앱 접근권한 문제점 해결 위한 개발자·사용자·정부의 노력 필요
스마트폰 앱 권한 설정 개인정보보호 가이드라인 마련해 홍보해야 

[보안뉴스 민세아] 지난해 일부 손전등 앱들이 사용자의 개인정보에 무단 접근하는 일이 화제가 된 바 있다. 그럼에도 불구하고 이와 관련된 처벌규정이 미흡해 피해자들 모두 별다른 조치를 취할 수 없는 상황이 이어지기도 했다. 그럼 이렇듯 사용자들의 개인정보에 무단 접근하는 스마트폰 앱을 막을 방법은 없는 것일까?

대체적으로 악성 앱들은 설치 시 과도한 권한을 요구하거나 요구하는 권한과 실제 사용되는 권한이 다르다. 그렇기 때문에 접근권한 관리가 적절히 이루어지면 수많은 악성 앱들이 사용자들의 스마트폰에 설치되는 것을 막을 수 있다.

국내 사용자들이 주로 이용하는 구글 Play 스토어(안드로이드 앱 마켓)는 마켓에 등록된 앱을 검색해 악성 소프트웨어를 찾아내는 ‘바운서(Bouncer)’ 기능과 불명확하거나 의심스러운 코드가 발견될 경우 사용자에게 경고하는 ‘앱 체커(App Checker)’ 기능으로 보안을 강화했다. 하지만 앱 체크섬(Checksum) 등이 변경될 경우 이를 제대로 탐지할 수 없고, apk 파일을 직접 설치하는 경우는 딱히 대책이 없다.

이와 관련 카네기 멜론대(이하 CMU) 침팬지 랩(CHIMPS Lab)에서는 PrivacyGrade.org 홈페이지를 통해 스마트폰 앱 권한을 기반으로 A부터 D까지 개인정보보호 등급을 평가해 공개하고 있다. 첫 번째 CMU의 등급 평가 기준은 앱 동작에 대한 사용자들의 기대와 앱의 실제 동작과의 차이다.

예를 들어 위치정보에 접근하는 지도 앱과 게임 앱이 있다고 생각해보자. 지도 앱이 위치정보에 접근할 것은 당연하다. 그러나 게임 앱이 위치정보에 접근하는 것은 일반적으로 사용자들이 이해하기 힘들다. 이 경우 게임 앱에 낮은 등급을 반영하는 식이다.

두 번째 평가기준은 정적 분석과 대중의 참여를 통한 정보수집이다. CMU는 아마존의 ‘미케니컬 터크(Mechanical turk)’를 이용해 대중에게 앱 평가를 맡기고 정적 분석을 통해 사용되는 권한과 API를 분석한 후, 두 개의 결과를 합쳐서 등급을 매긴다. 아마존의 미케니컬 터크는 온라인에 등록된 인력을 할당해 작업에 따라 보수를 제공하는 온라인 시스템이다.

접근권한에 대한 사용자들의 경계, 제공자의 노력 필요

앱 접근권한에 다른 개인정보 이슈를 해결하기 위해서는 다방면의 노력이 필요하다. 보안에 관심 없는 개발자들은 자신이 개발하는 앱에 반드시 필요한 기능만 생각하지 권한을 부여하는 일에는 크게 신경쓰지 않는다. 기획단계부터 사용 권한을 고려해 해당 앱에 반드시 필요한 기능과 권한이 무엇인지 생각하고 무분별한 권한 남용을 자제해야 한다.

앱 접근권한에 무감각한 사용자들도 문제다. 본지 설문조사 결과 과도한 권한을 요구해도 어쩔 수 없이 설치한다는 의견이 27.33%를 차지했고, 접근권한에 대해 별로 개의치 않거나 관심 없다는 의견도 45.03%를 차지했다. 결국 앱 마켓에서 설치와 동의조항을 연달아 꾹꾹 눌러버리는 습관을 고쳐야 한다는 얘기다. 

이제 우리나라도  모바일 시장환경에 걸맞는 보안정책 수립이 시급하다는 게 보안전문가들의 지적이다. 접근권한을 바탕으로 앱에 대한 보안등급을 지정하는 제도를 마련하는 등 안전한 앱 환경을 조성하려는 노력이 요구된다.  

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>