[디지털데일리 최민지기자] 녹색소비자연대 전국협의회(상임대표 이덕승) ICT소비자정책연구원(이하 녹소연)은 스마트폰 어플리케이션(앱) 중 다운로드 상위 30위에 해당하는 인기 앱을 대상으로 접근권한 요구 현황을 조사·분석한 결과 평균 18.5개에 달하는 접근권한을 요구하고 있다고 29일 밝혔다.

이에 녹소연은 문제 해결을 위한 정부의 관련 가이드라인이 발표되었음에도 불구하고 여전히 접근권한 문제가 해결되지 않았고, 개인정보 유출 위험 또한 높다고 지적했다.

스마트폰 앱의 접근 권한은 앱 설치·구동에 있어 필요한 기능 사용의 범위를 말한다. 통화기록·연락처 정보, 카메라·오디오 기능, 사진·동영상 정보, 위치 정보 등 모든 기능과 정보에 앱이 접근하고 사용할 수 있게끔 할 수 있다. 특정 앱이 포괄적 권한을 요구하는 경우 사생활 침해는 물론 범죄에 악용할 수 있다.

소비자들은 앱을 설치할 때 접근권한 목록까지 꼼꼼하게 살펴보기 어려우며, 설사 불필요한 접근권한의 존재를 확인하더라도 이를 제외하고 앱을 다운받거나 사용할 수 없다. 이를 악용해 많은 앱들이 불필요한 권한을 요구하고 있는 실정이다.

과거 ‘손전등’ 앱이 사용자의 위치, 카메라, 마이크, 휴대전화 상태 및 ID읽기, 네트워크 액세스 등 과도한 권한을 요구할 뿐 아니라 실제로 그러한 권한을 악용해 개인정보를 빼돌리는 것으로 드러나 논란을 일으킨 바 있다.

지난 8월 녹소연은 정부3.0과 연계되는 90여개의 정부 앱을 전수조사 한 결과 평균 10개의 접근권한을 요구하고 있었다고 발표했다. 국립자연휴양림정보나 산행정보 앱을 비롯해 공항가이드앱, 교통정보앱, 건강정보앱 등 단순 정보제공 기능만을 수행하는 앱임에도 불필요하게 과도한 권한을 요청했다. 또 휴대전화 상태 및 ID, 위치정보, 카메라, 연락처, SMS메시지 등 다양한 접근 권한을 요구하고 있었다.

이와 함께 녹소연은 안드로이드 앱 마켓인 구글플레이 기준 다운로드 수 상위 30개 앱의 접근권한 요구 현황을 조사했다. 정부 앱보다 훨씬 더 심각한 수준인 평균 18개 이상의 권한을 요구하고 있는 것으로 드러났다.

이 중 가장 많은 권한을 요구한 앱은 ‘360 시큐리티(security)’ 앱으로 무려 42개 권한을 요구하고 있었다. 다음으로 페이스북 ‘메신저(Messenger)’ 앱이 36개, 페이스북(Facebook) 앱이 32개로 많은 접근권한을 요구하고 있었다. 반면 10개 미만의 권한을 요구하는 앱은 ‘포켓한국사 설민석’과 ‘카카오맵’ 앱이 8개, ‘네이버 중한사전’ 앱이 9개로 단 3종류에 불과했다.

중국에서 개발된 360 시큐리티 앱은 백신기능을 하는 보안 앱이지만 위치 정보, 카메라·오디오 사용, 주소록 읽기·수정, 문자메시지(SMS) 읽기·전송 등 거의 모든 종류의 접근 권한을 요구하고 있었다. 비슷한 기능을 하는 안랩의 ‘V3 모바일 플러스(Mobile Plus)’ 앱과 비교할때 무려 32개의 추가 권한을 요구하고 있는 등 개인정보 유출 위험이 가장 심각했다.

포털 앱인 ‘네이버’, 마일리지 관리 앱 ‘CJ One’, 사진촬영 앱 ‘스노우’ 등은 기능과 무관한 주소록 관련 접근권한을, 금융거래 관련 앱인 ‘신한카드 FAN’이나 ‘NH스마트뱅킹’ 앱은 카메라나 SMS문자 관련 권한을 요청했다. 상위 30개 앱 중 21개에 달하는 앱이 위치정보 접근 권한을 포함시켰다.

지난해 8월 방송통신위원회와 한국인터넷진흥원은 스마트폰 앱이 이용자의 정보에 접근할 수 있는 권한의 범위를 서비스에 필요한 범위 내로 최소화하도록 하는 가이드라인을 내놓았다. 이어 스마트폰 앱 접근권한 모니터링 및 적절성 점검 방안 마련을 위한 연구용역을 진행 중이다.

가이드라인 발표 직후 김기식 의원실에서 발표한 자료에 따르면 당시 상위 30위권 앱의 평균 접근권한 요구는 19.4개였으며, 여전히 주요 앱들이 기능과 관련 없는 접근권한 대다수를 요구하고 있었다. 이 후 1년이 넘게 지난 지금도 전혀 개선되지 않았다는 것이다.

이 문제와 관련해 국회에서도 정보통신망법에서 앱의 필수적 권한과 선택적 권한을 구분해 이용자의 동의를 받도록 하도록 하는 개정안이 지난 3월 통과돼 시행을 앞두고 있다. 법 시행을 위한 구체적 방법안과 함께 위반 때 과태료 규정을 포함한 동법 시행령 또한 지난 25일 입법예고됐다.

아울러, 기존 개정안이 법 시행일 이후인 내년 3월 이후 출시되거나 업데이트 되는 앱에만 적용된다는 점을 보완하기 위해 이미 출시된 앱에서도 과도한 접근권한 요구를 시정할 수 있도록 정부가 심사하고 시정조치를 명할 수 있게끔 하는 개정안 또한 신경민 의원이 대표발의해 위원회 심사를 거치고 있다.

녹소연 측은 “정부 가이드라인이 나왔지만 실제로 거의 효과를 거두지 못하고 있는 것으로 드러나는 등 정부의 개인정보 보호 관련 정책이 실효성 없는 면피성 정책으로만 채워지고 있다”며 “주무부처인 미래창조과학부와 방송통신위원회는 정부 앱 뿐만 아니라 소비자들이 널리 이용하고 있는 민간 앱들에 대해서도 폭넓게 조사해 과도한 권한이 요구된 부분을 수정해야 한다”고 강조했다.

이어 “소비자들의 개인정보 보호를 위해 가이드라인을 넘어선 실효성 있는 정책적 대안을 내놓아야 할 필요가 있다”며 “이에 대한 입법적 해결을 위해 관련 개정안들이 신속히 국회의 심사를 거쳐 시행돼야 할 것”이라고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr