스마트폰 앱 2만여 개 분석한 결과, 오디오 파일 전송되는 사례 없어
그런데 일부 앱에서 동영상 녹화해 전송해...표적 광고 위한 행위
[보안뉴스 문가용 기자] 스마트폰에 관한 음모론이 여전히 사람들 마음 깊은 곳에 자리하고 있다. 전화기가 사용자들의 대화를 엿듣고, 이를 어디론가 전송한다는 것이다. 그리고 이 데이터는 표적 광고에 요긴하게 사용된다는 믿음을 가진 사람들이 꽤나 많다. 한 작가는 일부러 전화기가 있는 공간에서 혼잣말을 했는데, 그것이 며칠 안에 표적 광고 형식으로 뜨더라고 글을 올리기도 했다. “셔츠를 사야겠어”라고 했더니 정말로 셔츠 광고가 나오더라는 것.
[이미지 = iclickart]
그래서 노스이스턴대학의 전문가들이 이러한 소문이 사실인가 알아보기 위해 실험했다. 엘린 팬(Elleen Pan), 징징 렌(Jingjing Ren), 마티나 린도퍼(Martina Lindorfer), 크리스토 윌슨(Christo Wilson), 데이비드 초프네스(David Choffnes)였다. 이들은 안드로이드에서 가장 인기가 높은 앱 1만 7천 개를 조사했다. 이들이 스마트폰의 마이크로폰을 이용해 사용자의 목소리를 녹음해 전송하는지 알아보기 위함이었다. 이 앱들 중에는 페이스북 앱과 여러 정보를 페이스북에 전송하는 앱 8천여 개도 들어 있었다.
결과부터 말하자면 앱이 음성을 전송한다는 음모론은 허상일뿐이었다. 연구원들은 앱들이 마이크로폰을 이용해 사용자 몰래 녹음을 하고, 그걸 또 어디론가 전송한다는 증거를 어떤 앱에서도 찾아낼 수 없었다. 물론 연구원들은 “특정 앱들을 조사한 것만으로 ‘스마트폰이 사용자 목소리를 전송하지 않는다’고 확정지을 수는 없다”며 “다만 우리가 조사한 앱들 중 스마트폰에 대한 괴담을 뒷받침 할 만한 증거를 찾을 수 없었을 뿐이다”라고 말한다.
“17,260개 앱을 조사했는데, 9000개가 넘는 앱에서 ‘카메라와 마이크로폰에 대한 접근 권한’을 요구했습니다. 그러므로 사용자의 행동 패턴을 모니터링 할 수 있는 잠재력이 없다고 할 수는 없습니다.” 연구원들은 약 10가지 안드로이드 기기들을 실험에 사용했고, 앱들을 설치해 거기서부터 나오는 트래픽을 분석했다. 특별히 오디오나 비디오 등의 미디어 파일들을 찾아내는 데 집중했다고 한다.
그 결과 음성 파일이 사용자 모르는 상황에서 전송되는 사례는 찾을 수가 없었다. 그런데 이상한 점이 하나 있었다. 음성은 전달되지 않는데 스크린샷과 영상 기록이 어디론가 보내지고 있었던 것이었다. “고퍼프(GoPuff)라는 앱을 분석했습니다. 배달을 전문으로 하는 스타트업 기업의 앱이죠. 그런데 사용자가 고퍼프를 가지고 하는 행동들이 기록이 되고, 앱시(Appsee)와 관련이 있는 도메인으로 전송되고 있었습니다. 앱시는 모바일 데이터 분석 기업입니다. 전송되는 동영상에는 사용자가 개인정보를 입력하는 화면도 있었습니다.”
연구원들은 앱시를 조사했다. 앱시는 자신들이 사용자의 행동을 기록하고 수집한다는 사실을 숨기지 않았고, 오히려 웹사이트를 통해 이러한 점을 자랑하고 있었다. 물론 어떤 앱을 통해 그러한 수집 활동이 벌어지고 있는지는 밝히지 않고 있었다. 고버프도 사용자 약관에 ‘당신의 행동이 기록되고 전송된다’는 말을 삽입하지 않고 있었다. 고버프에 이러한 점에 대해 문의하자 “앱시가 개인식별정보를 받을 수도 있다”고 겨우 한 줄 추가했을 뿐이었다.
앱시 측은 고퍼프가 멋대로 한 일이라고 주장했다. 앱시의 CEO 자히 부시바(Zahi Boussiba)는 아스테크니카와의 인터뷰를 통해 “앱시의 기술을 고객이 남용한 사례”라고 하며 “이용약관을 고퍼프가 어겼다”고 말했다. “저희는 즉시 해당 앱에서 추적 기능을 비활성화시켰고, 이를 통해 입수된 데이터를 서버에서 전부 삭제했습니다.”
