사용자 삽입 이미지
안드로이드 권한 오용 문제가 불거졌다. 이번에는 삼성전자 갤럭시 시리즈에 선탑재(preload)되는 애플리케이션 ‘스마트 매니저’가 질타를 받았다. 얼마전 인터넷 커뮤니티에서는 삼성전자 갤럭시 시리즈에 탑재된 ‘스마트 매니저’의 권한을 나열하며 ‘해킹 앱’에 가깝다는 주장이 제기됐다.


‘스마트 매니저’는 삼성전자가 스마트폰 사용에 미숙한 소비자들을 위해 개발한 관리 앱이다. 불필요한 앱이 백그라운드에서 구동되는 것을 막아 배터리를 절약해주고, 임시파일로 인해 용량이 부족해지면 이를 삭제해준다. 또 악성 앱이 설치되는 것을 감시하는 기능 등도 담겼다.

사용자가 문제로 제기한 것은 스마트 매니저가 갖고 있는 권한이다. 이 앱은 ▲디바이스 상태 및 ID 읽기 ▲사진 및 동영상 촬영 ▲오디오 녹음 ▲위치 확인 ▲연락처 확인 ▲SD카드 콘텐츠 읽기 등으로 상당히 많은 권한을 보유하고 있다. 과거 구글은 이런 권한을 간략하게 설명하는 것에 그쳤지만, 안드로이드 4.0(코드명 킷캣) 부터는 해당 권한이 할 수 있는 모든 기능을 서술해두기 시작했다.
사용자 삽입 이미지

너무나도 상세한 설명은 오해를 불러왔다.

‘디바이스 상태 및 ID 읽기’ 권한은 전화걸기, 받기를 담당한다. 해석에 따라 사용자 몰래 전화를 걸거나 오는 전화를 가로챌 수 있다고 생각할 수 있다. 이 기능을 쓰는 대표적인 앱은 당연히 ‘전화’앱이며, 후후나 후스콜과 같은 스팸전화 차단 앱도 쓰고 있다. 이 외에도 이를 쓰는 앱들이 많은데, 주로 ‘푸시 메시지’ 발송을 위해서다.

‘사진 및 동영상 촬영’ 권한은 카메라에 관련된 부분이다. 구글 설명에 따르면 사용자 몰래 사진이나 동영상을 찍을 수 있다고 돼 있다. 카메라 모듈의 기능을 쓰게끔 하는 권한으로 보면 된다. 근데 이 권한은 카메라 앱을 비롯해 ‘플래시’ 앱들도 이를 쓴다. 앱 내부에 사진 촬영 기능이 있어도 이 권한이 필요하다.

‘SD카드 콘텐츠 읽기’ 권한은 내부저장소에 있는 파일들을 살펴볼 수 있다. 파일을 내려받을 수 있는 기능을 갖춘 앱, 파일정리 기능을 갖춘 앱, 사진 편집 앱 등 대부분의 활용 앱들이 이 권한을 보유하고 있다.

‘네트워크 통신’은 모바일 인터넷이 연결돼야 쓸 수 있는 앱들이라면 무조건 획득해야 하는 권한이다.

‘문자메시지 읽기’ 권한은 택배 앱 등 문제메시지를 파싱해서 쓰는 앱들에 쓰인다. 문자로 택배 송장번호가 오면 이 형식을 그대로 긁어가 바로 조회할 수 있도록 하는 것이다.

‘위치 확인’ 권한은 날씨나 지도, 내비게이션 앱이 쓴다. 현재 위치에 맞는 서비스를 제공하기 위해서다. 맞춤광고를 위해 쓰이기도 한다.

이외에도 우리가 쓰는 앱들은 이 외에도 각종 권한을 획득해 기능하고 있다. 물론 악의적인 앱의 경우 권한 획득후 모든 행위를 감행할 수 있다. SD카드 콘텐츠 읽기 권한을 획득하면 내부에 있는 사진이나 문서 등에 접근할 수 있고, ‘네트워크 전송’ 기능 등을 통해 외부로 빼돌릴 수도 있다. 또 통화 중 녹음을 하고, 해당 파일을 빼돌리는 등의 기능도 구현 가능하다. 과거 도감청 앱 등이 이러한 방법으로 성행한 것을 떠올리면 된다.

