11월 6일 MBC 뉴스에서 손전등 앱 3개가 스마트폰의 개인정보를 몰래 빼내왔다고 보도했다.


 (MBC 뉴스 화면 캡처: '손전등 앱' 개인정보 훔쳐가…유심칩 번호까지 유출)



이에 대해, 일부 앱은 '사실이 아니다'라는 입장을 밝혔고, 인터넷에서도 몇몇 사람들이 '일부 앱은 오보 아니냐'라는 주장도 나오고 있다. 그런데 MBC 측은 '모두 사실이다'라는 입장이다.

'브라이티스트 플래시라이트'는 확실히 위험한 앱인 게 맞는 듯 하다. 이건 피하는 게 좋다. 그런데 나머지 두 개 앱은 사람들마다 의견이 엇갈리고 있어서 아직 어떤 것이 사실인지 알 수가 없다. 따라서 결론만 먼저 말하자면, 사실 여부가 확실히 드러날 때까지 좀 더 지켜봐야 한다는 것이다.



'브라이티스트 플래시라이트'는 확실히 위험



'브라이티스트 플래시라이트'라는 손전등 앱은 확실히 문제가 있다. '구글 플래이 (앱스토어)'에서 이 앱이 요구하는 '액세스 권한'을 보면 상당히 많은 것들을 요구한다. 단순한 손전등 앱에서 필요한 기능 이상의 권한들이다.

이렇게 많은 권한을 요구하는 앱은 다운로드 받기 전에 한 번 더 생각해봐야 한다. 특히 손전등 앱이 '위치'나 '기기 ID 및 통화 정보'에 접근할 이유는 없다. 따라서 이렇게 많은 걸 요구하면 그냥 '아 복잡하다, 됐고, 다운 안 받아!'하는 게 좋다.

(다운로드 버튼을 누르면 이런 요청사항들을 볼 수 있는데, 어떤 앱이든 이렇게 많은 걸 요구하면 다운로드를 취소하도록 하자.)

게다가 이 앱은 미국에서도 이미 문제가 됐다. 

손전등앱 개인정보 유출 '美 유명 손전등앱 위치 정보 제3자에 유출' (SBS)
 


플래쉬라이트 - Tiny Flashlight, 슈퍼 밝은 LED 플래쉬 등

'브라이티스트 플래시라이트'가 문제가 있다는 것은 거의 모든 사람들이 동의하고 있는데, 문제는 나머지 두 앱이다. '플래쉬라이트'와 '슈퍼 밝은 LED 플래쉬 등'은 의견들이 엇갈리고 있다.





일단 두 앱 모두 플래쉬 앱에서는 필요한 '카메라/마이크' 부분에 접근 권한을 가진다. 그리고 기타 권한으로 '완전한 네트워크 액세스' 등의 권한을 가지는데, '슈퍼 밝은 LED 플래쉬 등'에서 '인터넷에서 데이터 받기' 권한은 좀 의아한 부분이다.


뉴스 보도가 나간 후, '플래쉬라이트 - Tiny Flashlight' 쪽은 다운로드 페이지에 아래와 같이 입장을 밝혔다. 

('플래쉬라이트 - Tiny Flashlight' 측이 밝힌 입장)

*** 안녕하세요. MBC의 보도는 잘못되었습니다. Tiny Flashlight는 필요한 권한 외에 위치 정보와 같은 사용자의 정보에 접근할 수 있는 권한을 사용하지 않습니다. 다음 링크를 읽어 주세요 :
http://www.reddit.com/r/Android/comments/2ifqx1/in_defense_of_flashlight_apps/

* 카메라 / 마이크 - 플래시를 활성화 하기 위해 필요합니다.
* 플래시를 조절합니다 - 안드로이드 구 버전과의 호환성을 유지하기 위해 필요합니다.
* 모든 인터넷 기능을 사용할 수 있습니다 - 구글 애드몹 광고를 표시하기 위해 필요합니다.
* 네트워크 연결 상태를 확인하세요. - 이 권한은 당신이 WIFI나 데이터 네트워크를 사용하는지 탐지하는데 필요합니다. 데이터 네트워크를 사용중이면, 데이터 소모량을 줄이기 위해 광고 요청을 줄입니다.
* 진동을 조절합니다 - 일부 유저들이 플래시를 켤 때 진동이 울리기를 원합니다.
* 휴대폰이 취침 모드로 전환되지 않게 합니다. - 플래시라이트 앱에 매우 중요한 권한입니다. 이 권한이 없으면, 플래시를 켠 상태에서 전원 버튼을 눌러 화면을 껏을 때 플래시가 켜진 상태를 유지할 수 없게 됩니다. 



'플래쉬라이트' 쪽이 밝힌 입장을 보면 모두 이해가 되는 말들이긴 하다. 그런데 한겨레 신문사에서 밝힌 MBC의 입장은 또 다르다.


뉴스를 보도한 기자는 <한겨레>와의 통화에서 "해당 3개 프로그램의 소스 코드를 모두 분석한 결과"며, "프로그램은 아니지만, 프로그램의 광고 폴더 안에 위치정보 등 사용자의 개인정보를 유출하는 내용의 명령어가 공통적으로 발견됐다"고 설명했습니다.

('손전등 앱' 정말로 개인정보 빼갈까?, 한겨레 2014.11.06)


따라서 이제 MBC 보도가 모두 사실인지 아닌지 검증하는 절차가 필요하다.



논점과 문제점

보통 안드로이드 앱을 다운받기 위해서 '구글 플래이 스토어'를 사용할 때, 그 앱이 요청하는 권한 사항들을 보고 안전한 앱인지 아닌지를 가늠했다.

이번에 논란이 되고 있는 손전등 앱에서도 하나는 확실히 문제가 있는 앱이지만, 나머지 두 개는 문제가 있는 게 확실한지 아닌지 아직 알 수가 없다. 다운로드 페이지에서는 '카메라/마이크' 모듈을 접근하고, '기타'로 (크게 중요하지는 않은 늬앙스로) 네트워크 액세스 등을 밝히고 있다. 네트워크 액세스는 광고 때문에 꼭 필요한 것이긴 하다.

문제는 개인정보를 유출하느냐 아니냐는 건데, MBC에 따르면 개인정보를 유출하는 내용의 명령어가 코드 분석 상으로 드러났다는 것이다. 이게 사실이라면 다운로드 페이지에서는 확인할 수 없는 방법으로 개인정보 유출이 일어날 수 있다는 것이고, 그렇다면 안드로이드 앱들은 모두 의심을 해봐야 한다는 뜻이 될 수도 있다.

만약 MBC의 말이 사실이라면, 한동안 안드로이드 사용자들은 아무 앱이나 마음 놓고 다운로드 받아서는 안 된다. 그리고 만약 보도가 사실이 아닐 경우에는 오보로 판명나고 그냥 유야무야 되려나.

어쨌든 경우에 따라서는 구글의 플래이 스토어 정책에도 영향을 미칠 수 있는 사안인데, 과연 어떤 것이 사실일지는 좀 더 지켜봐야 할 필요가 있다. 
Posted by 빈꿈

댓글을 달아 주세요