구글 앱이 개인 정보를 무단으로 수집했다고?

- Advertisement -

대부분의 안드로이드 스마트폰에 탑재되는 구글 기본 앱 2가지가 사용자 데이터를 무단으로 수집·전송한다는 주장이 제기됐다. 더블린 트리니티대학의 컴퓨터공학 교수 더글러스 레이스는 지난 2월 28일(현지시간) 해당 내용을 다룬 논문을 공개했다.

그는 ‘안드로이드의 구글 전화와 메시지 앱은 어떤 데이터를 구글에 전송하는가?’라는 논문을 통해 두 앱이 사용자 데이터를 동의 없이 수집해 유럽연합(EU)의 일반 개인정보 보호법(GDPR, General Data Protection Regulation)을 위반한다고 주장했다.

구글 앱이 사용자 정보를 무단으로 전송한다는 주장이 제기됐다. (더글러스 레이스의 논문 발췌)

두 앱이 수집하는 사용자 데이터에는 △메시지의 SHA256 해시 값 △타임스탬프 △전화번호 △통화 수신·발신 기록 △통화 시간과 길이가 포함돼 있다. 데이터는 안드로이드 스마트폰에 내장된 구글 플레이 서비스의 ‘클리어컷 로거(Clearcut logger)’와 ‘파이어베이스 애널리틱스(Firebase Analytics)’를 거쳐 구글 서버로 전송된다.

레이스 교수는 이렇게 전송된 데이터를 통해 사용자의 실제 신원과 더 많은 개인 정보를 파악하는 게 가능하다고 주장했다.

클리어컷 로거를 통해 전송된 데이터에는 안드로이드 ID가 기본적으로 들어있으며, 여기에는 사용자의 구글 계정과 장치, USIM 식별자가 포함된다. 또한 구글 계정 데이터에는 전화번호나 결제 수단 정보가 포함될 수 있다.

파이어베이스 애널리틱스를 통해 전송되는 기기 정보에는 구글 광고 ID가 포함된다. 이 정보와 안드로이드 ID를 함께 수집하면 특정 사용자에게 타깃 광고를 송출할 수 있다.

메시지는 암호화되지만 타임스탬프와 대조하면 연락처와 내용 복원이 이론상 가능하다. (더글러스 레이스의 논문 발췌)

앱에서 수집하는 데이터도 문제의 소지가 다분하다. 서버로 전송하는 메시지 내용 데이터는 해시 알고리즘으로 암호화되는데, 함께 전송되는 타임스탬프를 참조하면 암호화된 내용을 풀어 보는 것이 이론상 가능하다. 레이스 교수는 컴퓨터의 연산 성능으로 짧은 내용 정도는 복원할 수 있다고 덧붙였다.

구글이 기본 앱 2개로 수집하는 데이터는 버그 수정과 스팸 필터링, 비즈니스 관련 서비스에 사용되는 것으로 알려졌다. 수집 주체가 구글인 만큼 해당 정보가 유출되거나 악용되는 걸 걱정할 필요는 없을 수도 있다.

하지만 논점은 다른 데 있다. 사용자 데이터를 수집하는 과정에서 개인 정보 보호를 위해 필요한 필수 절차가 생략됐다. 사용자에게 수집할 데이터가 무엇인지, 어떤 목적으로 사용할 것인지 명확하게 알리지 않았다.

구글 플레이 서비스의 개인 정보 처리 방침에는 서비스 유지 관리·보안·구글 서비스 제공을 위해 일부 데이터가 수집된다는 내용이 명시돼 있다. 하지만 해당 내용만으로 사용자가 다른 사람과 주고받은 메시지 내용이나 전화번호, 통화 기록까지도 구글에 제공된다고 인지하기는 어렵다.

이론상 수집된 데이터를 기반으로 사용자를 특정하는 것이 가능한데다 데이터 수집마저 거부할 방법이 없어 개인 정보 보호 정책과 법규를 위반했을 소지가 있다.

구글 대변인은 트리니티대학을 비롯한 학계와 연구원들의 피드백을 환영한다며, 관련 팀에 의견을 전달했다고 21일(현지시간) 말했다. 또한 향후 업데이트를 통해 구글 메시지 앱에 사용자가 데이터 수집을 거부하는 옵션을 추가하겠다고 밝혔다.

문제를 제기한 레이스 교수는 아직 안심하긴 이르다는 입장이다. 사용자가 데이터 수집을 거부하더라도 구글이 필수 수집 데이터로 간주하는 정보는 여전히 강제로 수집할 수 있기 때문이다. 그는 이번에 전송이 확인된 데이터들은 해당 옵션이 적용되지 않는 필수 수집 항목에 해당하는 것으로 보인다고 주장했다.

구글 전화와 메시지 앱 (더글러스 레이스의 논문 발췌)

구글은 전화와 메시지 앱의 GDPR 위반 여부에 대해서는 침묵했다. 만약 두 앱이 GDPR을 위반한 것으로 판명될 경우 유럽 연합에서 벌금을 부과할 가능성이 있다.

한편 구글은 이번에 논란이 된 데이터의 수집 목적을 추가로 공개했다. 암호화된 메시지 내용은 메시지 시퀀싱 버그를 감지하는 데 사용하며, 전화번호는 문자로 전송되는 OTP 번호를 기기가 자동으로 인식하게 만드는 데 활용된다고 덧붙였다. 또한 파이어베이스 애널리틱스 서비스는 앱을 다운로드하고 사용했는지 확인하는 역할을 수행한다고 밝혔다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories