1. 서론
스마트폰은 금융, 의료와 같은 민감한 개인정보를 처리하는 업무를 포함해 전화, 메시지, GPS(Global Positioning System) 등의 다양한 기능을 활용할 수 있습니다. 이와 같은 스마트폰의 특성상 기기 안에 이용자의 고유 식별정보, 바이오 정보를 포함한 다량의 개인정보가 저장돼 있기에 스마트폰 개인정보 유출은 막대한 피해로 이어질 수 있습니다.
그런데 일부 해외 애플리케이션에서 필요 이상의 개인정보를 수집하거나, 심지어 이용자의 동의 없이 무단으로 개인정보를 수집한 사례가 발견됐습니다.
국내 기업의 경우, 현행법상 엄격한 개인정보 보호법, 정보통신망법에 맞춰 개인정보를 취급하고 있는데요. 문제는 해외 기업의 경우, 본사가 해외에 존재한다면 정보통신 서비스 제공자로 볼 수 없는 경우가 많고 국내법에 적용되지 않는 경우도 존재한다는 것입니다. 이번 글에서는 국내에서 서비스되고 있는 해외 애플리케이션의 무분별한 개인정보 수집에 관한 문제점을 도출하고 이에 대한 개선할 방안을 제시하고자 합니다.
2. 해외 애플리케이션의 무분별한 개인정보 수집에 관한 문제점
1. 개인정보로서의 IMEI, MAC
최근 모바일 기기의 수가 증가함과 동시에, 기기에 내장된 모바일 고유 식별정보인 IMEI(International Mobile Equipment Identify) 값과 MAC(Media Access Control) 주소 또한 다수 생성되고 있습니다. 스마트폰에는 고유식별정보, 바이오 정보를 포함한 다량의 개인정보가 저장된 만큼, 모바일에 대한 보안 인식이 나날이 중요해지고 있는데요.
애플리케이션에서 수집되고 있는 MAC 주소와 IMEI의 경우, 국내에서도 개인정보로 판단될 가능성이 있는 정보입니다. MAC 주소는 바꿀 수 없는 고유한 하드웨어 기기 번호이기 때문에 다른 정보들과 결합할 경우 사용자를 특정할 여지가 있기 때문이죠. 이와 같은 이유로 유럽의 개인정보 보호법인 GDPR(General Data Protection Regulation)의 경우, 온라인 식별자를 개인정보에 포함하기도 합니다.
국내에서도 KISA(한국인터넷진흥원)에서 발행한 <개인정보 영향평가 수행안내서>에 기재된 개인정보 영향도 등급표 작성 예시를 보면 MAC 주소가 개인정보로 분류돼 있습니다. 또한, IMEI도 단말기에 부여된 고유한 일련번호로, 국내에서 개인정보로 판단된 판례가 있는데요. 2011년 증권정보 애플리케이션 ‘증권통’에서 IMEI와 USIM(Universal Subscriber Identity Module) 일련번호 등을 수집해 개인정보 무단 수집으로 유죄 판결을 받은 것이 그 사례입니다.
개인정보 보호법 제16조에 따르면 개인정보처리자는 최소한의 개인정보만을 수집하여야 하며, 최소한의 정보 외의 수집에는 동의하지 않을 수 있다는 사실을 정보 주체에게 고지해야 합니다. 그런데 틱톡의 경우, 애플리케이션 실행 직후 개인정보로 판단될 여지가 있는 MAC 주소와 IMEI를 틱톡의 서버로 전송했죠. 해당 정보들이 애플리케이션 운영을 위해 필수적이었는지도 확실하지 않습니다.
틱톡과 인도 정부에서 사용을 금지한 애플리케이션들에서도 온라인 식별자인 MAC 주소나 안드로이드 고유 식별정보인 IMEI 값을 수집하고 있는 것이 확인되었는데요. 이러한 정보 수집은 개인정보 보호법 제16조를 위반했을 가능성이 있습니다.
호주 정보보안 의회 합동위원회 의장인 앤드류 해스티 하원의원은 틱톡이 베이징 당국과 개인정보를 공유할 수 있는 것에 우려를 표했고, 이는 잠재적인 국가 안보 위협이 될 수 있다고 언급했는데요. 이처럼 IMEI와 MAC 주소와 다른 개인정보를 추가로 결합할 경우 개인을 특정할 수 있는 소지가 있을 뿐만 아니라, 더 나아가 국가적인 문제로 이어질 가능성도 있습니다. 다만 이러한 개인정보 수집 이슈가 발생한 것은 틱톡이 처음은 아니었습니다.
2. IMEI, MAC 수집
기기의 IMEI 값을 알아낼 때 모바일 기기를 복제할 수 있는 위험이 발생할 수 있습니다. 기존 휴대전화와 복제된 휴대전화가 동시에 켜져 있으면, 통신사 측에서 두 휴대전화를 비활성화 시킬 수도 있는데요. 이로 인해 기존에 사용하고 있는 사용자의 네트워크가 연결되지 않아 정상적으로 서비스를 이용할 수 없는 문제가 생길 수 있습니다.
