| 中 스마트폰 앱, 사용자 개인정보 획득 권한 노려 | 2013.05.18 |
“앱 10개 중 7개 꼴로 개인정보 접근 권한 신청” ‘기기 식별 정보’ 62%로 1위...단말기 전화번호·위치정보·연락처 순
[보안뉴스 온기홍=중국 베이징] 중국에서 일부 스마트폰 애플리케이션(앱)이 사용자 개인정보를 빼가는 문제가 고개를 들고 있다. 중국 온라인 메신저·게임·포털·보안회사인 텅쉰(QQ)은 최근 발표한 ‘2013년 제1분기 모바일 보안 보고’에서 “1분기 들어 중국에서 일부 악성 스마트폰 애플리케이션이 과도하게 월권해 사용자 프라이버시를 빼가는 현상이 수면 위로 떠올랐다”고 밝혔다. 텅쉰의 모바일 보안랩(QQSecurityLab)은 제1분기 동안 임의로 뽑은 약 470만개의 스마트폰 관련 소프트웨어(S/W) 패키지에 대해 코드 스캐닝과 함께 개인정보 접근 권한 신청 및 획득 여부를 분석한 결과, 개인정보 획득 권한을 갖고 있는 S/W의 비율이 71%에 달했다고 밝혔다. 즉 333만개 스마트폰 앱은 개인정보 획득 권한을 신청했으며, 그 권한과 관련 있는 운영 코드를 갖고 있었다. 이들 333만개 S/W가 얻은 사용자 개인정보 권한 내용을 보면, ‘기기 식별 정보’가 61.75%의 비중으로 가장 많았다. 이어 ‘해당 단말기 전화번호’가 28.33%, ‘지리 위치 정보’가 28.27%의 점유율로 각각 2, 3위에 올랐다. 이밖에 △연락처 10.29% △브라우저 즐겨찾기 7.93% △단문 메시지 4.22% △단말기 카메라 열기 4.15% △녹음기 열기 3.75% △통화기록 2.86% 순으로 비교적 낮은 점유율을 기록했다.
▲ 중국내 스마트폰 앱이 접근·획득하는 사용자 개인정보 권한 비율 텅쉰의 모바일 보안랩은 “이번 결과는 스마트폰 앱 S/W의 사용자 프라이버시 권한 획득이 모두 불합리한 것만은 아니라는 점도 보여 준다”며 “프라이버시 권한을 과도하게 획득하는지 여부는 무엇보다 앱이 취하는 프라이버시 권한이 어떤 목적에 바탕을 두고 있는지를 보고 판단해야 한다”고 강조했다. 다시 말해 권한이 필수 기능의 범주 안에 속하는 지와 함께, 사용자의 프라이버시를 월권해 획득하는지를 따져봐야 한다는 설명이다. 이와 관련, 텅쉰은 △보안 S/W △시스템 관리 S/W △메신저 S/W △SNS S/W 등이 스마트폰 내 연락처와 같은 개인정보를 획득하는 것은 합리적 권한에 속한다고 평가했다. 또 LBS, 지도 S/W, 항법(나침반) S/W 등의 사용자의 위치정보 획득과 위치 측정도 합법적인 권한 범주에 든다고 덧붙였다. 하지만 게임 S/W나 배경화면 S/W 등의 스마트폰 내 연락처와 메시지 획득은 월권 행위에 속한다고 텅쉰은 지적했다. “광고 삽입 S/W 가진 앱, 개인정보 권한 획득 목적 뚜렷” 텅쉰의 모바일 보안랩은 불법적·비공식적인 광고 삽입 S/W를 갖고 있는 앱이 월권으로 과도하게 사용자의 개인정보 권한을 취하는 현상이 두드러졌다고 밝혔다. 지난 1분기 중 텅쉰이 자사 이동전화 보안 솔루션 ‘셔우지 관쟈’를 이용해, 구글 플레이에서 내려 받은 정품 모바일 게임 ‘템플런(Temple Run)’과 광고 삽입 S/W 버전의 템플런, 바이러스 코드가 삽입된 가짜 템플런 등을 대상으로 권한 획득 여부를 비교 분석한 결과, 정품 템플런엔 프라이버시 권한 획득이 없는 것으로 나타났다. 반면, 광고 삽입 S/W를 가진 템플런은 이동전화기 전화번호·GPS·IMEI/IMSI·사진·브라우저 즐겨찾기·팝업 통지란 통지 등 6개 권한을 취했다. 바이러스 코드를 갖고 있는 ‘가짜 템플런’의 경우, 이동전화기 전화번호·GPS·IMEI/IMSI·사진·동영상·메시지 내용·발송 메시지·연락처·통화기록·발신전화·몰래 설치 등 11개의 사용자 핵심 프라이버시 권한을 취함으로써 가장 심각한 위협을 가했다.
