트렌드

단말기 고유번호 수집하는 안드로이드 앱, 문제 없나

2010.08.29

다수의 안드로이드앱이 사용자들의 단말기 고유번호를 수집하고 있는 것으로 드러났다. 한 보안업체가 집계한 결과 3G 단말기의 식별번호인 IMEI를 수집하는 안드로이드 앱이 국내외 100개가 넘는 것으로 밝혀졌다. 일부 앱은 IMSI나 USIM 시리얼번호 등 USIM에 저장된 각종 정보까지 수집하고 있는 상황에서 국내서도 이런 정보를 수집하는 앱들이 나오고 있어 법적으로 논란의 소지를 띄고 있다.

이와 같은 사실을 전한 한 보안업체는 쉬프트웍스로 이 회사는 지난해 7월 7일 있었던 분산 서비스 거부(DDoS) 공격 당시 북한발 소행이 아니냐는 루머가 돌 때 미국에 있는 서버에서 공격 명령이 내려졌다고 파악하고 공개할 정도로 실력을 갖춘 화이트 해커들로 구성된 회사다.

이들이 만든 모바일 백신 ‘브이가드’는 미래에셋과 동양종합금융증권 등 10여 개 증권사들의 안드로이드 앱에 함께 탑재돼 있다. 브이가드는 알려진 악성코드들을 잡아낼 뿐만 아니라 IMEI나 USIM 시리얼번호, IMSI 정보 등을 수집하는 애플리케이션을 발견할 경우 사용자에게 경고메시지를 보내는 것이 특징이다.

vguard

그런데 이러한 정보를 수집하는 안드로이드 앱이 한두 종이 아니다 보니, 사용자들은 증권사 앱을 실행할 때마다 수많은 경고메시지를 보게 된다. 상황이 이렇다 보니 일부 사용자들은 브이가드가 정상적인 앱도 무더기로 악성 앱으로 진단해 보안 위험을 부풀리는 것이 아니냐며 불만을 표시하기도 한다. 보안 위협이 있는 것으로 지적된 앱 개발업체들도 이러한 분위기에 편승해 “(브이가드가) 정상 앱을 위험파일로 감지해 악성으로 진단한다”라며 공격에 나서고 있는 상황이다. 자신들이 수집하는 정보에 대해서는 제대로 된 공지도 안하거나 법적인 문제가 불거질 수 있는 부분에 대해서는 함구한 채 책임을 이 업체로 돌리는 업체들도 등장하고 있다.

단말기 고유번호를 수집하는 앱에 대한 경고의 메시지를 보내는 브이가드가 문제인가, 아니면 과도하게 단말기 정보를 수집하는 100여 종이 넘는 안드로이드 앱이 문제인가? 구체적으로 문제를 살펴보기 전에 IMEI와 IMSI 등 관련된 용어에 대해 먼저 알아보자.

IMEI(International Mobile Equipment Identity, 국제 모바일 단말기 인증번호)는 3G 방식에서 단말기가 어느 제조사의 어느 모델인지를 알아볼 수 있는 고유 번호이며, IMSI(International Mobile Subscriber Identity : 국제 모바일 가입자 인증번호)는 USIM에 내장돼 통신사가 가입자 개인을 식별하는데 사용하는 번호로 국제 표준으로 사용되고 있다.

2G 시절에는 ESN(Electronic Serial Number : 전자식 고유 번호)이 이와 유사한 역할을 했다. 그런데 ESN이 유출돼 수많은 브릿지폰(도·감청의 목적으로 제작되는 복제 전화기)이 등장하면서 3G부터는 IMEI와 IMSI를 통해 단말기 정보와 사용자 정보를 분리해서 사용하고 있는 것이다.

이처럼 복제폰이 사회적 문제로 떠오르면서 정부는 2004년 통신비밀보호법에 단말기 고유번호를 보호하는 조항을 신설했다. 통신비밀보호법 제3조 3항은 “누구든지 단말기기 고유번호를 제공하거나 제공받아서는 아니된다. 다만, 이동전화단말기 제조업체 또는 이동통신사업자가 단말기의 개통처리 및 수리 등 정당한 업무의 이행을 위하여 제공하거나 제공받는 경우에는 그러하지 아니하다”고 명시하고 있다.  제 17조에는 “(단말기기 고유번호를 제공하거나 제공받은 자에 대해) 3년 이하의 징역 또는 1천만원 이하의 벌금에 처한다”라는 처벌 조항도 마련돼 있다.

통신비밀보호법은 ‘단말기기 고유번호’를 이동통신사업자와 이용계약이 체결된 개인의 이동전화 단말기기에 부여된 전자적 고유번호”라고 정의하고 있다. 그런데 그 동안 ESN으로 일원화돼 있던 단말기 고유번호가 6년이라는 시간이 흐르면서 IMEI와 IMSI로 변화됐다. USIM에 저장된 정보만 해도 IMSI부터 USIM 시리얼번호, 국가 정보 등 한 두 가지가 아니다.

문제는 여기서 발생한다. 이렇게 수많은 정보 가운데 통신비밀보호법이 말하는 ‘단말기기 고유번호’의 영역은 과연 어디까지 해당하는 것일까. IMEI나 IMSI, USIM 시리얼 넘버 등을 서버로 수집하는 여러 안드로이드 앱은 과연 처벌 대상일까 아닐까.

주무부처인 방송통신위원회에서 통신비밀보호법 관련 업무를 담당하는 김미정 통신경쟁정책과 사무관에게 이와 같이 단말기의 고유번호를 수집하는 안드로이드 앱에 대한 입장을 물었다. 그 역시 “통신비밀보호법이 말하는 단말기 고유번호는 과거의 개념”이라고 말하면서 “현재는 가입자 정보와 단말기 정보가 분리돼 있기 때문에 IMEI는 단순 기기번호로 볼 수 있다. 통신비밀보호법의 취지를 놓고 봤을 때, IMEI를 수집하는 것만으로 법률에 저촉된다고 보기는 어렵다”는 입장을 밝혔다.

그러나 그는 “IMEI와 함께 USIM에 있는 정보를 가져가는 경우는 문제가 발생할 소지도 있다”며 “앞으로 더 검토가 필요할 것으로 보인다”며 명확한 입장 표명에 대해서는 유보했다. 법률적으로 타툼이 발생할 소지가 충분한 상황이기 때문인 듯 보인다.

그의 의견대로 현재 IMEI 정보만을 가져갈 경우 복제폰을 만드는 것은 사실상 불가능하지만 악용될 여지는 충분하다. 일례로 해외에서 수입한 단말기를 전파인증을 받지 않고 IMEI 번호를 변경해 국내 통신사의 USIM을 꽂아서 사용하는 방식으로 악용될 가능성이 있다. 국내 통신사의 휴대폰 인증 방식이 IMEI 화이트리스트 기반이기 때문이다.

이상돈 오범코리아 책임애널리스트는 “과거 ESN은 복제폰 문제가 빈번하게 발생하는 등 보안 수준이 떨어졌지만 이를 악용할 수 있는 기술 수준도 높지 않았다”라며, “3G 환경으로 넘어오면서 휴대폰의 보안 수준이 많이 높아졌지만, 이를 악용할 수 있는 기술도 고도화됐고, 스마트폰에서 각종 애플리케이션이 사용되면서 악용할 수 있는 사례도 다양화 됐다”고 우려의 목소리를 전했다.

그는 “사후약방문식으로 조치하는 것이 아니라 현재 기술 수준에서 일어날 수 있는 가능성에 대해 충분히 조사해 통신비밀보호법 등 관련 법률을 보다 구체화하는 작업이 필요한 시점”이라는 의견을 피력했다.

앞으로 스마트폰 애플리케이션에서 수집하는 단말기와 개인 정보의 경우, 어떤 정보가 어떠한 목적으로 수집되는지 더욱 상세히 공지할 필요가 있을 것으로 보인다. 합법적인 정보를 가져가는 경우라도 사용자들의 허가와 동의를 거쳐 사전에 인지할 수 있도록 하는 과정이 중요하다. 이와 함께 수집된 정보가 어떻게 보관되고 유출되지 않도록 관리할 수 있는 가이드 라인을 제공하는 것도 중요하다. 특히  안드로이드 기반 스마트폰이 국내에서 200만 대 이상 판매된 상황이기 때문에 앱 개발사들의 무분별한 개인정보 수집은 시장 확산에 걸림돌이 될 수도 있다.

무엇보다 중요한 것은 주무부처의 역할이다. 이상돈 애널의 의견처럼 국내 통신비밀보호법도 이에 맞춰 보다 정교하게 개정될 필요도 있다. 스마트폰이 아직 도입단계인 만큼 악성코드나 단말기 고유정보 유출에 대한 기준이 모호한 상황이다. 이 때문에 시장에서 혼란이 발생하고 있다.

법률적인 해석과 별도로 특정 애플리케이션이 굳이 IMEI 등 고유정보를 수집할 필요가 있느냐 하는 것은 여전히 의문이다. 지난달 네이트온이 MAC 주소와 컴퓨터이름을 수집하겠다고 공지해 수많은 이용자들을 들끓게 했던 사례가 떠올른다. 적지않은 안드로이드 앱이 MAC 주소 이상으로 악용될 우려가 높은 IMEI 정보 등을 수집한다는 사실을 알게됐을 때, 과연 사용자들은 이를 눈뜨고 바라보기만 할까.

ezoomin@bloter.net

블로터닷넷 기자. 모바일의 시대에 모두 다 함께 행복해지는 세상을 꿈꿉니다. / 모바일, 스마트폰, 통신, 소통 / 따뜻한 시선으로 IT 세상의 곳곳을 '줌~인'하겠습니다. ezoomin@bloter.net / 트위터 @ezoomin