• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글 플레이 스토어의 앱 18,000개, 식별자 공유 정책 위반 2019.02.20

사용자 추적 용이하게 해주는 영구 식별자, 공유 금지가 원칙이지만
구글, 보고를 받았어도 아무런 대응 없어...영구 식별자 보호 철저해야

[보안뉴스 문가용 기자] 모바일 프라이버시 연구 단체인 앱센서스(AppCensus)가 약 18,000개의 애플리케이션들이 구글 플레이의 애드 ID(advertising ID) 정책과 사용자 프라이버시 규정을 위반하고 있다고 공개했다.

[이미지 = iclickart]


애드 ID는 2013년부터 안드로이드와 iOS에 도입된 영구 식별자(persistent identifier)로, 사용자들의 프라이버시 보호를 위해 마련됐다. 애플과 구글은 장비의 고유 애드 ID 등 다양한 식별자를 공유하지 못하도록 정책을 세워두고 있으며, 이로써 사용자에 대한 추적 행위를 예방하고 있다.

애드 ID가 도입되기 전에도 안드로이드 ID, 장비 일련번호, IMEI, 와이파이 맥주소, SIM 카드 일련번호 등 다양한 영구 식별자들이 존재했다. 특히 모바일 애플리케이션들에서 자주 사용됐었는데, 어떻게 해도 삭제할 수가 없었다. 그렇기 때문에 사용자들을 추적하는 것이 간단한 일이었다.

영구 식별자의 삭제가 굉장히 어렵고, 때론 불가능한 일인 반면, 애드 ID는 브라우저의 쿠키들처럼 간단하게 리셋이 될 수 있다. 처음부터 사용자들이 충분히 제어할 수 있도록 고안된 것이기 때문이다. 또한 다른 영구 식별자와 마찬가지로 애드 ID도 공유할 수 없도록 정책을 마련했다. 그렇기 때문에 애드 ID를 통한 추적이 끈질기게 이어질 수 없었다.

구글은 플레이 스토어 개발자 정책 센터에 다음과 같이 기재하고 있다. “애드 ID는 사용자의 분명한 동의 없이 개인 식별 정보나 영구 장비 식별자(예 : SSAID, 맥 주소, MIEI 등)와 연결되거나 관련지어질 수 없습니다.”

그런데 앱센서스에 의하면 “수많은 애플리케이션들이 이 정책을 위반하고 있다”는 것이다. “실제 많은 앱들이 애드 ID를 다른 영구 식별자들과 함께 묶어서 광고업체에 넘기고 있습니다.”

2018년 9월, 애드 ID를 전송하는 앱은 총 24,000개였고, 이 중 17,000개는 다른 영구 식별자도 함께 전송하고 있었다. 이에 대해 앱센서스는 구글에 보고했지만, 아직 구글은 별다른 조치를 취하지 않고 있다.

그리고 5개월이 지난 현재, 사태는 오히려 악화됐다. 18,000개의 앱이 구글 플레이에서 애드 ID와 영구 식별자를 공유하고 있는 것이다. “수백만 번 이상 다운로드 된 인기 높은 앱들 중에도 이러한 불법 행위가 발견되고 있습니다.”

애드 ID 등의 식별자를 사용자 몰래 전송하고 있는 앱들 중 인기가 높은 것들을 위에서부터 추리면 다음과 같다.
1) Clean Master - Antivirus, Cleaner & Booster
2) Subway Serfers
3) Flipboard : News for Our Time
4) My Talking Tom
5) Temple Run 2

모두 최소 5억 건 이상의 다운로드 수를 기록하고 있다. 그 뒤를 이어 20위까지 앱들 역시 각각 1억 건 이상 사용자들의 선택을 받았다.

“이러한 앱들로부터 데이터를 받는 도메인들 전부 광고 네트워크나 광고 업체, 혹은 사용자 트래킹 및 분석을 업으로 삼고 있는 조직들입니다.” 앱센서스의 설명이다. “이러한 보고서를 5개월 전에 올렸지만 구글은 아직 앱센스 측으로 응답을 하지 않고 있습니다.”

앱센서스는 “문제의 핵심은 구글이 사용자들에게 프라이버시 통제권을 제공했지만, 사실 이게 큰 도움이 되지 않는다는 것”이라고 지적한다. “이 통제 장치라는 게 결국은 애드 ID에만 국한되고 있으니 효력이 없습니다. 게다가 앱들은 다른 영구 식별자들을 수집하고 있으니 애드 ID는 크게 문제가 되지 않습니다. 게다가 구글은 대응도 하지 않고 있죠.”

3줄 요약
1. 구글, 영구 식별자 중 하나인 애드 ID를 보호하기 위해 공유 금지 정책 마련.
2. 하지만 2만 개가 넘는 앱들이 이 정책을 무시하고 있음.
3. 이 사태에 대해 보고했지만, 구글은 별다른 조치를 취하고 있지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>