▲ 중국 정품 버전·광고삽입 S/W 버전·악성코드 삽입 버전의 ‘템플런’ 게임 앱의 권한 획득 실제 모바일 보안랩의 모니터링 결과, ‘따빠오당’은 많은 유명 S/W에 광고 코드를 심는 것으로 밝혀졌는데, 패키징을 거친 앱은 광고 삽입 S/W를 통해 사용자 개인정보를 취하는 데 이어 통지란 광고나 내장된 배너(banner) 광고 등을 내보냈다. 또한 악성광고 삽입 S/W를 가진 스마트폰 앱은 악성코드, 광고성 S/W, 악성 프로그램을 내려 받거나 요금·사용량을 소모시킴으로써 사용자에게 많은 경제적 손실을 입힌다고 지적했다. 아울러 악성광고와 묶어 2차 패키징을 통해 유명 앱을 모방하는 현상도 눈에 띄게 늘고 있으며, 이 때문에 악성광고 삽입 S/W에 감염된 사용자 수도 계속 증가하고 있다고 텅쉰은 덧붙였다. “광고 삽입 S/W류 앱의 개인정보 획득과 이동전화 광고 이익은 밀접” 특히 사용자 개인정보를 과도하게 취하는 스마트폰 앱은 광고 삽입 S/W를 포함하고 있을 가능성이 높은 것으로 나타났다. 텅쉰의 모바일 보안랩은 지난 제1분기까지 광고 삽입 S/W를 가진 스마트폰 앱이 총 203만8,139개로 조사 대상 S/W 중 43.5%의 점유율을 보였다고 밝혔다. 이 가운데 ‘배너’류 광고 삽입 S/W를 가진 앱의 경우 151만8,000개로 전체의 74%를 차지했다. 이어 ‘통지란’류 광고 삽입 S/W를 갖고 있는 앱은 104만2,000개로 전체의 51%에 달했다. 또 ‘(클릭) 누적 점수’류 광고 삽입 S/W를 가진 앱은 92만3,000개로 45%의 비중을 기록했다. 광고 삽입 S/W를 가진 앱이 빼가는 사용자 개인정보 내용은 주로 △메시지 △연락처 △스마트폰 전화번호 △통화기록 △(설치) S/W 리스트 △위치정보 △기기 식별 정보 △브라우저 즐겨찾기 △전자우편 계정 외에, △카메라 열기 △녹음기 열기 등으로 드러났다. 광고 삽입 S/W류의 앱 중에서 △기기 식별 정보 △위치정보 △스마트폰 전화번호를 취하는 앱의 수량이 차지하는 비중은 각각 72.4%, 48.19%, 44.06%에 달했다. 이들 정보는 광고 삽입 S/W류 앱이 빼가려는 주요 목표물이었다. 이어 ‘브라우저 즐겨찾기’ 정보를 취하는 앱의 비중은 9.20%로 네 번째로 높았다. 녹음기 열기(2.93%), 연락처 획득(2.72%), 카메라 열기(2.26%), 메시지 획득(2.56%), 통화기록 획득(1.03%)은 상대적으로 낮은 비중을 보였다. 이를 놓고 볼 때, 광고 삽입 S/W류 앱 가운데 80%는 사용자 프라이버시를 빼갈 수 있다고 텅쉰은 설명했다. 이 회사는 “위치정보, 기기식별정보, 스마트폰 전화번호의 획득은 스마트폰 사용자 층에 딱 맞는 광고를 내보내는 동시에 소비 행위를 분석함으로써 단기간에 이익을 챙기려는 광고회사의 욕구에 부합한다”고 강조했다. 앱 개발자 역시 이를 통해 광고 수입을 나눠 가질 수 있다. 따라서 이들 정보는 일부 불법적·비공식적인 광고회사와 앱 개발자에게 있어 공동의 핵심 이익이 되고 있다.
“개인정보 절취류 바이러스와 광고 삽입 S/W 류 앱, 개인정보 공동 위협” 텅쉰의 모바일 보안랩은 “프라이버시 절취류 바이러스가 빼가는 항목과 비율은 악성광고 삽입 S/W 류의 앱과 기본적으로 일치한다”고 밝혔다. 개인정보 절취류 바이러스 중 61.3%는 ‘브라우저 즐겨찾기’ 정보를 훔쳐갔다. 이어 36%는 해당 스마트폰 전화번호를, 21.7%는 기기 식별 정보, 14%는 지리위치 정보, 12.7%는 메시지, 4.9%는 연락처, 2.1%는 통화기록에 접근했다. 이밖에 카메라 열기 행위는 0.9%, 녹음기 열기는 0.7%의 비중을 보였다. 개인정보 절취류 바이러스 중에서 스마트폰 내 ‘메시지’와 ‘연락처’에 대한 절취 비율은 광고 삽입 S/W 류 앱에 비해 훨씬 높다고 텅쉰은 설명했다. 텅쉰의 모바일 보안랩은 “최근 악성광고 삽입 S/W류 앱과 프라이버시 절취류 바이러스들이 대대적으로 사용자 개인정보를 훔치는 현상이 퍼지고 있으므로 이동전화기 사용자들은 보안 S/W의 프라이버시 감시통제 기능을 통해 악성 S/W의 과도한 프라이버시 권한 요구를 막아야 한다”고 강조했다. [중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
