아무리 서비스 용도라지만...사용자 모른 추적 행위 과해
의료 및 금융 업계에서의 추적 특히 우려돼...구글은 투명성 높여야

[보안뉴스 문가용 기자] 유럽의 프라이버시 비영리 단체인 엑소더스 프라이버시(Exodus Privacy)와 예일 프라이버시 랩(Yale Privacy Lab)이 300개의 안드로이드 앱들을 분석했다. 우버, 틴더, 스카이프, 트위터, 스포티파이, 스냅챗 등 유명 앱들이 다수 포함되어 있었는데, 이 중 75%가 사용자를 몰래 추적하는 기능 혹은 트래커를 갖추고 있었다고 한다.


두 기관이 분석한 바에 의하면 가장 널리 사용되고 있는 트래커 다섯 개는 1) 크래시리틱스(CrashLytics), 2) 더블클릭(DoubleClick), 3) 로컬리틱스(Localytics), 4) 플러리(Flurry), 5) 하키앱(HockeyApp)이었다. 엑소더스 프라이버시는 “이번에는 ‘이미 알려진 트래커’만 집계했기 때문에 75%로 나온 거지만, 우리가 모르는 트래커들이 심겨져 있을 가능성도 배제할 수 없다”며 더 활발한 추적 활동이 있을 수 있다고 암시했다.

또한 “트래커를 제작하는 업체들은 다양한 플랫폼과 호환된다는 걸 강조한다”며 “이번에는 안드로이드만 조사했지만 iOS 생태계 역시 비슷한 사정일 것”이라고 덧붙였다. 그러면서 엑소더스 프라이버시는 몇 가지 앱의 예를 들었다. “보땅 구르망(Bottin Gourmand)이라는 레스토랑 및 호텔 가이드 앱이 있어요. 이 앱에는 물리적인 위치를 추적하는 기능이 있습니다. 자동차 잡지 앱인 오토 저널(Auto Journal)과 TV 가이드 앱인 텔레스타(TeleStar)도 독자들의 위치 등을 추적하고 있었습니다.”

이는 올해 대대적으로 위치 정보를 수집하다가 적발된 앱 두 개를 떠올리게 한다. 바로 티모(Teemo)와 세이프그래프(SafeGraph)로, 티모는 프랑스 국민 1천만 명의 위치 정보를 수집하고 분석하다가, 세이프그래프는 스마트폰 1천만 대에 대한 위치 마커 17조 개를 수집하다가 걸려 큰 파장을 일으켰다. 앱들이 위치 정보에 관심을 갖는 건 ‘맞춤형 광고’ 서비스 때문이다. “적어도 표면으로는 그렇게 주장합니다.”

더 무서운 건 트래커들이 금융 및 건강 관리 회사들이 만든 앱에 부착됐을 때다. “전 세계적인 보험 전문 기업인 악사가 출시한 몽 악사(Mon AXA) 앱에는 여섯 개의 트래커가 설치돼 있었습니다. 아직 이 트래커들이 어떤 정보를 수집하고, 어떤 처리를 해내는지 아직 정확히 밝혀진 바는 없습니다. 다만 악사가 만든 다른 앱들인 핼스룩(HealthLook), 악사 방크(AXA Banque), 마이 닥터(My Doctor)에도 트래커들이 포함되어 있었습니다.”

그 밖에 의료 및 금융 관련 앱들 중 트래커를 포함하고 있는 건 에트나(Aetna), 미국적십자(American Red Cross), 웹엠디(WebMD), 아메리칸 엑스프레스(American Express), 디스커버(Discover), HSBC, 웰스파고(Wells Fargo), 페이팔(Paypal)이었다.

프라이버시 랩은 구글에 “트래커 사용에 관한 높은 투명성을 개발사들로부터 요구하라”고 요청했다. “안드로이드 사용자들을 포함해 모든 앱 스토어 사용자들이라면 ‘누가 나를 몰래 지켜볼지도 모른다’는 불안감 속에 살아야 합니다. 하지만 소비자들은 신뢰할만한 환경에서 자신의 권리를 누릴 수 있어야 합니다. 공식 스토어에서도 이 정도라면 소비자가 어떻게 모바일 생태계에서 활동할 수 있을까요.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>