동의 없이 방대한 양의 개인 데이터를 수집하는 스마트폰
새 스마트폰을 처음 켜면 기본적으로 설치된 앱으로 이미 가득 차 있습니다. 이렇게 사전 설치된 앱은 화면을 어지럽히고 저장 공간을 차지하며, 그 중 대다수는 전혀 필요하지 않습니다.
일부 스마트폰에서 이러한 앱을 제거할 수는 있지만 제거하기란 쉽지 않습니다. 심지어 다른 스마트폰에서는 해당 앱이 백그라운드에서 실행되지 않도록 비활성화할 수만 있습니다. 게다가 내장 시계, 전화 또는 다이얼러 앱과 같은 시스템 앱을 제거하는 것은 새 휴대폰이 제대로 작동하지 않게 만들 위험이 있습니다.
제조업체가 휴대폰에 설치할 애플리케이션을 결정하는 것이 신나는 일은 아니지만 그렇다고 재앙도 아니며, 심지어 어떤 면에서는 편리하다고 주장할 수도 있습니다. 고작 메신저 앱이 무슨 해를 끼칠 수 있을까요? 하지만 문제는 기본적으로 내장된 앱이 사용자의 의지와 상관없이 스마트폰에 설치되어 있을 뿐만 아니라 사용자의 개인정보를 수집하여 제조업체 또는 제조업체가 적합하다고 판단하는 사람들과 공유한다는 점입니다.
개인정보가 새어나가는 휴대폰
에든버러 대학교와 트리니티 칼리지 더블린의 연구진은 중국에서 가장 인기 있는 세 가지 안드로이드 휴대폰에 사전 설치된 앱이 사용자의 동의 또는 최소한의 알림도 없이 GPS 좌표, 전화번호, 앱 사용, 통화 내역과 같은 민감한 데이터를 유출하고 있다는 사실을 발견했습니다.
연구진은 'Android OS 개인정보 보호 - 동쪽에서 온 이야기'라는 논문에서 샤오미 레드미 노트 11, OPPO 리얼미 Q3 프로, 원플러스 9R과 같은 중국 스마트폰을 연구했습니다. 연구진은 휴대폰과의 상호작용에서 분석 및 개인화를 거부하고 클라우드 스토리지나 기타 선택적 타사 서비스를 사용하지 않으며 OS 개발자가 관리하는 플랫폼에 계정을 만들지 않은 ‘개인정보를 보호하고 싶지만 깊게 신경쓰기에는 바쁜 사용자’인 것처럼 행동했습니다.
모든 사용자가 개인정보를 보호하기 위해 이러한 노력을 기울이는 것은 아니지만, 이러한 예방 조치조차도 효과가 없을 수 있습니다. 연구진은 스마트폰이 여전히 기기 제조업체뿐만 아니라 차이나 모바일(China Mobile)과 차이나 유니콤(China Unicom)을 포함한 모바일 제공업체에도 우려할 만한 양의 개인 식별 정보(PII)를 전송하고 있다고 말했습니다. 놀라운 점은 휴대폰에 SIM 카드가 없거나 영국 등 다른 국가의 SIM 카드를 사용하는 경우에도 여전히 데이터가 유출되었다는 점입니다. 게다가 어떤 경우에는 데이터가 중국의 거대 검색 업체인 Baidu에 전달되기도 했습니다.
동일한 스마트폰이지만 중국 외 국가로 배송되도록 설계된 스마트폰은 기본적으로 개인 데이터를 훨씬 적게 수집하는 것으로 나타났습니다.
표는 중국 및 글로벌 펌웨어를 사용하는 테스트 대상 스마트폰에서 업로드한 개인 데이터(PII) 유형을 보여줍니다.
출처: ‘Android OS Privacy Under the Loupe — A Tale from the East’.
선택권이 없는 선택
연구진은 사전 설치된 애플리케이션이 전송한 데이터만을 조사했습니다. 데이터는 Android 소스 코드, 제조업체 코드 및 타사 코드로 구성되었습니다. 테스트 대상 스마트폰에는 평균 30개 이상의 타사 패키지가 사전 설치되어 있었습니다. 앱은 여러 패키지를 사용하여 실행할 수 있습니다.