소비자들이 우려하는 것도 바로 이부분이다. 각각의 권한이 할 수 있는 기능이 워낙 많다보니 ’이 권한은 필요없을 것 같은데?’라고 생각할 수 있다. 그러다보니 이번처럼 오해가 발생한 것이다.
사용자 삽입 이미지

이러한 상황을 벗어나기 위해서는 개발사가 스스로 ‘애플리케이션 권한 설명’과 같은 설명서를 제공하는 것이 옳다. 해당 권한을 왜, 어떻게 사용하고 있는지를 명확히 명시해야 사용자가 믿고 쓸 수 있다. 다만 법제화하는 것은 아직 이르다. 소비자 보호도 중요하지만 앱 개발환경 자체를 나쁘게 만들 공산이 있어서다.

다행히도 안드로이드 6.0(마시멜로)부터는 앱 권한을 8개 항목으로 줄이고 이를 사용자가 관리할 수 있도록 했다. 자기정보관리를 스스로 할 수 있게 했다는 점에서 긍정적이라 본다. 물론 이 경우에도 권한 설명을 첨부한다면 더욱 좋을 것이다.
2015/11/18 12:00 2015/11/18 12:00


애플의 위치정보 무단 수집이 논란이 되고 있는 가운데, 국내에서도 사용자의 위치정보를 무단으로 수집·보관·활용한 업체가 등장해 충격을 주고 있습니다.

27일 서울지방경찰청 사이버범죄수사대는 2억건이 넘는 스마트폰 사용자의 위치정보를 무단으로 수집·보관·활용한 혐의(위치정보보호·이용법 위반)로 광고대행업체 3곳과 김모(39)씨 등 업체 대표 3명을 불구속 입건했습니다.

(관련기사 “혹시 나도?”…스마트폰 사용자 10%, 위치정보 무단 수집 당해)

이들이 배포한 앱은 겉으로 보기에는 정상적이지만, 뒤에서는 사용자의 위치정보를 무단으로 개발사의 서버에 전송한 것으로 드러났습니다.

그런고로 이번 포스팅에서는 위치정보를 수집하는 앱을 찾는 방법을 소개하고자 합니다.

소개에 앞서 애플 앱스토어와 구글 안드로이드 마켓 특성을 잠시 언급해 보겠습니다. 둘은 성격이 좀 다르니까요.

아이폰의 경우 앱스토어에 등록되기전 애플의 심사를 받기 때문에 불필요한 기능이 탑재돼 있으면 등록이 보류됩니다. 예를 들어 게임 앱에 GPS측정은 불필요하므로 이러한 기능을 앱에 탑재했을 경우 등록이 안 된다는 의미죠.

반면 안드로이드 마켓의 경우 심사과정이 없어 보안에 취약한 점이 존재합니다. 즉, 앱을 설치할 때 사용자 스스로 주의를 기울여야 한다.

(cf.오해의 소지를 막기위해 첨언을 합니다. 안드로이드 마켓이 앱스토어에 비해 취약하다는 것이지, 무작정 취약하다는 의견은 아님을 밝힙니다)

안드로이드 마켓에서 앱을 내려받을 경우 이 글의 최상단에 위치한 화면이 나옵니다.

해당 앱이 스마트폰의 어떤 기능을 활용해 구동되는지를 보여주고 있는 것이죠.

만화책 앱인데 위치정보(GPS)나 개인정보에 접근한다는 것은 의심해봐야 합니다.

이미 설치된 앱의 권한을 확인하기 위해서는 ‘설정 - 응용프로그램 - 응용프로그램 관리’에서 자세히 볼 수 있습니다.

앞으로는 앱을 설치하기 전, 해당 앱의 액세스 권한을 확인해보는 습관을 들여야 될 것 같습니다.

2011/04/29 15:53 2011/04/29 15:53