스마트폰 애플리케이션이 휴대폰 단말기에 부여되는 고유의 기기식별번호(IMEI)와 가입자인증모듈(USIM) 일련번호(SN)를 이용하는 행위에 관해 어떻게 생각하십니까? 또 이를 위험하다고 진단하는 백신은요? 한 안드로이드 기반 스마트폰 백신이 이같은 고유정보를 자동 추출하는 애플리케이션(앱)을 탐지, 사용자에게 경고메시지를 띄운 것이 이슈가 되고 있습니다. 이 백신이 위험하다고 진단한 앱은 증권정보사이트인 이토마토의 ‘증권통’니다. 별도의 인증절차를 거치지 않도록 함으로써 사용자에게 편의성을 제공하기 위해 이같은 정보로 인증을 해온 것이라는데요. 문제의 백신은 미래에셋, 동양종금증권 등 여러 증권사에 납품돼 있는 쉬프트웍스의 ‘브이가드’입니다. 초기 스마트폰 시장에서 요즘 안드로이드 기반 백신중에서는 소위 제일 ‘잘나가는’ 제품입니다. 해당 앱 공급사인 이토마토가 운영하는 뉴스토마토가 이 스마트폰 백신이 정상 앱을 악성·불법으로 몰고 가고 있다며 문제를 제기, 이 백신이 “정상 앱을 무단 차단하는 무법 백신”이라고 주장하면서 논란으로 번지고 있는데요. 뉴스토마토는 쉬프트웍스와 백신 ‘브이가드’의 진단 방식과 행위에 반발해, 연이어 관련기사를 쏟아내고 있습니다. 일부 기사 아래 링크합니다. 쉬프트웍스 눈엔 어플개발사가 범죄집단'? 무법 백신 '브이가드' 보급, 금융당국 책임없나모바일백신 'VGUARD', 안드로이드 어플 무단차단 파장이 때문에 IEMI 등의 정보를 사용한다는 것으로 앱을 위험하다고 분류하는 진단방식은 적절치 않다는 의견과 함께 이 정보만으로는 해킹 등의 위험성이 적은데 쉬프트웍스가 스마트폰 보안 문제를 과도하게 부각하고 있다는 시각이 존재합니다. (물론 사전 고지를 했는지 여부에 대해 주장하는 바가 각각 다릅니다.) 반면에 IEMI는 현행 통신비밀보호법상 보호돼야 할 ‘단말기기 고유번호'이고(관련 블로그 포스팅 링크), 휴대폰 복제나 도청에도 이용될 수 있어 무단수집과 사용은 위험하며 개인정보보호를 위해 이용자에게 사전 동의와 누구라도 인지할 수 있는 고지절차가 필수라는 의견도 교차하고 있습니다.  홍민표 쉬프트웍스 대표는 “단말기 고유정보인 IEMI는 휴대폰 복제까지도 가능한 중요한 개인정보라 볼 수 있다. 그런데 사용자 동의 없이 자동으로 추출해 암호화되지 않은 상태로 서버로 보내고, 이 정보와 USIM의 고유번호를 이용해 인증을 하고 있다. 이는 엄연한 개인정보 유출”이라고 설명했습니다. 홍 대표는 블로그(링크)에도 이토마토의 주장에 대한 입장을 밝혔는데요. 써놓은 글 일부를 붙여보겠습니다. 이 개인정보를 고객의 동의 없이 이용하는데, 중략...앱에서 정확한 약관으로 최초 실행시 앱에서 어떤어떤 용도에 의해서 USIM 넘버와 IMEI 값을 가지고 인증을 한다 라고 말을 해줬어야합니다. 그리고 해당 데이터들은 어떤 데이터인지 인지를 시켰어야 합니다.실제로 중국등 짝퉁 휴대폰 제조업체들은 이 IMEI 값을 밀거래로 대량으로 구입을 하여, 폰복제나 짝퉁폰 제작에 사용하고 있습니다. 이런 위험성이 있구요, 개인정보 도용이 분명한 부분입니다. 해당 정보 수집이 잘못되었던 안되었던 분명히 문제가 있는 부분입니다.자신이 소유한 폰 자체에 대한 IMEI 관련 된 부분도 문제가 되는데 이러한 아주 중요한 전자적으로 부여한 고유번호를 서버에서 수집하고 그것을 인증 절차로 사용된다면 분명히 문제가 있고, 정보보호를 하는 입장으로써는 당연히 해당 앱을 위험할수 있다라고 경고할 수 있습니다.“위험” 과 “바이러스” 혹은 “악성코드”로 진단하는 것은 분명히 다릅니다.이 문제에 아직 방송통신위원회와 한국인터넷진흥원(KISA)도 명확한 입장을 내놓지는 못하고 있습니다. 전문가들도 의견이 분분합니다. 현재 많은 애플리케이션이 실제로 업데이트할 때라거나 서비스에 필요하다는 이유로 IMEI와 같은 정보를 이용하고 있다고 하네요. 물론 이같은 앱을 모두 ‘악성’이라고 볼 수는 없을 것입니다. (물론 쉬프트웍스도 ‘악성’이라는 용어를 사용하지는 않았습니다.)그럼에도 스마트폰상에서 보호해야 할 개인정보의 범위(예를 들어 IMEI, USIM 일련번호가 포함되는지 여부) 규정, 그리고 앱의 단말기 고유정보 수집·이용 등에서 요구되는 기준과 가이드라인이 필요할 것 같습니다. 많은 전문가들도 대부분 필요성을 인정하고 있다고 생각됩니다. 방통위는 이미 ‘월페이퍼’ 안드로이드 악성코드 이슈가 제기된 직후 스마트폰 민·관 합동 대응반을 통해 이와 관련 논의와 분석을 시작했다고 하더군요. 스마트폰 사용이 폭발적으로 확산되는 초기에 제대로된 ‘인식’을 갖추도록 하고 ‘실천’할 수 있도록 기반을 갖추는 것은 아주 중요합니다.  스마트폰은 개인용 단말기이고, 단말기 자체의 정보부터 시작해 이 안에 담긴 다양한 정보, 서비스 이용정보가 악의적으로 도용될만한 위험성이 충분하다는 것은 분명하기 때문입니다. 특정 기업이 앱을 통해 휴대전화 고유정보와 개인정보를 동의나 고지 없이 마구 수집하고 있다면 이용자들은 당연히 개인정보유출 및 사생활 침해를 제기할 것입니다. 만일 고유정보를 사용한다면 반드시 명확한 사용목적과 범위 등을 밝히고 동의를 구해야 합니다. 얼마 전에 있었던 한가지 사례가 생각이 납니다. PC의 경우인데요, SK커뮤니케이션즈가 네이트온 메신저 피싱 피해 차단조치 강화를 이유로 PC 고유의 식별정보인 MAC주소와 컴퓨터이름을 수집하려는 방안을 시행하려다 개인정보유출 등을 우려한 사용자 비판과 우려, 이로 인한 회원탈퇴 움직임으로 철회한 일입니다. 고객 보호, 보안을 보다 강화하기 위한 조치였지만 아이러니하게도 결국 거센 이용자 저항에 부딪쳤습니다. 사용자들이 내 정보를 수집하는 것에 대한 거부감, 불쾌함이 그만큼 크다는 점을 알아야 할 것 같습니다.   댓글 쓰기
저작권자 © 딜라이트닷넷 무단전재 및 재배포 금지