미국 온라인 IT 매체 기즈모도가 안드로이드 사용자의 디지털 프라이버시를 경고했다. 매체는 더블린 트리니티대학 연구팀이 발표한 최신 연구 논문을 인용, 안드로이드 운영체제를 지원하는 모바일 기기 대부분이 사용자 데이터를 안드로이드 개발자와 일부 지정된 서드파티에 공유한다는 사실을 보도했다.
연구팀은 안드로이드 기기 보안 조사 과정에서 삼성과 샤오미, 화웨이 등이 개발한 기기를 이용했으며, 사용자가 기기를 구매하는 즉시 사용자 데이터 공유가 이루어진다는 사실을 발견했다.
모든 데이터 공유 행위는 사용자가 동의하지 않은 상태에서, 그리고 사용자가 인지하지 못한 상태에서 이루어진다.
연구팀은 안드로이드 기기의 데이터 프라이버시 침해 수준이 심각한 이유는 '시스템 앱' 탓이라고 지적했다. 카메라 앱과 메시지 앱 등 하드웨어 제조사가 특정 기기에 사전 설치하는 앱인 시스템 앱은 이른바 '읽기 전용 기억장치(ROM)'로 설계된다. 다시 말해, 시스템 앱은 삭제나 앱 변경이 불가능하므로 기기에 영구적으로 존재한다.
연구팀은 시스템 앱이 실행되지 않을 때도 24시간 내내 기기 사용자 정보를 끊임없이 제조사와 일부 서드파티에 전송한다는 문제를 확인했다.
연구팀은 시스템 앱의 데이터 공유 예시로 삼성 패스(Samsung Pass)의 사용자 앱 사용 시간과 앱 접속 시간 등 상세 시간 정보를 제공한다는 사실을 제시했다. 삼성 패스의 사용자 앱 사용 관련 상세 정보는 구글 애널리틱스(Google Analytics)를 기반으로 상세히 집계된다. 삼성 게임 런처(Game Launcher)와 음성비서 빅스비도 똑같이 구글 애널리틱스를 이용해 사용자 정보를 상세히 수집하여 삼성과 일부 서드파티에 공유하는 것으로 드러났다.
또, 연구팀은 삼성 뿐만 아니라 샤오미도 구글 애널리틱스를 이용해 사용자의 앱 사용 활동 관련 상세 시간 정보를 기록하고 이를 샤오미와 소수 서드파티에 수시로 공유한다고 밝혔다. 화웨이도 예외는 아니다.
마이크로소프트의 스위프트키(SwiftKey)가 사전 설치된 기기의 경우, 스위프트키와 다른 여러 앱 실행 도중 키보드 사용 상세 기록도 마이크로소프트를 비롯한 일부 서드파티에 항상 전달되는 것으로 관측됐다.
한편, 안드로이드 기기가 수집하고 개발사와 서드파티에 전달하는 각각의 데이터 만으로 사용자 휴대폰 고유 정보를 식별할 수 없는 것으로 확인됐다. 그러나 안드로이드 기기에서 수집된 모든 사용자 정보를 종합하여 기기를 추적하는 데 사용되는 고유 '지문'이 생성된다. 고유 지문 생성 행위는 사용자가 데이터 공유를 비활성화해도 막을 수 없다.
이와 관련, 연구팀은 기기를 추적하는 고유 지문인 안드로이드의 광고 ID는 엄밀히 말하자면 초기화가 가능하다고 언급했다. 그러나 안드로이드 광고 ID 생성 기반이 되는 시스템 앱을 기기에서 전혀 삭제할 수 없어 결과적으로 어떤 형태로든 사용자 정보를 식별할 수 있다고 설명했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