또한 복제된 휴대전화를 통해 신분 도용도 가능할 것으로 예상되는데요. 예를 들어, 공격자가 악의적인 목적으로 사전에 만들어 둔 피싱 사이트를 SMS 내에 포함해 기존 사용자의 지인에게 발송할 수 있습니다. 또한 기존 휴대전화를 통해 수신할 수 있는 SMS 문자 등이 복제된 휴대전화에서 수신될 수도 있죠. 최근 은행에서는 SMS 내 이중 인증 코드를 송수신해 사용자를 식별하는 방식을 채택하는 경우도 있는 만큼, IMEI 복제 문제의 위험도는 상당히 높을 것으로 예상됩니다.
실제로 IMEI를 통해 휴대전화를 복제해 범죄에 악용한 사례들이 존재하는데요. 과거 기초생활 보장 수급자 등을 대상으로 고가의 스마트폰 개통을 유도한 이후, 휴대전화 복제 프로그램을 이용해 약 1,184대의 휴대전화를 복제한 사례가 있었습니다. 해당 사례에서는 IMEI를 통해 휴대전화 복제를 진행했고, 이 과정에서 ‘IMEI Changer’라는 프로그램이 사용된 것으로 밝혀졌습니다.
그뿐만 아니라, 미국의 사이버 보안 정보 공유 기관인 SC 미디어는 비트디펜더(Bitdefender)사의 연구 보고서에 따르면, 중국과 일본의 안드로이드 사용자를 대상으로 스크린숏을 찍고, 전화 통화를 엿듣는 등의 기능을 가진 악성코드가 발견됐고, 피해자를 선별하는 과정에서 안드로이드 고유의 기기값인 IMEI를 기반했다고 전했습니다. 이처럼 IMEI 값을 악용한 범죄가 늘어나는 만큼 개인 및 기업 측에서 IMEI 값이 유출되지 않도록 보안을 강화해야 할 필요가 있습니다.
MAC 주소는 48bit로 구성된 네트워크 카드 하드웨어에 존재하는 고유한 물리적 주소이며 대부분의 네트워크 장비당 하나의 번호를 지니고 있는데요. 고유한 특징으로 인해 다른 추가적인 정보와 결합할 시 개인을 특정할 수 있는 소지가 있습니다.
정보보안 전문 언론사인 보안뉴스에서는 과거 아시아나 항공 홈페이지가 핵티비즘으로 추정되는 공격으로 인한 피해를 보았고, 이에 관해 일각에서는 MAC 주소를 변경시키는 스푸핑 공격 가능성이 제기되었다는 소식을 전했습니다. 이 사례처럼 여러 서비스를 운영하는 기업이 이러한 공격을 받을 경우, 고객의 개인정보가 유출되거나 이용자의 정상적인 서비스 이용이 불가능해지는 것 등과 같은 막대한 피해를 볼 수 있는 것이죠.
다만, 기업의 관점이 아닌 개인의 측면에서도 MAC 주소와 같은 고유 식별 번호에 대한 관리에 유의해야 할 필요가 있습니다.
최근 카페와 같은 편의 시설뿐만 아니라 공공장소에서도 Wi-Fi 설치가 확대되면서 인터넷을 어디에서나 이용할 수 있는데요. 공격자가 개방된 공유기를 대상으로 악의적인 목적을 지니고 ARP(Address Resolution Protocol Spoofing)와 같은 공격을 시도할 수도 있습니다. 공격자는 다수의 인원이 사용하고 있는 Wi-Fi에 접근해 자신이 공유기인 것처럼 사칭할 수 있는데요. 일반 사용자들이 이를 눈치채는 것은 쉬운 일이 아닙니다. 공격자는 사용자가 Wi-Fi를 이용하고 있는 동안 접근하고 있는 데이터, 사이트 정보, 개인정보 등을 무단으로 탈취할 수 있죠.
3. 해외 애플리케이션의 무분별한 개인정보 수집 개선 방안
1. 애플리케이션 제공자 측면 대응 방안
애플리케이션 공급사에서 애플리케이션의 개인정보처리방침을 공개하는 방식의 개선이 이뤄질 수 있습니다. 예를 들어, 애플리케이션을 공급하는 단계에서 애플리케이션이 수집하는 개인정보를 목적과 속성에 따라 구분해 다운로드 페이지에 기재하는 것인데요. 이를 통해 이용자가 애플리케이션을 내려 받기 이전에 수집하는 개인정보를 쉽게 확인하게 할 수 있습니다.
애플의 애플리케이션 스토어의 경우, 실제로 2020년 12월부터 자사 애플리케이션 스토어에 애플리케이션을 등록하려는 개발사가 애플리케이션이 수집하는 개인정보처리방침에 대한 정보를 함께 제출하도록 하는 방식으로 이와 같은 서비스를 제공하고 있습니다.