이러한 사례에서 알 수 있는 건 제3자가 누군가의 핸드폰을 통해 소리 소문 없이 핸드폰 사용자의 행동을 기록하고, 그 데이터를 축적할 수 있다는 것이다. 심지어 사용자에게 이러한 행위가 벌어질 때마다 고지하도록 구글 플레이 스토어는 정하고 있는데도 말이다. “공격자가 마음만 먹으면 각종 프라이버시 정책을 얼마든지 어기고 숨어 있을 수 있습니다. 누군가가 이렇게 먼저 발견하기 전까지 말입니다.”
그러니 스마트폰 제조사가 하드웨어 자체에 스크린 샷 캡처 혹은 동영상 녹화가 진행될 때마다 사용자에게 분명하게 알려주는 기능을 추가하든지, 사용자가 스크린 샷 캡처 기능이나 영상 녹화 기능을 사용 불능으로 해제시킬 수 있거나, 모든 앱 개발자와 마케팅 데이터 분석 기업들이 정직해질 때까지 ‘전화기가 날 지켜보고 있어!’라는 음모론은 유효하다는 것이다. 심지어 연구원들은 “전화기가 사용자를 엿듣는다는 의혹을 완전히 해소시킬 만큼 우리 연구가 포괄적이고 광범위하지 않았다”고 말하기도 한다.
그래서 연구원들은 “일반 대중들 사이에 만연한 음모론과 공포를 해결하기 위해서 연구를 시작했는데, 실패했다”고 말한다. 오히려 “일반인들이 그런 불편함을 느끼는 데에 이유가 있다는 걸 알게 됐다”고 말한다. 그러나 어제 잠깐 사고 싶다고 생각했던 물건이 바로 다음 날 페이스북에 광고로 뜨게 된다고 해서 소름끼치게 무서워할 필요는 없다고 말한다.
“먼저는 우연일 수도 있습니다. 우연이 아니더라도 스마트폰이 당신을 엿듣기 때문이라기보다, 우리 모두가 자신도 모르게 많은 흔적들을 사이버 공간과 현실 세계에 남기고, 이를 수집, 분석하는 마케팅 회사의 기술이 상상보다 훨씬 정교하고 발전됐기 때문입니다. 그리고 사실 우리는 생각보다 그렇게까지 독특하고 고유한 존재가 아닙니다. 사람들의 성향과 특성이라는 건 어느 정도 겹치기 마련이죠. 이런 모든 것들이 겹쳐 정확해 보이는 광고가 어느 날 우리 눈에 보이는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
그런데 일부 앱에서 동영상 녹화해 전송해...표적 광고 위한 행위
[보안뉴스 문가용 기자] 스마트폰에 관한 음모론이 여전히 사람들 마음 깊은 곳에 자리하고 있다. 전화기가 사용자들의 대화를 엿듣고, 이를 어디론가 전송한다는 것이다. 그리고 이 데이터는 표적 광고에 요긴하게 사용된다는 믿음을 가진 사람들이 꽤나 많다. 한 작가는 일부러 전화기가 있는 공간에서 혼잣말을 했는데, 그것이 며칠 안에 표적 광고 형식으로 뜨더라고 글을 올리기도 했다. “셔츠를 사야겠어”라고 했더니 정말로 셔츠 광고가 나오더라는 것.
[이미지 = iclickart]
그래서 노스이스턴대학의 전문가들이 이러한 소문이 사실인가 알아보기 위해 실험했다. 엘린 팬(Elleen Pan), 징징 렌(Jingjing Ren), 마티나 린도퍼(Martina Lindorfer), 크리스토 윌슨(Christo Wilson), 데이비드 초프네스(David Choffnes)였다. 이들은 안드로이드에서 가장 인기가 높은 앱 1만 7천 개를 조사했다. 이들이 스마트폰의 마이크로폰을 이용해 사용자의 목소리를 녹음해 전송하는지 알아보기 위함이었다. 이 앱들 중에는 페이스북 앱과 여러 정보를 페이스북에 전송하는 앱 8천여 개도 들어 있었다.
결과부터 말하자면 앱이 음성을 전송한다는 음모론은 허상일뿐이었다. 연구원들은 앱들이 마이크로폰을 이용해 사용자 몰래 녹음을 하고, 그걸 또 어디론가 전송한다는 증거를 어떤 앱에서도 찾아낼 수 없었다. 물론 연구원들은 “특정 앱들을 조사한 것만으로 ‘스마트폰이 사용자 목소리를 전송하지 않는다’고 확정지을 수는 없다”며 “다만 우리가 조사한 앱들 중 스마트폰에 대한 괴담을 뒷받침 할 만한 증거를 찾을 수 없었을 뿐이다”라고 말한다.
