스마트폰 앱, "필요 이상의 개인 정보 이용한다" : CNIL 연구

스마트폰 사용자가 부적합한 툴을 가지고 모니터하고 조정하는 동안, 스마트폰의 앱은 사용자 개인 정보에 접속해, 원격 서버에 전송하는 것은 정작 필요한 것보다 더 많이 사용하고 있는 것으로 나타났다며, 두 프랑스 정부 기관이 새로운 연구 결과를 발표됐다.  

CNIL(French National Commission on Computing and Liberty)은 6대의 아이폰에 설치된 189개 앱의 동작을 INRIA(French National Institute for Research in Computer Science and Control)가 개발한 모니터링 소프트웨어와 분석 툴로 연구했다. CNIL의 의장인 이사벨 팔쿼 피에로틴은 “이 연구의 목적은 특정 개발자를 비난하기 위한 것이 아니라 앱이 개인 데이터를 사용하는 방법을 이해하기 위한 것”이라고 말했다.  

실험실에서 앱을 연구하는 아니라, CNIL은 실제 상황에서 스마트폰에 자신의 SIM 카드를 넣을 6명의 지원자를 받았고, 10월 중순부터 1월 중순까지 실제 사용하면서 조사했다. 한명의 지원자는 거의 100개의 앱을 다운로드했고, 이중 애플이 설치한 것은 5개에 불과했다.  

12개 앱중 하나는 주소록에 접속하고, 3개중 1개는 위치 정보에 접속한다. 평균적으로 사용자들은 조사기간 동안 하루에 자신의 위치를 76회 추적당했다. 포스퀘어(Foursquare)와 애플의 자사 지도 앱은 위치 정보를 가장 많이 요청했고, 어라운드미(AroundMe)와 애플 카메라 앱은 그뒤를 바짝 뒤따랐다.     

아이폰의 이름은 6개중 하나의 앱에 의해 접속됐고, 식별 정보로 간주될 수 있지만, 이는 거의 목적이 없고 고유 식별자와는 거리가 멀기 때문에 연구원들은 설명할 수 없는 무언가를 발견했다.  

페이스북의 앱은 개인 정보를 접속하는 시도로 보이고 있다고 연구원들은 말했지만, 필요없는 것이라고 설명했다.  

연구에서 가장 많이 액세스되는 데이터는 영구적으로 특정 휴대폰과 관련된 일련번호인  이이폰의 UDID(Universal Device Identifier)와는 거리가 멀었다. 거의 절반의 앱이 그것에 액세스하고 그중의 1/3은 암호화되지 않고 인터넷으로 보냈다. 한 일간지의 앱은 연구 기간동안 UDID에 1989번 접속됐고, 퍼블리셔에게 614번을 보냈다.   

CNIL의 대변인인 스테판 페티콜라스는 애플이 현재 위치 정보를 액세스하고 제어할 수 있는 것처럼, 사용자는 다양한 개인 정보를 액세스하는 방법을 제한하는 새로운 설정 툴을 사용해 다시 제어할 수 있는 방법을 시연했다. 연구팀의 책임자인 클로드 카스텔은 “애플은 아직 툴을 보지 않았지만, INRIA는 애플이 관심이 있다면, 코드 공유를 고려하고 있다”고 말했다.

아이폰 앱을 구입한 사람들은 앱이 액세스할 수 있는 정보나 기능에 대한 작은 아이디어가 있다. 구글 플레이 스토어는 정보와 기능을 보여주지만, 선택 여부는 설치하거나 거부하는 것이다. 블랙베리 OS의 오래된 버전은 사용자들이 앱을 파괴하는 등의 위험 요소가 있는 API를 선택할 수 있는 자유를 주었다. 그러나 블랙베리 10은 세분화된 제어는 네이티브 앱에서만 가능했다. 안드로이드 앱에서 선택은 한번 다시 하거나 떠나는 것이다.

애플은 사용자에게 다양한 종류의 제어 여부를 주는 초기 단계에 있다. iOS 5에서 그들은 그들의 위치에서 액세스하면서 개별 앱을 방지할 수 있고, iOS 6에서는 애플은 사용자를 식별하고 광고를 목적으로  UDID를 사용하는 미성숙한 개발자들을 찾아 다른 옵션을 취할 것이다.    

대신 애플은 iOS6에서 소개하는 개발자가 광고 식별자를 사용하기 위한 개발자를 구하고 있다. 이는 영구적으로 전화 또는 사람과 연관돼 있지 않고, 그들이 원하는 때마다 추적하지 않으려고 사용자를 변경할 수 있다. 그들이 생각하는 설정/일반/관해/광고를 쳐다보는 것보다 더 확실한 설정을 보여주고 있다.

이 옵션은 CNIL-INRIA 연구의 참가자들은  iOS 5에서는 기술적인 이유로 사용하지 않았다. 다음 연구에서는 iOS 6를 이용할 것이며, 현재 INRIA는 새 버전을 이용하기 위해 모니터링하는 앱을 업데이트할 것이다.    

INRIA 연구원인 빈센트 로카는 “앱이 개인 정보를 액세스하는 것을 모니터하기 위해, INRIA는 아이폰을 탈옥해야하고, 애플의 API를 가로막기 위해 특별한 앱을 설치해야 하고, 앱은 개인 정보를 액세스하는 요청이 이뤄질 것”이라고 말했다. 그들은 이미 iOS를 개발 경험을 가지고 있기 때문에, 연구진들은 아이폰에서 작동하는 것을 선택했다. 그들은 안드로이드 폰에서 그것을 설치하기 위한 루트를 가지기 위해 현재 유사한 기능을 가진 앱을 개발하고 있다.

로카는 INRIA의 모니터링 앱은 네트워크 트래픽을 식별할 수 있도록 INRIA의 모니터링 앱이 요청된 개인 정보와 함께 전화 데이터베이스의 각 차단 요청을 기록했다. 그래서 아웃바운드 네트워크 트래픽에서 식별할 수 있도록 한다. 로카는 “iOS 5 앱은 오직 암호화되지 않은 네트워크 트래픽을 모니터링할 수 있지만, 트래픽은 암호화되기 전에 iOS 6 버전은 네트워크 API로 연결할 수 있다”고 말했다.

INRIA와 CNIL은 6개의 아이폰으로부터 정보를 수집하는 것을 분석하기 시작했는데, 9기가바이트 정도인 700만 개인정보보호 이벤트를 석달에 걸쳐 분석할 예정이다.

연구중 하나인 개인 정보에 접속한 데이터가 돌발적인 것이라는 것은 이미 발표됐다. CNIL의 페티콜라스는 “보다 가까운 파리의 수영장에 접근하기 위한 앱은 작업을 수행하기 위해 필요한 것보다 훨썬 많은 위치정보를 액세스했고, 분명히 프로그래밍 오류로 인한 것”이라고 설명했다. editor@itworld.co.kr