누적 개통 기기 10억 대 이상, 누적 앱 다운로드 건수 500억 건 이상(2014년, 안드로이드 기기/플랫폼 기준)을 돌파하며 전 세계 약 72억 인구의 필수품으로 자리 잡은 스마트폰.

스마트폰의 빠른 보급과 함께 하드웨어는 물론 소프트웨어 기술도 급속도로 발전하며 PC 못지않은 성능의 하드웨어가 속속 등장하고 있고 이에 맞춰 훌륭하고 혁신적인 소프트웨어들도 개발되고 있다.

특히, 최근의 소프트웨어들은 불특정 다수에게 일률적으로 서비스를 제공하던 것에서 벗어나 철저하게 개인의 데이터를 분석해 소비자에게 차별화되고 개인화된 서비스를 제공하기 위해 노력하고 있다. 모바일게임의 경우도 소비자의 평균 플레이 시간, 선호하는 콘텐츠, 사용위치, 플레이패턴 등을 세분화하여 유저가 더 나은 게임플레이를 즐길 수 있도록 하고 있다.

모바일게임 외에도 수 많은 스마트폰 앱들은 소비자 맞춤형 서비스를 제공하기 위해 더 많은 소비자들의 정보를 요구하고 있다. 그리고 그 정보를 얻기 위해 소비자에게 스마트폰 기능의 일부를 사용할 수 있는 '권한'을 요구한다. 권한은 앱의 유형과 필요 목적에 따라 개인사용자가 일반적으로 사용할 수 있는 권한 이상의 것을 요구하기도 하고 또 아주 간단한 것만을 필요로 하기도 하는데 최근 이러한 '권한'을 이용해 소비자들의 정보를 허락 없이 악용하는 사례가 꾸준히 증가하고 있어 논란이 되고 있다.

가장 대표적인 사례는 바로 지난해 있었던 '플래시라이트'앱 이른바 '손전등' 앱 사건이다. 본연의 기능에서 벗어난 권한 요구로 약 1000만 명의 개인정보를 사용자 몰래 마케팅 업체에 제공한 사례로 이 사건을 계기로 정부에서도 스마트폰 '권한' 설정으로 인한 개인정보 유출을 심각하게 받아들이고 있는 상황이다.

그리고 우리가 알지 못하는 사이 모바일게임들도 이러한 권한 요구를 통해 우리의 정보를 가져가고 있다.

게임 앱은 어떤 권한을 요구할까? 구글 상위 앱 분석해보니
각 오픈마켓에서 가장 많은 비중을 차지하는 게임 앱은 그 기능과 역할에 따라 일반적인 앱보다 많은 권환을 필요로 한다. 게임포커스는 현재 게임에서 가장 높은 인기를 끌고 있는 상위권 앱이 사용하는 앱 권한을 조사해봤다.

게임포커스의 조사 결과에 따르면 모바일 게임 스토어 상위권에 위치한 게임은 최소 5가지 이상의 권한을 소비자에게 요구하는 것으로 나타났다.

게임 앱이 보편적으로 요구 기능은 바로 '인앱구매' 및 '사진/미디어/파일'에 대한 접근 권한으로 해당 권한은 부분 유료화 아이템의 결제 요청 기능 및 게임의 업데이트에 필요한 그래픽 및 리소스 파일의 설치 및 수정, 스크린샷 등을 저장할 수 있는 권한이다.

그 다음으로 가장 많았던 '기기 ID 및 통화정보' 권한은 구글+ 아이디를 연동시키기 위한 기능 외에도 푸시메시지 발송, 게임 진행 중 통화 시 게임 일시 정지 및 재개를 위해 필요한 기능인 것으로 확인됐다.

하지만 대중의 관심을 받는 상위권 게임과는 다르게 하위권 일부 게임에서는 소비자에게 10개 이상의 권한을 요구하기도 하는 등 필요 이상의 권한을 요구하고 있어 소비자들의 각별한 주의가 요구된다.

게임에 마이크 권한이 필요하다고 한 A게임의 경우 권한이 필요한 이유를 물어보자 “글로벌 서비스 당시에 포함되었던 음성 채팅 이용 기능을 국내 서비스에선 제거하지 못했는데 현지화를 준비하며 미쳐 권한 부분을 신경 쓰지 못했다. 다음 업데이트에서 관련 권한을 삭제하도록 하겠다”고 답변했다.

소비자 몰래 개발사가 원하는 정보를 가져갈 수 있을까? “법적 문제 있지만, 이론적으로는 가능”

개발자가 악의적인 마음만 먹으면 소비자의 정보 파악은 문제가 되지 않는다

모바일게임 개발사들이 소비자에게 정보 접근을 위한 권한을 요청하는 이유는 모바일게임 내에서 디바이스의 특정 기능을 사용하거나 사용자의 정보를 활용해 게임내에서 사용자 맞춤 서비스를 하기 위해서다.

하지만 이를 바라보는 보안업계의 시각은 다르다. 우선 요구하는 권한이 지나치게 많다는 것이다. 모바일게임 개발사의 보안 외주를 담당하는 한 프로그래머는 “실제로 게임사들이 권한을 축소해서도 충분히 무리 없이 서비스가 가능함에도 불구하고 편의와 기능상의 문제점 등을 이유로 점점 많은 권한을 요구하고 있다. 실제로 이미 게임 내에서 존재하지 않는 기능임에도 권한 설정을 수정하지 않는 경우가 많은데 동의를 하지 않을 경우 앱 다운로드 자체가 불가능해 소비자들이 울며겨자먹기 식으로 앱을 다운로드 받는 경우가 대다수다”고 밝혔다.

가장 민감한 부분인 사용자의 동의 없는 정보 수집은 가능할까? 보안업체 관계자는 “법률상의 문제가 있지만 사용자의 개인정보 수집 자체는 서비스 제공자가 마음만 먹으면 얼마든지 가능하다. 물론 접근 권한이 있다고 해서 사용자의 정보를 무조건 수집한다고 볼 수 없지만 권한 자체가 수집의 가능성을 가지고 있는 것이다”고 밝혔다.

현재 구글은 앱 개발사가 필요할 경우 필요한 부분에 해당하는 권한 설정을 개발사가 자유롭게 설정할 수 있도록 하고 있다. 만약 개인정보를 수집해야 할 경우 자동적으로 개인정보 수집 등의 동의 창이 뜨도록 규정하고 있으며 사용자가 이 내용에 동의를 해야 서비스를 이용할 수 있도록 규정하고 있다.

구글 관계자는 “구글 플레이 앱은 구글 플레이의 정책을 준수해야 하며 이를 위반하는 앱은 삭제된다. 또한 정보 유출과 같은 유해한 소프트웨어로부터 사용자를 보하기 위해 개발자 계정과 함께 새 앱 및 기존 앱을 분석하는 시스템을 도입해 운영하고 있다”고 설명했다.

정부 “스마트폰 앱, 과도한 개인정보 접근 막는다”

지난 8월 방송통신위원회는 스마트폰 앱 이용에 따른 이용자의 불안을 해소하기 위해 관계 사업자가 앱 서비스 단계별로 개인정보 처리 상황을 사전에 고지하여 투명하게 개인정보를 처리하도록 하는 내용을 담은 '스마트폰 앱 개인정보보호 가이드라인'을 공개했다.

해당 가이드라인은 스마트폰 앱을 이용할 때 단말기 정보에 접근할 수 있는 권한 설정, 앱 마켓 등록, 서비스 이용 및 탈퇴 전반에 걸쳐 이용자가 내용을 알기 쉽게 개선하는데 그 목적이 있다.

방통위에 따르면 우선 스마트폰의 앱 권한을 최소화해야 된다. 운영체제 제공자인 구글과 애플은 앱 개발자가 이용자의 단말기정보 등에 불필요하게 접근할 수 있는 권한설정을 최소화해야 되며 앱 서비스 제공자는 이용자가 개인정보 처리 현황을 정확히 알 수 있도록 개인정보 취급방침을 통해 '앱 권한이 설정된 모든 정보가 즉시 수집되어 전송되는 것이 아니며, 이용자에게 개인정보 수집·이용 동의를 받은 범위 내에서 단말기 정보 등에 접근한다는 것을 고지·승인받은 후에야 비로소 수집되어 전송된다는 사실'을 알려야 한다.

또한, 운영체제 사업자와 앱 서비스 제공자는 이용자가 이해하기 쉽도록 단말기정보 등에 접근이 필요한 시점에 이를 알려야 하며 앱 권한 허용 여부를 사용자가 추후에 변경할 수 있도록 메뉴와 절차를 안내해야만 한다. 만약 과도한 앱 권한을 이용해 이용자의 동의 없이 단말기에 저장된 개인정보를 수집하는 경우 정보통신망법 위반으로 관련 매출액의 3% 이하의 과징금, 5년 이하의 징역 또는 5천만 원 이하의 벌금형에 처해진다.

두 번째로는 앱 마켓에서 이용자가 앱을 내려 받기 전에 앱 권한 설정, 개인정보보호 정책 등을 쉽게 확인할 수 있도록 공간을 제공하도록 했다. 이로써 이용자는 앱을 내려받기 전에 앱에 대한 충분한 정보를 제공받을 수 있게되며 과도한 앱 권한 설정 및 개인정보 수집 등 문제가 있는 앱에 대하여 '앱 마켓에 신고하기' 메뉴를 마련하도록 해 앱 이용차원에서의 자율정화 기능을 강화했다.