“17,260개 앱을 조사했는데, 9000개가 넘는 앱에서 ‘카메라와 마이크로폰에 대한 접근 권한’을 요구했습니다. 그러므로 사용자의 행동 패턴을 모니터링 할 수 있는 잠재력이 없다고 할 수는 없습니다.” 연구원들은 약 10가지 안드로이드 기기들을 실험에 사용했고, 앱들을 설치해 거기서부터 나오는 트래픽을 분석했다. 특별히 오디오나 비디오 등의 미디어 파일들을 찾아내는 데 집중했다고 한다.
그 결과 음성 파일이 사용자 모르는 상황에서 전송되는 사례는 찾을 수가 없었다. 그런데 이상한 점이 하나 있었다. 음성은 전달되지 않는데 스크린샷과 영상 기록이 어디론가 보내지고 있었던 것이었다. “고퍼프(GoPuff)라는 앱을 분석했습니다. 배달을 전문으로 하는 스타트업 기업의 앱이죠. 그런데 사용자가 고퍼프를 가지고 하는 행동들이 기록이 되고, 앱시(Appsee)와 관련이 있는 도메인으로 전송되고 있었습니다. 앱시는 모바일 데이터 분석 기업입니다. 전송되는 동영상에는 사용자가 개인정보를 입력하는 화면도 있었습니다.”
연구원들은 앱시를 조사했다. 앱시는 자신들이 사용자의 행동을 기록하고 수집한다는 사실을 숨기지 않았고, 오히려 웹사이트를 통해 이러한 점을 자랑하고 있었다. 물론 어떤 앱을 통해 그러한 수집 활동이 벌어지고 있는지는 밝히지 않고 있었다. 고버프도 사용자 약관에 ‘당신의 행동이 기록되고 전송된다’는 말을 삽입하지 않고 있었다. 고버프에 이러한 점에 대해 문의하자 “앱시가 개인식별정보를 받을 수도 있다”고 겨우 한 줄 추가했을 뿐이었다.
앱시 측은 고퍼프가 멋대로 한 일이라고 주장했다. 앱시의 CEO 자히 부시바(Zahi Boussiba)는 아스테크니카와의 인터뷰를 통해 “앱시의 기술을 고객이 남용한 사례”라고 하며 “이용약관을 고퍼프가 어겼다”고 말했다. “저희는 즉시 해당 앱에서 추적 기능을 비활성화시켰고, 이를 통해 입수된 데이터를 서버에서 전부 삭제했습니다.”
이러한 사례에서 알 수 있는 건 제3자가 누군가의 핸드폰을 통해 소리 소문 없이 핸드폰 사용자의 행동을 기록하고, 그 데이터를 축적할 수 있다는 것이다. 심지어 사용자에게 이러한 행위가 벌어질 때마다 고지하도록 구글 플레이 스토어는 정하고 있는데도 말이다. “공격자가 마음만 먹으면 각종 프라이버시 정책을 얼마든지 어기고 숨어 있을 수 있습니다. 누군가가 이렇게 먼저 발견하기 전까지 말입니다.”
그러니 스마트폰 제조사가 하드웨어 자체에 스크린 샷 캡처 혹은 동영상 녹화가 진행될 때마다 사용자에게 분명하게 알려주는 기능을 추가하든지, 사용자가 스크린 샷 캡처 기능이나 영상 녹화 기능을 사용 불능으로 해제시킬 수 있거나, 모든 앱 개발자와 마케팅 데이터 분석 기업들이 정직해질 때까지 ‘전화기가 날 지켜보고 있어!’라는 음모론은 유효하다는 것이다. 심지어 연구원들은 “전화기가 사용자를 엿듣는다는 의혹을 완전히 해소시킬 만큼 우리 연구가 포괄적이고 광범위하지 않았다”고 말하기도 한다.
그래서 연구원들은 “일반 대중들 사이에 만연한 음모론과 공포를 해결하기 위해서 연구를 시작했는데, 실패했다”고 말한다. 오히려 “일반인들이 그런 불편함을 느끼는 데에 이유가 있다는 걸 알게 됐다”고 말한다. 그러나 어제 잠깐 사고 싶다고 생각했던 물건이 바로 다음 날 페이스북에 광고로 뜨게 된다고 해서 소름끼치게 무서워할 필요는 없다고 말한다.
“먼저는 우연일 수도 있습니다. 우연이 아니더라도 스마트폰이 당신을 엿듣기 때문이라기보다, 우리 모두가 자신도 모르게 많은 흔적들을 사이버 공간과 현실 세계에 남기고, 이를 수집, 분석하는 마케팅 회사의 기술이 상상보다 훨씬 정교하고 발전됐기 때문입니다. 그리고 사실 우리는 생각보다 그렇게까지 독특하고 고유한 존재가 아닙니다. 사람들의 성향과 특성이라는 건 어느 정도 겹치기 마련이죠. 이런 모든 것들이 겹쳐 정확해 보이는 광고가 어느 날 우리 눈에 보이는 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
