개인정보만 '쏙'...'도둑' 앱 1325개

-셔터플라이·홍콩 디즈니랜드·삼성헬스·삼성브라우저 등 포함

 

안드로이드 앱 1300여 개가 사용자 동의 없이 개인 정보를 마음대로 수집했다는 연구 결과가 나왔다.

 

13일 관련 업계에 따르면 국제 컴퓨터 과학 연구소(International Computer Science Institute·ICSI)는 최근 안드로이드 앱의 사용자 정보 유출 조사 결과를 발표했다.

 

구글 스토어에 있는 8만8000여 개의 앱을 조사한 결과 1325개가 사용자 정보를 무단으로 수집했다. 사용자가 개인 정보 이용에 동의하지 않아도 이들은 50여 가지가 넘는 방법으로 데이터를 빼왔다고 ICSI는 밝혔다.

 

가령 이미지 편집 앱인 셔터플라이(Shutterfly)는 사용자가 위치 정보 수집 권한을 거부하자 사진에서 위성항법장치(GPS) 좌표를 수집했다. 셔터플라이 측은 "허가를 받은 위치 데이터만 수집할 것"이라고 해명했다.

 

일부 앱은 장치가 연결된 와이파이 라우터의 맥 주소를 수집하는 방식으로 위치 정보를 모았다. 개인 정보 이용 동의를 받은 앱을 통해 데이터를 빼 오기도 했다. 동일한 소프트웨어개발키트(SDK)를 사용해 데이터 공유·접근이 가능하다는 점을 악용한 방식이다.

 

이를 통해 데이터를 가져온 앱은 홍콩 디즈니랜드와 삼성헬스, 삼성브라우저 등이 있다. 이들 앱은 중국 바이두가 만든 SDK를 사용해 사용자 정보를 가져올 가능성이 있다고 연구진은 설명했다.

 

ICSI는 연구 결과를 미국 연방무역위원회(FTC)에 전달했고 구글과 공유했다. 내달 열리는 유즈닉스 보안 콘퍼런스에서 문제가 된 앱 전체 목록을 공개할 계획이다.

 

구글은 "오는 10월 출시할 안드로이드Q에서 데이터 수집 문제를 수정해 내놓겠다"고 약속했다.

 

세루즈 에글맨(Serge Egelman) ICSI 연구원은 "사용자가 개인 정보를 보호할 수 있는 방법은 사실상 존재하지 않는다"며 "앱 개발자가 시스템을 우회해 정보를 빼낸다면 사용자에게 개인 정보 수집 동의를 받는 건 아무 의미가 없다"고 지적했다.