주소록 정보, 사용자 동의 없이 암호화되지 않은 채 전송

[보안뉴스 호애진] 아이폰 앱 ‘패스(Path)’를 다운로드 받아 쓰고 있는 사용자들은 보다 주의를 기울여야 할 것으로 보인다. 주소록 정보가 유출될 수 있기 때문이다.

패스는 최근 각광을 받고 있는 소셜 네트워크 서비스(SNS)다. 이 앱은 한국과 미국의 앱스토어에서 무료로 다운로드 받을 수 있으며, 한글이 지원돼 국내에서도 많은 사용자를 보유하고 있다.

문제는 패스가 주소록 정보를 사용자의 동의를 구하지 않은 채 암호화되지 않은 상태로 자사의 서버에 전송한다는 점이다. 따라서 사용자가 공공장소에서 암호화되지 않은 와이파이를 이용할 경우 주소록 정보가 유출될 소지가 있다.

이는 아룬 탬프(Arun Thamp)라는 개발자가 7일(현지시각) 자신의 블로그를 통해 이 같이 밝히면서 파문이 걷잡을 수 없이 확산됐다.

그러자 패스의 CEO인 데이브 모린(Dave Morin)은 이에 대해 즉시 해명하고 나섰다.  “주소록 정보를 저장하는 것은 사용자가 친구를 찾거나 연결하려고 할 때 보다 빠르고 효율적으로 할 수 있도록 즉 편의를 위해서였다”고 밝혔다.

또한, 현재는 사용자의 동의를 먼저 구하도록 하는 옵트인(Opt-In) 방식으로 바꿨다고 덧붙였다. 안드로이드 버전에서는 이미 변경이 됐고, 아이폰 버전의 경우 애플의 승인을 기다리고 있다는 것.

이에 따라 애플의 앱스토어 정책에 대해 사용자들의 지적이 이어졌다. 애플은 자사의 정책상 동의를 먼저 구하지 않고 사용자의 정보를 전송할 수 없게 돼 있고, 아울러 사용자에게 해당 정보가 어떻게 어디서 쓰일 것인지 밝혀야 하기 때문이다.

앱스토어에 앱이 등록되기까지 까다롭고, 오랜 시간의 검수 과정을 갖고 있기로 유명한 애플로서는 당혹스러울 수 밖에 없다. 과연 애플이 이러한 사실을 알지 못했는지의 여부에 대해 의문이 제기되고 있으나, 현재 애플은 공식적인 입장을 밝히지 않고 있다.

아이러니한 점은, 패스가 인기를 얻게 된 이유가 페이스북 등과 같은 다른 SNS보다 개인정보 침해소지가 적었기 때문이다. 패스는 가입 시 이메일과 생년월일 등 간단한 정보 외에 많은 정보를 원하지 않는다. 또한, 친구는 50명 하고만 맺을 수 있으며 이들 외에는 자신의 담벼락 내용을 볼 수 없고, 웹페이지가 없기 때문에 글이 인터넷에서 검색되는 일이 없다.

이와 같이 패스는 제한적인 SNS로 많은 인기를 얻어 왔다. 그러나 이번 일로 인해 패스는 사용자들의 비난을 당하는 처지가 됐다.  

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>