이에 따르면 보통 읽어보지 않고 그냥 설치해 버려서 문제가 되는 것이지, 읽기만 하면 걸러낼 수 있다는 얘기입니다.

하지만 MBC 보도는 이상 구글플레이스토어에서 고지하는 접근 권한 목록은 표면상일 뿐, 위치 정보와 유심정보, 개인 일정 등을 빼내 해외 서버로 전송하는 불법 명령어가 해당 프로그램의 소스코드 안에 감춰져 있었다는 겁니다. 즉, 구글 플레이스토어에서 카메라/마이크 권한만 요구한다는 앱을 깔았는데 내 위치정보나 통화 기록까지 몰래 가져가는 일이 가능하다는 얘깁니다.

MBC 보도 내용에 의문을 제기하는 누리꾼들의 글.

뉴스를 보도한 기자는 <한겨레>와의 통화에서 “해당 3개 프로그램의 소스 코드를 모두 분석한 결과”며, “프로그램은 아니지만, 프로그램의 광고 폴더 안에 위치정보 등 사용자의 개인정보를 유출하는 내용의 명령어가 공통적으로 발견됐다”고 설명했습니다. 해당 손전등앱이 아닌 앱 속의 광고 프로그램에 개인정보를 전송할 수 있는 명령어가 숨어있다는 얘깁니다. 그렇다면 개발자는 이 사실을 알고 있었을까요? MBC 기자는 "개발자가 프로그램에 들어가는 광고API의 코드를 몰랐을 리가 없다. 의도가 있었다고 봐야 한다"고 덧붙였습니다.

만약 무료 앱의 광고가 정보를 빼내가는데도 구글은 이를 알지 못하고 있었다는 문제라면, 비단 손전등 앱만의 문제가 아닙니다. 전세계 구글 플레이스토어의 정책에 큰 헛점이 있을 수 있다는 얘깁니다. 구글에서는 정말 그런 문제가 있는지 사실 확인 단계를 거치고 있다고 합니다. 구글코리아의 정김경숙 상무는 “정확한 사실을 확인하기 위해 시간이 걸린다. 구글 내부 팀에서 들여다보고 있으니 조만간 결론을 발표하겠다”고 말했습니다.

정유경 기자 edge@hani.co.kr