동의 없이 수집된 위치정보, 어디에 쓰일까?

 스마트폰을 사용하면서 위치정보를 제공해 혜택을 보는 일이 많아졌습니다. 영화를 예매하더라도 가까운 극장을 먼저 찾아주고, 지하철 도착 시각을 확인할 때도 가까운 지하철역을 토대로 정보를 제공하죠. 이는 사용자가 위치정보를 제공하겠다고 동의를 하면서 얻는 것입니다. 그런데 동의 없이 유출된 위치정보도 존재합니다.
 

---

동의 없이 수집된 위치정보, 어디에 쓰일까?

 

 간단히 생각하면 위치정보 제공의 동의는 약속으로 서비스 제공자와 서비스를 제공하여 이익을 얻고, 사용자는 위치정보를 제공하여 혜택을 얻기 위한 관계가 쉽게 성립됩니다. 그래서 심각한 거부감이 들진 않으며, 만약 문제가 생겼을 때 법적 절차를 밟을 수 있어 대책도 있는 셈입니다. 그런데 동의 없이 수집되는 위치정보는 불법인 것을 둘째치고, 수집만으로 어떤 이득을 얻을 수 있는지 의문이 듭니다.

---

 

브라이티스트 플래시라이트 프리

 미국의 인기 안드로이드용 손전등 앱인 '브라이티스트 플래시라이트 프리(Brightest Flashlight Free)'가 사용자 동의 없이 몰래 단말기 위치정보를 빼돌린 것이 적발되었습니다.
 
 미국 연방거래위원회(FTC)는 골든쇼어스 테크놀로지스(Goldenshores technologies)가 배포한 안드로이드 앱 브라이티스트 플래시라이트 프리가 위치정보를 무단 수집해 제3자에게 제공했다고 지난 5일 공식 성명을 발표했습니다.
 
 간단한 손전등 앱이고 가격도 무료라 큰 거부감 없이 사용자들이 내려받을 수 있었고, 지금까지 약 1억 명이 구글 플레이에서 내려받은 것으로 파악되었습니다. 그러니까 1억 명의 위치정보가 새나갔다는 겁니다. 이런 수집은 동의 없이 이뤄졌는데, 손전등 앱 자체에 위치정보가 필요할 이유가 없으므로 악의적인 목적만 가진 앱이라고 할 수 있습니다. 더군다나 개인정보를 보호한다는 항목을 제공했음에도 이조차 가짜였으니, 작정하고 위치정보를 수집한 것입니다.
 
 FTC는 공정거래 법규 위반으로 골든쇼어스를 제소했습니다. 이에 위치정보 수집 경위와 사유를 공개하고, 무단으로 수집한 위치정보를 삭제하는 조건으로 FTC와 합의했습니다.
 
 여기서 드는 의문입니다. 도대체 이 위치정보를 어디다 사용하는 것일까요? 1억 명이나 되는 사용자의 위치정보가 골든쇼어스에 어떤 이득을 주길래 무료로 앱을 배포하고, 사용자를 속여 수집하는 것일까요?
 

---

거래

 '트래킹 브로커(Tracking Broker)'로 불리기도 하는데, 이들은 수집된 위치정보를 거래합니다. 위치정보뿐만 아니라 웹캐시 정보나 스마트폰 사용 시간 등도 거래 대상입니다. 그럼 이 정보는 어떻게 거래되는 것일까요? 누가 이 정보를 구매하는 것일까요?
 
 대부분 거래 대상은 광고 업체입니다. 광고 업체나 네트워크 업체는 개인정보를 수집하고, 이를 토대로 광고를 극대화해야 하는데, 합법적인 방법으로 정보를 수집하기에는 한계가 있습니다. 사용자가 동의하지 않거나 아예 광고를 차단해버리기도 하며, 자사의 광고 플랫폼을 통하지 않으면 수집할 수도 없는 탓에 정보가 아주 느리게 쌓입니다. 그러나 동의 없이 다른 경로를 통해 수집한 정보는 사용자의 거부감도 없으며, 쉽게 수집할 수 있고, 자체적으로 수집하는 것보다 저렴하기도 합니다. 그리고 이렇게 수집된 정보를 통해 사용자의 분포나 이동 경로, 소비 성향을 파악하여 알맞은 형태로 광고할 수 있습니다. 광고 효과가 높으면 그만큼 광고 업체가 이익을 얻게 되죠. 그 이익을 위해 위치정보를 구매하고, 이 위치정보를 제공하기 위해 브라이티스트 플래시라이트 프리와 같은 앱이 활개를 치고 있습니다.
 
 그리고 이 문제를 매우 심각하게 생각해야 할 점이 미국은 중국을 상당히 경계하고 있지만, 중국에서 제작된 앱은 소비되고 있으며, 만약 이 중 브라이티스트 플래시라이트 프리와 같은 앱이 존재하고, 수집된 정보가 중국으로 넘어가는 등의 문제가 발생할 수 있기 때문입니다. 이는 우리나라도 마찬가지이며, 무단으로 수집하는 쪽에서 충분한 이득을 얻을 수 있어서 예의주시해야 할 부분입니다.
 
 가장 큰 문제점은 '브라이티스트 플래시라이트 프리와 같은 앱이 또 존재하지 않느냐'하는 것이며, 구글의 규제 자체가 현재에 머물러 있다면, 다른 형태의 앱으로 개인정보를 무더기로 수집하는 앱이 존재할 수 있다는 겁니다.
 
 실제 시만텍이 지난달 공개한 ‘모바일 애드웨어 및 악성코드 분석 보고서’를 보면, 구글 플레이에 등록된 앱 중 23%가 사용자의 정보를 무단으로 유출/수집하는 '매드웨어(Madware)'인 것으로 드러났습니다. 수집되는 정보는 위치정보와 함께 연락처, 계정정보 등이며, 2013년 말에는 매드웨어가 25%까지 증가할 것으로 예측했습니다. 이 비중은 매년 증가하고 있어 안드로이드 보안 위협이 갈수록 심각해지고 있음을 보여주고 있습니다.
 

---

매드웨어

 무단 수집자들은 이 정보가 이득이 되므로 계속해서 시도하려 할 것입니다. 그리고 이를 구매하는 구매층도 확고해서 구글이 정책을 강경하게 제시하지 않는다면 해결되지 않을 겁니다. 또한, iOS도 지난해 '파인드 앤 콜(Find and Call)'이라는 연락처 수집 악성 앱이 앱스토어에 등록된 것을 발견했던 걸 생각해보면, 함께 주의해야 할 부분임을 간과해선 안 됩니다.
 
 그러나 이것을 주의한다고 해서 해결되지 않는다는 것이 쟁점이며, 일반 사용자들은 이런 악성앱을 걸러낼 수단이 그리 많지 않고, 걸러내는 만큼 또 생겨나는 탓에 이런 보안 위협에 대해 대대적인 조사를 시행할 필요가 있다고 생각합니다.
 
 편의와 혜택을 주는 스마트폰과 위치정보 제공이 한순간의 무기로 돌변할 수 있고, 내 정보가 다른 주머니로 들어가는 돈이 된다는 점에서 일반 사용자가 완벽히 파악하지 못한다 하더라도 경각심을 가지고, 사용하는 것이 현재 할 수 있는 최우선입니다.