사전 설치된 앱에는 내비게이션, 뉴스, 스트리밍, 쇼핑, 입력 앱이 포함되어 있었습니다. 일부 앱에는 기본적으로 위험한 권한이 부여되어 사용자가 거부할 수 있는 방법 없이 민감한 정보를 전송했습니다. 앱을 이용하기 위해 위치 등 특정 데이터에 접근해야 한다는 알림을 받은 사용자는 해당 기능을 전혀 사용하지 않거나 데이터 수집 및 공유에 동의해야 하는 다소 의심스러운 선택을 해야 하는 경우도 있었습니다. 연구진은 이것을 ‘하려면 하고 말려면 말아라’와 같은 방식이라고 설명했습니다.
다이어그램은 중국 펌웨어가 설치된 스마트폰에서 수집되는 개인 식별 정보(PII)의 유형과 전송되는 위치를 보여줍니다.
사용자가 시스템 앱에 개인 데이터에 대한 무제한 액세스를 허용하는 데 동의한 경우, 의도치 않게 자신에 대한 정보가 더 많이 노출될 수 있습니다. 예를 들어, 연구진은 원플러스와 리얼미에 번들로 제공되는 전화 및 메시징 앱이 사용자의 전화번호뿐만 아니라 통화 시간, 전화를 받기까지 벨이 울린 시간, 마지막 연락 시간, 사용자가 통화 또는 문자 메시지를 주고받은 사람의 번호까지 제조업체의 서버로 전송하는 것을 발견했습니다. 알리바바의 내비게이션 앱인 리얼미와 원플러스의 AMap은 기기가 유휴 상태일 때 정기적으로 GPS 좌표를 전송하는 것으로 밝혀졌습니다.
이 정보의 보고는 사용자의 신원과 직접적으로 연결되어 있으며, 개인 생활에 대한 많은 것을 담고 있습니다. 연구진은 통화 데이터에 대한 광범위한 접근을 통해 공급업체가 직접 연결되지 않은 사용자 간의 사회적 관계를 추론할 수 있다고 지적합니다. 다시 말해당신이 전혀 알아채지 못한 경우에도 공급업체는 당신의 파트너가 높은 확률로 바람을 피우고 있다고 추측해낼 수 있습니다.
긴 트레일
놀랍지 않게도, 중국 펌웨어가 설치된 스마트폰은 현지 개인정보 보호법, 특히 EU 데이터 보호법을 위반할 가능성이 있음에도 불구하고 이용자가 출국한 후에도 계속해서 이용자를 감시합니다. 연구진은 이는 휴대폰 공급업체와 일부 제3자가 여전히 출장자와 해외 유학 중인 학생을 추적할 수 있으며, 이들이 방문 시 접촉한 외국인도 추적할 수 있다는 것을 의미한다고 경고합니다. 물론 중국인이 아닌 사람이 현지 유통용으로 제조된 스마트폰을 구입하는 경우에도 마찬가지입니다.
국한되지 않은 문제
그러나 중국에서 휴대폰을 구입하지 않았거나 중국 펌웨어가 설치된 휴대폰을 구입하지 않았더라도 여전히 마음을 놓을 수는 없습니다. 중국에서 널리 사용되는 Android 휴대폰의 데이터 수집 범위는 우려할 만한 수준이지만, 이러한 관행이 중국에만 국한된 문제가 아니며 안드로이드 OS나 특정 브랜드에만 국한된 것도 아니기 때문입니다. 이전 연구에 따르면 사용자가 데이터 수집을 거부하거나 로그인하지 않은 경우에도 iOS 및 Android 휴대폰 모두 데이터를 수집하고 공급업체에 전송하는 것으로 나타났습니다.
