스마트폰 라이프의 백미는 뭐니뭐니해도 다양한 어플리케이션에 있다. 편의성과 오락성을 두루 갖춘 각종 어플들은 21세기를 살아가는 현대인의 삶을 보다 윤택하게 해주는 필수불가결한 도구로 자리잡고 있다.
하지만 대부분의 어플은 설치하기 위해 내려 받는 과정에서 이용자의 개인정보에 대한 접근 권한을 요구한다. 접근 권한이란 앱을 설치하고 구동하는데 있어서 필요한 기능 사용의 범위를 말한다.
가령 이용자의 스마트폰에 있는 연락처와 통화기록, 사진, 위치정보, SMS, 미디어파일 등에 대한 접근 권한으로 대부분의 이용자는 검증된 어플마켓에서의 내려받기라는 점을 신뢰, 습관적으로 전체 동의 버튼을 누르게 된다. 설사 불필요한 접근 권한임을 인식하더라도 동의하지 않으면 앱을 다운받을 수 없기 때문에 선택의 여지는 없다.
업체들은 서비스를 제공하기 위한 최소한의 정보 수집이라고 하지만 앱의 목적이나 성격과 상관없는 과도한 정보를 요구하는 경우도 적지 않다. 정부가 만든 일부 서비스 앱조차 과도한 접근권한을 요구하고 있다는 지적을 받고 있다.
단순 정보제공을 위한 앱임에도 불구하고 국립자연휴양림정보는 12개 이상의 권한을 요구하며 휴대전화 상태 및 ID, 위치정보, 카메라, 연락처, SMS메시지 중 일부에 해당하는 포괄적 권한을 요구하고 있다.
김성수 의원(더불어민주당)은 최근 “미래부가 출시한 앱 41개를 분석한 결과 48.8%에 달하는 20개 앱이 10개 이상의 과도한 개인정보를 요구하고 있다”고 밝혔다. 미국 퓨리서치센터의 조사 결과에 비하면 상당한 수치이다. 이 센터는 지난해 전체 안드로이드 스마트폰 앱이 요구하는 평균 접근권한 수는 5개라고 발표했다.
김성수 의원은 “일부 앱의 경우 설치화면 시 새 창으로 뜨는 권한동의가 실제로 앱이 요구하는 권한보다 간략하고 불분명하게 표시되어 혼선을 주는 것도 문제”라고 지적했다.
스마트폰 앱 접근권한에 대한 과도한 개인정보 수집 문제가 촉발된 것은 지난 2014년 국내 이용자가 200만 명인 손전등 앱에 사용자의 각종 정보를 빼가는 명령어 10개가 숨겨져 있던 사실이 드러나면서부터였다.
해당 앱은 앱을 켜는 순간 사용자의 위치, 유심칩 고유번호, 심지어 기록해 둔 개인 일정까지 다 가져갈 수 있는 것으로 알려졌으며 빼돌려진 개인 정보는 여러 곳의 해외 광고 마케팅 회사 서버로 전송된 것으로 확인됐다.
이에 방송통신위원회와 한국인터넷진흥원은 지난해 8월 스마트폰 앱의 과도한 개인정보 접근을 막기 위해 ‘스마트폰 앱 개인정보보호 가이드라인’을 발표했다. 가이드라인은 OS 사업자로 하여금 앱 개발자가 이용자의 단말기정보 등에 불필요하게 접근할 권한 설정을 최소화하는 개발환경을 제공하도록 했다.
이에 따라 앱 개발자는 서비스 제공을 위해 필요한 범위 내에서만 앱 권한을 설정하도록 했다. 과도한 앱 권한을 부여 받아 이용자의 동의 없이 단말기정보 등으로부터 개인정보를 수집하면 정보통신망법 위반으로 관련 매출액의 3% 이하의 과징금, 5년 이하의 징역 또는 5천만원 이하의 벌금도 부과된다. 이를 뒷받침하기 위해 올해 3월에는 '정보통신망 이용촉진 및 정보보호 등에 관한 법률' 제22조의2가 신설되기도 했다.
한편 한 보안업계 관계자는 “설치된 앱의 접근권한을 확인할 수 있는 ‘권한관리자 앱’ 등을 통해 이용자 스스로도 보안상의 위험을 줄이려는 노력이 필요하다”며 “특히 사용자 행동 수집 권한을 요구하는 경우 개인 정보가 포함될 수 있으므로 경계해야 한다”고 설명했다.
