법제도/정책

[스타트업 법률상식78] 이용자의 개인정보 보호를 위한 앱 접근권한 설정에 관하여

현수진
[법무법인 민후 현수진 변호사] 온라인 서비스를 제공하는 스타트업의 입장에서 모바일 채널 구축은 더 이상 선택이 아닌 필수다. 이때 사용자 경험(UX)을 최적화하기 위해서는 모바일 웹 대신 모바일 앱을 개발하여 배포하는 것이 한층 유리하다. 앱은 웹보다 쉽고 빠르게 구동 가능할 뿐만 아니라, 맞춤형 서비스를 제공하기에도 편리하기 때문이다.

또한 앱 개발의 가장 큰 장점 중 하나는 스마트폰 기기의 정보나 기능을 활용할 수 있다는 점이다. 스마트폰에 저장된 이용자의 위치정보 또는 연락처 데이터를 연동하거나, 스마트폰에 내장된 카메라 또는 마이크를 구동한 뒤에 사진, 영상, 오디오 데이터를 앱 내에서 작동시키는 경우가 여기에 해당한다. 이처럼 소프트웨어를 통해 스마트폰의 정보 또는 기능에 대한 접근을 통제할 수 있도록 하는 권한을 ‘앱 접근권한(app permission)’이라고 한다.

문제는, 앱 접근권한이 필요 이상으로 광범위하게 설정될 경우 이용자의 개인정보 침해가 발생할 가능성이 높다는 점이다. 실제로 과거 손전등 앱(스마트폰 카메라의 플래시 기능을 손전등처럼 사용할 수 있는 앱)에서, 앱 기능과 무관한 위치정보, 유심칩 정보, 개인정보 등의 데이터에 대한 접근권한을 통해 개인정보 유출이 발생하여 논란이 된 사례가 있다.

따라서, 이하에서는 앱 접근권한에 대한 법적 규제를 중심으로, 앱 서비스를 제공하는 스타트업이 이용자의 개인정보 보호 관련 이슈를 방지하는 방법을 알아보겠다.

정통망법상 앱 접근권한 관련 규제

정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 ‘정통망법’) 제22조의2(접근권한에 대한 동의)는 과도한 앱 접근권한 설정으로부터 이용자를 보호하기 위하여 신설된 규정이다.

▶ 앱 접근권한 설정 시 이용자의 동의를 구할 것

우선, 앱 서비스 제공자는 접근권한 설정 시 (1) 서비스 제공에 반드시 필요한 접근권한(“필수적 접근권한”)과 (2) 그 외의 접근권한(“선택적 접근권한”)을 구분하여, 접근권한이 필요한 항목 및 그 이유를 명확히 고지한 후 이용자의 동의를 받아야 한다(정통망법 제22조의2 제1항).특히 선택적 접근권한의 경우 동의를 거부할 권리가 있다는 사실을 추가로 알려야 하는데, 선택적 접근권한에 동의하지 않는다는 이유로 앱 구동을 불가능하게 하는 행위는 금지된다(정통망법 제22조의2 제2항).

필수적 접근권한과 선택적 접근권한을 구분할 때에는, 앱의 본질적 기능을 수행하기 위해 반드시 필요한 접근권한으로서 해당 기능과 기술적 관련성이 있는 경우에만 필수적 접근권한으로 설정하도록 주의해야 한다. 여기서 말하는 ‘본질적 기능’이란, ① 이용약관 등을 통해 앱의 본질적 기능으로 안내된 서비스의 범위 내에 있는 기능으로서, ② 실제로 제공되지 않는 서비스이거나 통상적인 이용자가 합리적으로 예상할 수 있는 서비스의 범위를 벗어난 기능은 제외한다(정통망법 시행령 제9조의2 제3항).
이때 모든 정보와 기능이 동의 대상 접근권한에 포함되는 것은 아니다. 정통망법 시행령 제9조의2 제1항 각호에서 나열하고 있는 동의 대상 접근권한의 범위는 다음과 같이 정리할 수 있다.


또한, 위 정보 또는 기능에 대한 접근권한이 필요한 경우라도, 제조 시점부터 설치된 선탑재앱으로서 스마트폰의 본질적인 기능과 관련된 기본 앱(통화앱, 문자앱, 카메라앱 등)은 동의 대상에서 제외된다(정통망법 시행령 제9조의2 제1항). 따라서 선탑재앱의 경우 최초 실행 화면 또는 운영체제(“OS”) 구동 화면을 통해 접근권한 설정 사실을 안내하기만 하면 된다.

▶ 운영체제에 적합한 동의 기능을 구현할 것

앱 접근권한 설정에 대한 동의 및 철회 기능은 이용자가 사용하는 스마트폰 OS에 적합한 방식으로 구현되어야 한다.

안드로이드 6.0 이상 또는 애플 iOS의 경우 이용자가 접근권한에 대한 동의 여부를 개별적으로 선택할 수 있다. 개별선택이 가능한 OS의 경우 앱에서 접근권한이 설정된 정보와 기능에 최초로 접근하는 시점에 이용자가 동의 여부를 선택할 수 있어야 한다(정통망법 시행령 제9조의2 제2항 제1호). 즉, 동의 화면에서는 “(앱 명칭)에서 (정보 또는 기능)에 접근하려고 합니다” 등의 문구를 통해 접근대상 정보 또는 기능을 정확하게 명시해야 한다.

반면 개별동의가 불가능한 안드로이드 6.0 미만 버전의 OS에서는, 필수적 접근권한만을 설정하고, 앱 설치 시점에 이용자가 동의 여부를 선택하도록 구현해야 한다(정통망법 시행령 제9조의2 제2항 제2호). 즉, 해당 앱 구동에 필요한 접근대상 정보 또는 기능을 앱의 설치 시점에 모두 알리고 일괄동의를 받아야 한다. 만일 선택적 접근권한의 설정이 필요하다면, 해당 정보와 기능에 최초 접근할 때에 추가로 동의 여부를 선택할 수 있도록 해야 한다.

▶ 개인정보 처리에 대해서는 별도의 동의를 받을 것

이와 관련하여 유념해야 할 점은, 앱 접근권한 설정에 대한 동의와 개인정보 수집·이용에 대한 동의는 별개라는 점이다. 왜냐하면, 접근권한 설정은 앱 서비스 제공자(=정보통신 서비스 제공자)가 소프트웨어를 통해 정보와 기능에 대한 접근을 통제하는 행위로서, 앱 서비스 제공자(=개인정보처리자)가 이용자(=정보주체) 개인정보를 수집·이용하는 행위와 구별되기 때문이다. 다시 말해서, 만일 앱 접근권한 설정을 통해 확보하는 데이터가 이용자의 개인정보에 해당한다면, 앱 회원가입 시 개인정보 보호법에 따른 별도의 동의를 받아야만 이용자의 개인정보를 적절히 보호할 수 있다.

<현수진 변호사> 법무법인 민후

<기고와 칼럼은 본지 편집방향과 무관합니다>
디지털데일리가 직접 편집한 뉴스 채널