이 연구의 공동 저자인 Douglas J. Leith는 2021년에 구글의 픽셀 폰과 애플의 아이폰이 각각 구글과 애플과 공유하는 데이터의 양을 연구했습니다. 그는 두 휴대폰이 최소한의 설정으로도 평균 4.5분마다 회사의 백엔드 서버에 연결된다는 사실을 발견했습니다. 시작 후 처음 10분 동안 Google 휴대폰은 모선에 1MB의 데이터를 전송한 반면, iPhone은 쿠퍼티노로 42KB의 데이터를 전송했습니다. iOS와 Android 모두 사용자의 개인 데이터를 제조업체에 전송하는 것으로 밝혀졌지만, Android가 훨씬 방대한 양의 데이터를 전송하는 것으로 나타났습니다. 조사에 따르면 구글은 애플보다 약 20배 더 많은 데이터를 수집했습니다.
아이폰과 구글 픽셀의 경우 또한 사전 설치된 앱을 열거나 사용하지 않았음에도 불구하고 회사 서버에 연결되었습니다. iPhone에서는 Siri 음성 어시스턴트, Safari 브라우저, iCloud가 포함되었으며, Google에서는 YouTube 앱, Chrome, Google 문서도구, 세이프티허브, Google 메시징, 시계, Google 검색창이 포함되었습니다.
iOS 개인정보 보호에 대한 잘못된 상식
Apple은 항상 개인정보 보호를 중시하는 회사로 자리매김해 왔습니다. 위에서 언급한 연구가 이러한 인상을 강화할 수 있지만, 상황은 훨씬 더 미묘합니다. Android 기반 휴대폰을 사용하는 경우, 이론상으로는 Google Play 스토어 및 YouTube와 같은 Google 서비스 및 앱을 비활성화하고 데이터가 공유되지 않도록 설정할 수 있습니다. Android에서는 Google Play 스토어가 아닌 다른 출처에서 앱을 설치할 수 있기 때문입니다.
Apple의 경우, 현실적으로 App Store 및 기타 기본 Apple 앱을 사용하지 않고 iPhone을 사용할 수 있는 방법은 없습니다. Apple이 EU에서 다음 OS 버전에서 다른 출처의 앱을 다운로드할 수 있도록 허용할 수 있다는 이야기가 있지만, 지금까지는 소문일 뿐입니다.
그리고 소프트웨어 회사인 Mysk의 연구진이 작년에 발견한 것처럼, Apple은 현 상황을 활용할 수 있는 기회를 놓치지 않고 있습니다. Mysk는 사용자가 iPhone 애널리틱스를 포함한 모든 개인화 옵션을 꺼도 Apple이 iPhone의 기본 앱에서 상세한 실시간 사용 데이터를 계속 수집한다는 사실을 발견했습니다. 앱이 Apple에 전송한 정보에는 사용자의 이름, 이메일 및 전화번호와 연결된 영구 ID 번호가 포함되어 있었습니다. 이는 수집된 어떤 정보도 사용자를 개인적으로 식별할 수 없다고 주장하는 Apple의 자체 개인정보 보호정책과 상충되는 것으로 보입니다.
데이터 수집을 최소화하기 위한 방법
운영 체제 감시의 비결은 사용자가 이를 인지하지 못할 수도 있다는 점입니다. 또한 제조업체는 실질적인 대안을 제시하지 않고 이를 받아들이도록 강요하는 경우가 많습니다. 이를 완전히 피하는 것은 불가능하지만 온라인 기록을 최소화할 수 있는 방법이 있습니다.
긴 도메인 목록이 포함된 필터로 무장한 시스템 전체 광고 차단기는 브라우저와 타사 앱에서 광고와 추적을 차단할 수 있습니다. 안타깝게도 시스템 전반의 광고 차단 프로그램도 모든 추적을 차단할 수는 없으며, 특히 기기 제조업체(예: Apple 및 Google)가 기본 앱에서 정보를 수집하는 경우 더욱 그러합니다. 하지만 광고 차단기를 사용하면 대부분의 타사 추적기로부터 사용자를 보호하여 전반적으로 더 안전하고 깨끗한 브라우징 환경을 만들 수 있습니다.
다양한 운영 체제를 위한 시스템 전체 광고 차단기가 많이 있습니다. 그 중 하나는 Android와 iOS에서 모두 사용할 수 있는 AdGuard입니다.