안드로이드 앱 수천 개 분석했더니, 사용자 뒤에서 데이터 빼가는 경우 많아
구글에 알렸더니 10월 출시할 안드로이드 Q부터 대대적인 청소할 예정이라고 답해

[보안뉴스 문가용 기자] 앱 퍼블리셔들은 소비자들의 데이터를 너무나 사랑한다. 데이터를 얻을 수만 있다면 어떤 노력이라도 마다하지 않는다. 그러다가 가끔은 데이터에 관한 소비자의 권리를 무시하거나 침범하기도 한다.


지난 6월 미국의 연방거래위원회(FTC)는 프라이버시콘(PrivacyCon)이라는 행사를 열었다. 국제컴퓨터과학기구(International Computer Science Institute, ICSI)에서 나온 전문가들이 강연을 맡았는데, 1325개의 안드로이드 앱들이 사용자가 허용을 하지 않았는데도 장비들로부터 데이터를 수집한다는 내용을 청중들에게 밝혔다.

이러한 내용은 지난 2월 보고서 형태로 유즈닉스 보안 심포지움(Usenix Security Symposium)에 제출되기도 했었다. 버클리대학, 앱센서스(AppCensus), 마드리드 카를로스대학의 연구원들이 8만 8천여 개의 안드로이드 앱들을 분석해, 앱 개발자들이 어떤 방식으로 사용자의 데이터를 확보하고, 사용하고, 저장하는지를 밝힌 것이다. 그 연구의 핵심은 “안드로이드 사용자는 비밀이라고 생각하는 데이터가 사실은 대부분 수집되고 있다”는 것이었다.

예를 들어 한 사진 관련 앱의 경우, 사진으로부터 GPS 데이터를 수집함으로써 사용자가 앱의 위치 정보 수집 권한을 허용하지 않더라도 위치 정보를 가져갈 수 있게 만들어져 있었다. 그 외에도 와이파이 라우터의 맥 주소를 수집하는 방식으로 위치 정보를 수집하는 앱들도 상당히 많았다고 한다.

“스마트폰 앱들이 이렇게 간접적인 방식으로 사용자의 데이터를 수집하는 건 항상 있어왔던 문제이며, 아직까지도 마땅한 해결책이 나오지 않는 것입니다.” 보안 업체 벡트라(Vectra)의 보안 분석가인 크리스 모랄레스(Chris Morales)의 설명이다.

“스마트폰 시장은 너무나 빠르게 변합니다. 또한 주요 OS 생산 업체들도 앱이 많이 나와서 자신들의 생태계가 부풀려지는 걸 목표로 삼고 있죠. 그런 가운데 보안의 중요성은 뒤로 밀려납니다. 지금 각종 스토어와 생태계에서 이런 악의적인 기능을 가진 앱들이 등장하고 있는 건 보안을 등한시하고 생태계 몸집 부풀리기에만 신경을 쓴 결과입니다.”

확실히 구글은 이런 결과를 인지하고 있는 듯 하다. 구글은 다음 안드로이드 버전의 가장 큰 목표는 생태계를 청소하는 것(cleanup)이라고 발표했기 때문이다. 또한 위 연구 결과를 전달받은 다음 구글은 “다음 버전인 안드로이드 Q에서는 부채널 정보 수집 문제를 철저하게 다루겠다”고 말하기도 했다고 한다. 안드로이드 Q는 2019년 10월에 출시될 전망이다.

그러므로 안드로이드 사용자들은 Q가 나올 때까지 앱을 조심해서 설치해야 한다. 보안 업체 타이코틱(Thycotic)의 CISO인 테렌스 잭슨(Terence Jackson)은 “항상 구글 플레이어서만 앱을 다운로드 받고, 권한 설정을 꼼꼼하게 하는 수밖에 없다”고 조언한다. 그러면서 “진짜 작업을 해야 할 사람들은 개발자들과 생태계를 쥐고 있는 OS 개발사들”이라고 지적했다.

“데이터 프라이버시는 현대의 가장 뜨거운 이슈 중 하나입니다. GDPR이 등장한 이후 더 그렇죠. 하지만 아직은 부족합니다. 이번 연구 결과가 증명하는 것이 바로 그것이죠. 아직은 더 철저히 해야 하고, 아직은 더 이 길을 걸어가야 한다는 것 말입니다. 특히 앱 시장을 운영하는 사람들은 제로 트러스트(zero trust) 모델을 더 적극 적용해야 할 필요가 있습니다.”

3줄 요약
1. 안드로이드 앱들 조사했더니, 각종 기술 동원해 사용자 데이터 빼가고 있음.
2. 사용자가 허용을 하지 않아도 위치 정보를 빼가는 방법이 특히 다양함.
3. 생태계 관리 위해서는 OS와 스토어 관리하는 회사들이 더 철저하게 ‘제로 트러스’ 모델 도입해야 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>