개인정보 수집 앱 갤럭시에 깔렸다

고려대 김승주 교수팀 밝혀
원격조종 촬영·녹음도 가능
ROM에 저장·사용자 못지워
삼성 “권한 표기 오류일뿐”

삼성전자 스마트폰 갤럭시 시리즈의 기본 애플리케이션(앱)이 제 기능과 무관한 개인정보 수집 권한을 갖고 있는 것으로 드러났다. 삼성전자 쪽은 ‘표기오류’일 뿐 작동되지는 않는다고 설명했다.

고려대 정보보호대학원 김승주 교수팀은 삼성전자의 스마트폰 갤럭시에스(S)와 갤럭시에스2에 기본 탑재된 앱인 ‘거울’, ‘데이터통신설정’, ‘프로그램모니터’ 등이 개인정보를 수집하는 것으로 드러났다고 5일 밝혔다.

이들 앱이 가동되면, 사용자의 위치정보, 전화번호부, 캘린더 일정, 문자메시지, 이메일과 첨부파일이 수집될 수 있고, 앱이 하드웨어 제어기능까지 갖고 있어서 원격 조종을 통해 사진·동영상 촬영과 녹음까지도 가능하다. 휴대전화가 컴퓨터와 연결되면 컴퓨터 내부까지도 들여다볼 수 있다고 김 교수팀은 전했다. 이들 앱은 본래 기능이 스마트폰을 거울처럼 쓸 수 있게 해주거나 3세대(3G) 데이터통신을 차단하는 등 개인정보를 수집할 필요가 없는 것들이다.

문제의 앱들은 삼성전자가 직접 만들어 스마트폰의 기억장치인 롬(ROM)에 저장시킨 것으로 사용자가 지울 수 없다.

김 교수팀은 삼성전자의 두 기종과 엘지전자의 옵티머스큐(Q)를 대상으로 40~50개의 앱을 분석해 이같은 문제를 찾아냈다고 밝혔다. 김 교수는 “이 3개 앱의 문제는 사용자의 동의를 받지 않고도 과도한 접근권한을 갖고 있다는 점”이라며 “조사기간이 부족해 실제로 개인정보를 수집해 외부로 전송했는지는 확인하지 못했지만 유출하려면 얼마든지 할 수 있다”고 말했다.

삼성전자는 이를 전면 부인했다. 삼성 관계자는 “스마트폰 앱의 권한 목록 표기 오류”라며 “이들 앱에는 개인정보 수집 코드가 들어있지 않아 해당 권한이 없는 상태”라고 설명했다. 삼성전자는 “현재 업데이트 등을 통해 관련 표기를 수정하는 방법을 논의하고 있다”고 밝혔다.

그러나 다수의 안드로이드 앱 개발자들은 실수일 가능성이 높지 않다고 입을 모았다. 한 개발자는 “보통 개발자도 여러차례 검수를 거쳐 앱을 개발하는데 세계 1위 판매량의 스마트폰을 공급하는 세계적인 기업이 이런 엄청난 실수를 했다는 것은 도저히 납득하기 어렵다”고 말했다. 또다른 개발자도 “안드로이드 앱은 어떤 자원의 프로그램을 개발할 때 개발자가 스스로 엑세스할 자원을 선택하게 돼 있다”며 “실수라는 건 상식밖”이라고 전했다.

반면, 또다른 안드로이드 앱 전문가는 “보통 액세스 권한 요청과 실제 사용 여부는 별개”라며 “액세스 권한이 잘못 들어갔다는 추정도 가능하다”고 설명했다.

김진철 기자 nowhere@hani.co.kr