안드로이드 운영체제(OS)를 사용하는 휴대폰에서 사용자 동의 없이 개인정보가 수집되고 있다고 폰아레나가 13일(현지시각) 전했다.

더블린 트리니티대학 연구원들이 발표한 보고서에 따르면 안드로이드폰을 사용하지 않을 때에도, 개발자들과 페이스북, 구글, 링크드인, 마이크로소프트와 같이 사전에 설치된 시스템 앱을 가진 회사들에게 상당한 양의 정보를 전송하고 있다는 것을 발견했다.

각 변종 안드로이드 OS에 의해 수집된 데이터 유형.  / 트리니티대학
각 변종 안드로이드 OS에 의해 수집된 데이터 유형. / 트리니티대학
보도에 따르면 사전에 설치된 시스템 앱은 안드로이드폰을 구매할 때 이미 설치된 앱이며 삭제할 수 없다. 더욱 큰 문제는 사용자가 이 앱을 열지 않았더라도, 그 앱의 모회사를 포함해 많은 회사로 데이터를 전송한다는 점이다.

트리니티대학 연구진은 안드로이드 OS가 어떤 데이터를 무단으로 전송하고 있는지 분석했다. 연구진은 휴대폰 소유자가 데이터 공유를 설정하지 않고, 기본 설정을 사용한 상태에서 기본 설치 앱과 안드로이드 OS에서 보내는 데이터를 가로채는 방식으로 진행됐다고 밝혔다.

추적된 데이터를 보면 IMEI(international mobile equipment identity, 단말기 고유 식별 번호)와 같은 특정 모바일 장치를 식별하는 데 도움이 될 수 있는 정보가 광고 ID와 함께 전송된다. 광고 ID는 변경이 가능하지만, 재설정하는 것은 의미가 없다. 왜냐하면 고유한 IMEI가 늘 따라다니기 때문이다.

구글은 여러 기기에서 많은 양의 데이터를 수집하는 것으로 나타났다. 연구에 사용된 삼성전자 휴대폰을 보면 구글 광고 번호가 삼성 서버로 전송되고, 몇몇 삼성 시스템 앱은 구글 분석 자료를 사용해 데이터를 수집한다. 구글의 푸시 서비스는 마이크로소프트 원드라이브 시스템 앱과 함께 사용된다.

이 보고서는 시스템 앱이 사용 중인 앱의 이름, 사용 시기, 앱 화면, 사용 시간 등 앱 사용과 관련된 특정 정보를 추적하고 있다고 덧붙였다.

한편, 일부는 휴대폰에 설치된 앱 목록도 수집한다. 이것은 앱 사용을 추적하는 것만큼 심각한 침해는 아니지만, 광고주들에게는 금맥이다. 만약 사용자들이 설치한 앱을 알 수 있다면, 광고주들이 특정 사용자에게 어떤 제품을 노출할지를 결정하는 데 도움이 될 수 있다는 의미다.

구글은 최근 데이터 수집에 대한 제한을 추가했지만, 플레이스토어의 앱에만 적용됐기 때문에 기본 설치된 시스템 앱은 여전히 수집의 대상이 된다. 보고서는 단말기의 위치나 시간 기록을 통해 사용자 신원을 추론할 수 있다고 경고한다.

각 공급업체가 전송하는 데이터 볼륨(KB/H) / 트리니티대학
각 공급업체가 전송하는 데이터 볼륨(KB/H) / 트리니티대학
구글과 마이크로소프트의 일부 변종 안드로이드 운영체제나 타사 시스템 앱은 사용자 상호 작용을 기록한다. 이런 데이터는 개발자가 앱의 문제를 조기에 파악하기 위해 필요한 것이지만, 주요 보안 문제가 될 수 있다고 경고한다.

하순명 기자 kidsfocal@chosunbiz.com