이는 개인정보처리방침의 내용을 더욱 접근하기 쉬운 곳에 노출하는 것뿐만 아니라, 이용자가 개인정보 수집 목적과 종류 등의 정보를 더 명확하게 알고 애플리케이션을 내려 받을 것인지에 대해 선택할 수 있도록 합니다. 또한 이때 애플리케이션 공급사가 개인정보처리방침의 내용이 적절한지에 대해 검수해 애플리케이션의 등록을 허용 및 거부하는 방법으로 공급하는 애플리케이션을 관리하고 있습니다.
2. 애플리케이션 이용자 측면 대응 방안
. 최신 버전의 시스템 이용
애플리케이션 이용자는 자신의 개인정보를 보호할 수 있도록 기능을 업데이트해 시스템을 최신화해야 합니다. OS는 MAC 주소나 IMEI와 같이 일반적으로 서비스 제공을 위해 필수적이지 않은 개인정보를 애플리케이션이 수집하려 할 때 접근할 수 없도록 합니다.
안드로이드 OS의 경우 Android 10부터 MAC 주소, IMEI와 같이 애플리케이션 이용자가 재설정할 수 없는 식별자를 읽는 함수의 사용을 제한했습니다. 특별 권한을 가지지 않은 애플리케이션이 해당 함수를 사용할 수 없도록 조치한 것이죠. 이처럼 애플리케이션 이용자는 OS 버전을 업데이트해 개인정보 무단 유출을 방지해야 합니다.
. 모니터링 및 알람 기능 이용
애플리케이션 이용자는 애플리케이션이 이용자 데이터에 접근할 권한을 요청할 때 이를 인지하고, 선별적으로 동의해야 합니다. OS에서는 애플리케이션의 활동을 감시해 애플리케이션이 특정한 권한을 요청하거나 사용할 때, 이용자에게 팝업 또는 특정한 표시 등으로 해당 사실을 알릴 수 있습니다. 이를 통해 불필요하거나 과도한 접근이 발생할 경우, 애플리케이션 이용자가 이를 인지하고 알람 기능을 즉각적으로 활성화할 수 있습니다.
. 입법 및 집행기관 측면
입법 및 집행기관은 정보 주체의 동의를 받지 않고 개인정보를 제3자에게 제공하는 등의 위반 행위에 대해서 과징금을 부과하고, 위반행위 주체인 기업 및 사업자를 수사기관에 고발하는 법안을 입법할 수 있습니다. 그리고 개인정보 암호화 조치 위반 및 이용내용 통지 위반, 거짓 자료 제출 등의 위반 행위에 대해서도 과징금을 부과하는 법안도 고려할 수도 있죠. 법규에 명시된 과징금에 대해서는, 최대 금액을 상향 조정해 이러한 위반행위가 재발하는 것을 방지하는 등의 개정안도 제시될 수 있습니다.
모바일 서비스 환경에 따른 개인정보 침해 논란이 증가하자, 미국 국회에서는 2014년 위치 사생활 보호법이 통과해 시행되고 있는데요. 이처럼 국내에서 서비스되는 해외 애플리케이션에서 개인정보 무단 수집 문제가 발생할 경우, 이를 제재하기 위한 모바일 개인정보 관련 법안의 입법을 고려할 수 있습니다.
4. 결론
국내에서 서비스되는 해외 애플리케이션의 사용이 빠르게 늘어나고 있지만, 이러한 서비스에 대한 보안 측면의 우려도 그만큼 증가하고 있습니다. 특히, 국내에서 서비스되는 해외 애플리케이션에서 국내 개인정보 수집 관련 법규를 위반해 이용자의 정보를 무단으로 수집하는 사례가 늘고 있죠. 이는 이러한 문제에 대해 법적인 대응이 확실하게 이루어지지 않았던 것은 물론, 기술적 보안 문제에 대해 선제적인 실증 분석이 이루어지지 않았기 때문입니다.
또한, 국내 기업에 의해 서비스되는 애플리케이션과는 달리 법적 제재가 정상적으로 이루어지지 않는 해외 애플리케이션에 대해, 이들의 위반 행위를 처벌할 수 있는 법적 근거가 부족한 것을 확인할 수 있었습니다. 앞으로는 위에 제시된 개선 방안을 기반으로 더욱 안전한 해외 애플리케이션 활용이 가능해지길 기대해 봅니다.
[출처]
Se-Hwan Kim, Hyung-Jun Yun, Da-Hyun Jung, Seung-Hoon Jang, Cheol-Kyu Han. “Research on the Analysis and Response of Unauthorized Personal Information Collection in Foreign Applications” Journal of The Korea Institute of Information Security & Cryptology: VOL.31, NO.3, Jun. 2021
글 ㅣ LG CNS 사이버시큐리티팀 한철규 책임/총괄
