• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[톡톡 토크] 선택할 수 없는 옵션이 난무하는 세상 2015.09.26

다운을 받아야만 누릴 수 있는 서비스 및 혜택 많아

방대한 양의 개인정보 수용 능력 없는 곳이 대부분


[보안뉴스 주소형] “모바일 애플리케이션을 다운받을 때 사용자들은 수많은 ‘동의’를 하고 있다. 이를 일일이 확인하고 동의하는 이는 거의 없다. 그런데 해당 조항들을 살펴보면 수상한 점들이 많다. 한 가지 예를 들어보면, 모바일 카메라를 통해 사용자들의 동공 및 홍채 정보를 수집한다는 조항이 있는 애플리케이션이 상당히 많다. 다운 받는 애플리케이션 기능과는 전혀 상관없는 정보인데 말이다.” 얼마 전 글로벌 스토리지 솔루션 기업인 넷앱(NetApp)의 발 베르코비치(Val Bercovici) CTO가 방한해서 이런 말을 했다.

 

▲ 뭐 입을 것인지에 대한 선택은 내 마음대로


사실 기자도 매번 애플리케이션을 다운로드 할 때 또는 새로운 사이트 회원 가입을 할 때, 여러 번의 ‘동의’ 버튼을 누른다. 해당 조항이 무엇인지는 안중에도 없고 사용하는 데만 급급한 게 사실. 그러니 당연히 일일이 항목들을 눌러서 꼼꼼하게 읽어본 적도 없다. 여기에는 이유가 있다. 읽어보면 무슨 소용이냐는 생각이 들기 때문이다. 사용을 위해서는 무조건 동의해야 한다. 때문에 동의는 동의인데 ‘강제동의’라는 말도 적지 않다. 


애플리케이션을 다운 받아야만 누릴 수 있는 서비스 및 혜택 등이 많아 현대인으로서는 선택할 수 있는 옵션이 아니라는 것이다. 백번 양보해서 이러한 정보 수집이 개발자나 애플리케이션 벤더 입장에서는 당연하다고 치자. 하지만 문제는 그렇게 모아대는 방대한 양의 개인정보들을 제대로 관리할 준비가 갖춰진 곳이 많지 않다는 데 있다.


실제로 트위터와 페이스북 등과 같은 세계 탑 플랫폼들은 물론 각 국가의 정부들까지도 수집한 개인정보 관리 및 활용에 대해 소송을 당하고 있는 상황이다. 뿐만 아니라 안전하고 깨끗하다고 강조했던 구글·애플 앱스토어에서조차 악성 멀웨어나 트로이목마가 발견되고 있다. 보안성을 높이기 위해서 혹은 향후 질 높은 서비스를 제공하기 위함이었다고 해서 이해가 되는 시점은 지났다. 의도가 좋다고 모든 게 다 옳은 건 아니기 때문에 이제는 ‘수집’이 갖고 있는 책임과 의무를 인식하고 개인정보 수집에 좀 더 신중할 필요가 있지 않을까?


1. “NSA가 전 세계 사람들의 휴대폰을 도·감청했다는 사실은 사회에 큰 충격을 주었는데, 페이스북 역시 방식은 달라도 같은 일을 하고 있다. 그들은 광고를 목적으로 페이스북을 쓰지 않는 사람들과 로그아웃한 사람들을 추적하고 있다. 사용자들이 가입을 위해 한번 제공했던 개인정보를 당사자들 몰래 스파이 하는 데 악용하고 있다.”

- 벨기에 개인정보위원회(Belgian Privacy Commission)의 프레데릭 드뷔스레(Frederic Debussere) 변호사


2. “앱 개발자들은 자기가 만든 앱에 멀웨어가 포함되어 있을지 꿈에도 몰랐다.  엑스코드는 애플이 자랑하는 개발 환경이었다. 개발자들도 보안에 신경을 더 써야한다는 게 드러난 사건이 발생한 것이다.

- 베라코드(Veracode)의 CTO이자 CISO인 크리스 와이소팔(Chris Wysopal)


3. “엑스코드고스트가 성공했다는 건 개발자들이 인증 과정을 쉽게 생략하거나 아무거나 믿고 있다는 걸 반증한다. 그런데 이는 이미 수차례, 수많은 매체에서 경고를 보낸 내용이다. 아마 앞으로도 계속해서 비슷한 일이 일어날 것으로 보인다.”

- 라피드7(Rapid7)의 보안관리자인 토드 비어드슬리(Tod Beardsley)


4. “미국 시민들이 모바일 멀웨어에 감염될 확률보다 번개에 맞을 확률이 1.3배 높다

- 담발라(Damballa) 보고서


5. “트위터 내에 있는 다이렉트 메시지 알고리즘에 사생활 침해 요소가 있다. 해당 알고리즘을 보면 이제껏 트위터는 모든 사용자들의 다이렉트 메시지들을 마음대로 열람하고 스파이 할 수 있다는 것을 알 수 있다.”

- 윌포드 래니(Wilford Raney) 변호사


6. “안전한 애플리케이션을 다운받기 위해서는 공식 앱 스토어를 이용해야 한다고 말해왔는데 정작 공식 앱 스토어인 구글 플레이 스토어를 통해 써드파티 마켓까지 감염되고 있다.

- 에셋(ESET)

[국제부 주소형 기자(sochu@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>