이스트애드 “단순 지역정보만 확인...서버에 저장하지 않는다”

[보안뉴스 호애진] 스마트폰 사용자의 위치 정보를 무단으로 수집한 혐의로 광고대행업체 3곳이 27일 적발됐다. 이 중에는 이스트소프트의 자회사인 이스트애드도 포함돼 있어 파장이 증폭되고 있다.

이스트애드의 광고 플랫폼 ‘애드로컬’에 쓰인 폰 사용자 위치정보 수집 프로그램은 모기업인 이스트소프트가 개발한 것으로 드러났다. 이스트애드는 해당 기술을 기반으로 지역 광고 사업을 진행하고 있었던 것.

 

경찰은 애드로컬 모바일에서 확인하는 위치정보는 단순 위치정보가 아닌 개인 위치정보로 봐야 하기 때문에 개인 위치정보 사용을 위한 사용자 동의 절차가 더욱 명확했어야 한다고 판단, 이스트애드의 대표를 불구속 입건했다.

그러나 이스트애드측은 “해당 위치정보와 특정 사용자를 연결하지 않기 때문에 단순 위치정보라고 판단했다”며 “단순 위치정보 활용을 위한 위치기반 서비스 사업자 신고 및 그에 상응하는 사용자 동의 프로세스는 갖췄다”고 주장하고 있다.

즉 애드로컬 SDK는 개인 사용자를 식별하거나 지칭할 수 있는 정보(이름, 성별, 나이, 전화번호, 주민등록번호 등)를 수집·저장하는 것이 아닌, 단순 지역정보(위치정보)만을 확인한다는 것. 아울러 해당 위치정보는 별도 서버에 저장하지 않으며 바로 삭제되도록 시스템화돼 있다고 덧붙였다.

 

하지만 경찰 수사과정에서 애드로컬 서버에 GPS정보가 저장된 것이 확인됐다. 이 점에 대해 이스트애드는 “업데이트 과정에서 발생한 오류로 스마트폰의 GPS값이 웹로그 형태로 임시 저장돼 있다”며 “off로 설정돼 있던 서버저장 기능이 시스템 업데이트 과정에서 on으로 변경되면서 발생한 잘못이며 경찰 수사과정에서 해당 내용을 확인후, 관련 정보를 즉각 삭제했고 현재는 일체의 GPS정보가 저장되지 않는다”고 해명했다.

경찰은 “이번에 입건된 광고대행사들이 수집한 위치정보가 별도의 기술적 보안 조치 없이 서버에 보관돼 있어 해킹당할 경우 2차, 3차 피해도 발생할 수 있다”고 우려했다. 이에 이스트애드는 “애드로컬 관련 시스템과 서버는 모두 방화벽이 설치돼 있다”고 반박하고 있다.

이스트애드의 관계자는 “현재 스마트폰 사용자의 위치정보를 활용하는 대부분의 앱들이 앱 설치나 실행 단계에서 위치정보 활용에 대한 사용자 동의 프로세스를 적용하고 있고 애드로컬도 동일한 방식을 채택하고 있다”며 “지금의 법률 해석을 적용하면 대부분의 위치기반서비스 사업자들은 불법을 면할 수 없는 구조”라고 토로했다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>