끝으로 정보제공에 동의하지 않으면 서비스를 이용할 수 없게 하는 현행 서비스 정책도 바뀔 것으로 보인다. 정부는 앱 서비스 제공자가 개인정보 취급과 관련한 동의 절차를 간소화하여 편리하게 서비스 이용이 가능하도록 하고 서비스 탈퇴 절차 등을 쉽게 구성할 수 있도록 개선할 예정이다.

우선 스마트폰에서 확인이 번거로운 필수동의사항에 대해선 간략하게 동의 내용을 알리고 원클릭으로 동의할 수 있도록 개선된다. 다만 마케팅 활용, 제3자 제공 등의 선택사항의 경우는 별도로 동의를 받아야 되며 이를 동의하지 않는다는 이유로 서비스 제공자가 이용자에게 서비스 제공을 거부할 수 없도록 하였다.

또한, 앱 탈퇴메뉴를 이용자가 쉽게 찾을 수 있도록 배치하고 개인정보취급방침을 통해 연락 가능한 연락처를 명시하도록 규정했다. 이용자가 앱을 삭제하더라도 앱 서비스 제공자의 서버에 저장되어 있는 개인정보의 파기를 원하는 경우에 한해 별도의 파기 요청이 필요하다는 사실을 안내하도록 개선할 예정이다.

정부는 올 하반기부터 이행여부에 대한 점검에 나선다는 계획이다. 하지만 실효성에 대해선 부정적인 관측이 나오고 있다. 우선 구글과 애플이 국내법의 적용을 받지 않는다는 것이 가장 큰 문제이며 가이드라인 자체가 법적인 효력이 없는 행정 권고사항이기 때문에 자칫 국내 앱 서비스 제공자에게 과도한 의무를 지울수도 있기 때문이다.

최성준 방송통신위원회 위원장은 “그간 스마트폰 앱 이용자와 사업자들이 개인정보의 앱 접근권한의 설정과 개인정보의 수집에 대한 기준이 없어서 국민들이 불안해했으나, 이번 가이드라인을 통해 그러한 불안감이 해소될 수 있기를 기대한다“며, ”앞으로도 국민이 스마트폰 앱을 안전하고 편리하게 이용할 수 있도록 제도개선과 실태조사를 병행하는 등 모든 노력을 강구해 나가겠다“고 밝혔다.

구글 “올바르게 앱 권한을 처리하는 것, 구글의 최우선 과제”

구글이 최근 공개한 안드로이드 6.0 '마시멜로우'

구글은 최근 '구글 I/O'를 통해 '안드로이드 M(마시멜로)'을 공개했다. 5.0 롤리팝에 이어 새로운 안드로이드의 6.0버전으로 확정된 안드로이드 M에서는 서비스 제공자가 요구하는 앱 권한을 이용자가 스스로 허용 및 차단을 할 수 있는 것이 가장 큰 특징이다.

이를 통해 사용자는 앱을 처음으로 내려받을 때 개인정보에 대한 권한을 일괄적으로 동의하지 않아도 되며 개인정보와 관련된 위치정보, 카메라, 연락처, 센터, 마이크, 달력, 연락처, 전화 등 8가지로 각각의 기능을 개별로 통제할 수 있게 되었다.

개발사의 경우 안드로이드 M을 사용하기 위해서는 상황에 맞게 권한 요청 메시지를 표시하고 부여되지 않은 권한은 사용하지 않도록 앱을 설계해야 된다. 이를 지키기 않을 경우 앱을 정상적으로 서비스할 수 없게 되며 향후 구글은 M버전을 사용할 모든 사용자들을 위해 올바르게 앱 권한을 처리하는 것을 핵심 개발 과제로 지정해 관리한다는 계획이다.

현재 대다수의 게임 개발사들은 새롭게 공개될 안으로이드M에 대한 대책을 내놓기 위해 고민을 강구 중이다. 소비자가 앱 권한을 별도로 설정할 수 있게 되면서 소비자가 일부 기능에 대한 접근 권한에 동의하지 않을 경우 게임 이용에 차질이 있을 수도 있기 때문이다.

게임업계 관계자는 “대부분의 게임사들이 모바일게임 서비스에 필요한 최소한의 권한 접근을 위한 동의만을 받고 있으며 불필요한 정보 접근을 막고자 내부에서 별도의 검수 프로세스를 운영하고 있다. 구글 역시 자체적인 검수를 통해 앱 마켓에 등록된 앱의 정보 수집과 관련해 엄격하게 관리를 하고 있는 것으로 알고 있다”며, “정부와 구글의 개인정보 보호 취지에는 동감하지만 권한 접근에 대한 부담감으로 소비자들이 무조건 접근을 제한할 경우 원활한 게임 이용이 불가능해질 수도 있다. 최악의 경우 지금까지 등록된 모든 게임 앱들이 6.0 버전을 별도로 개발하는 상황이 올 수도 있다. 출시가 되지 않은 만큼 내부에서도 빠르게 검토 중이지만 게임 개발에 있어 또 한 번의 지각변동이 올 수 있을 것으로 예상된다”고 밝혔다.