녹색소비자연대, 정부 앱 91개 조사 "개인정보 유출 우려"

[아시아경제 박소연 기자]녹색소비자연대 전국협의회 ICT소비자정책연구원은 19일 "갤럭시노트7에 선탑재된 ‘정부3.0 서비스알리미앱’에서 연결되는 194개 정부서비스 중 어플리케이션 형태로 제공되는 91개 앱을 조사·분석한 결과, 평균 10개에 달하는 접근 권한을 요구하고 있는 등 개인정보 유출 위험이 높은 것으로 나타났다"고 밝혔다.

스마트폰 앱의 ‘접근 권한’이란 앱이 설치·구동하는데 있어서 필요한 기능 사용의 범위를 말한다.

통화기록·연락처 정보, 카메라·오디오 기능, 사진·동영상 정보, 위치 정보 등 모든 기능과 정보에 앱이 접근하고 사용할 수 있게끔 할 수 있다. 특정 앱이 포괄적 권한을 요구하는 경우 사생활 침해는 물론 범죄에 악용할 수도 있는 위험성을 내포하고 있다.

그러나 소비자들이 앱을 설치할 때 앱의 접근권한 목록까지 꼼꼼하게 살펴보기 어렵다는 지적이다. 설사 불필요한 접근권한의 존재를 확인하더라도 이를 제외하고 앱을 다운받거나 사용할 수 없기 때문에, 이를 악용해 많은 앱들이 불필요한 권한을 요구하고 있는 실정이다.

◆행정자치부 ‘정부3.0 서비스알리미’앱, 접근권한 문제에서 자유롭지 않아

행정자치부는 지난17일 보도자료를 통해 ‘정부3.0 서비스알리미’ 앱은 이미 출시되어있는 기존 194개의 정부서비스로 연결시켜주는 연결통로 역할을 하게 될 것이라고 설명했다. 또한 "앱은 스마트폰에 대한 별도의 접근권한을 요구하지 않도록 하여 개인정보 유출 우려를 불식하고 개인정보 문제가 발생하지 않도록 철저히 관리해 나갈 것"이라 밝혔다.

그러나 정부3.0앱 자체가 권한을 요구하지 않는다고 이를 아무 문제없다고 홍보하는 것은 눈가리고 아웅하는 행태라고 녹소연은 지적했다. 정부3.0앱을 통해서 연결돼 다운받게 될 다른 정부 앱에는 과도한 접근권한을 부여하고 있는 경우가 많기 때문이다.

특히 정부3.0앱과 함께 선탑재된 안전신문고앱의 경우 위치정보는 물론, 카메라, 사진, 전화번호와 문자까지 불필요하고 과도한 권한을 동의하도록 강요돼 있다.

녹색소비자연대 ICT소비자정책연구원은 선탑재된 정부3.0앱을 통해 연결되는 91개 전체를 확인한 결과 안전신문고 앱 이외에도 상당수의 정부 앱이 불필요하게 많은 권한을 요구하고 있는 것으로 나타났다.

◆ 과도한 정부 앱의 스마트폰 접근 권한 요구 실태 현황

정부3.0 서비스알리미 앱이 연결하는 194개의 정부서비스 중, 앱스토어에서 앱을 다운받을수 있도록 제공하고 있는 서비스는 총 91개이며(안드로이드 플레이스토어 기준), 평균 10개 이상의 권한을 요구하고 있었다.

이 중 가장 많은 권한을 요구한 앱은 경찰청의 스마트 국민제보 앱으로 27개의 권한을 요구했다. 다음으로 국립자연휴양림정보 앱이 26개, 국립공원 산행정보 앱이 25개의 많은 접근권한을 요구하고 있었다.

반면 전체 앱 중 스마트폰 권한 요구를 별도로 하지 않는 앱은 '경찰청 폴-안티스파이'앱, 축산물품질평가원의 '축산유통종합정보센터'앱 단 2개에 불과했다. 5개 미만의 권한을 요구하는 앱 또한 91개중 13개로 전체의 약 14.3%에 그쳤다.

특히 단순 정보제공을 위한 앱임에도 불구하고 불필요하게 과도한 권한을 요구하는 경우가 많았다. 국립자연휴양림정보나 산행정보 앱을 비롯, 공항가이드앱, 교통정보앱, 건강정보앱 등이 15개 이상의 권한을 요구하며 휴대전화 상태 및 ID, 위치정보, 카메라, 연락처, SMS메시지 중 일부에 해당하는 포괄적 권한을 두루 요구하고 있었으며, 이중 상당수는 앱 구동에 필수적이지 않은 것들이었다.

‘유치원알리미’앱과 ‘학교 알리미’앱은 기능이 대동소이 했으나, 전자는 4개의 권한만을 요구하는 반면 후자는 14개의 주요 권한을 요구하고 있는 등, 같은 기능을 제공하면서 접근 권한은 천차만별인 경우도 다수였다.

이는 정부가 앱을 출시할 때 적용하는 특정한 내부적 기준조차 마련하고 있지 않기 때문에 발생하는 현상으로, 그 결과 정부앱이 불필요하게 소비자의 스마트폰에 접근할 수 있는 권한을 요구하고 있는 것이다.

‘유치원 알리미’앱의 경우 위치정보를 포함 단 4개의 권한만을 요구하지만, ‘학교알리미’앱의 경우 위치정보는 물론 연락처 검색, 오디오 녹음, 휴대전화 상태 및 ID읽기 등 14개에 달하는 주요 권한을 요구하고 있다.

자료를 보다 구체적으로 살펴보면 ‘휴대전화 상태 및 ID읽기’ 권한은 91개 중 55개(60.4%), 위치정보 권한은 50개(54.9%), 연락처 접근은 37개(40,7%), 카메라 혹은 오디오 접근은 31개(34.1%), SMS메시지 접근은 9개(9.9%)의 앱이 요구하고 있었다.

◆모바일앱 접근권한 제동걸던 정부, 정작 정부앱의 과도한 접근권한부여로 자가당착

과거 인기 ‘손전등’ 앱이 사용자의 위치, 카메라, 마이크, 휴대전화 상태 및 ID읽기, 네트워크 액세스 등 과도한 권한을 요구할 뿐 아니라 실제로 그러한 권한을 악용해 개인정보를 빼돌리는 것으로 드러나 큰 논란이 됐던 바 있다.

이에 정부 또한 문제점을 인식했고, 방송통신위원회와 한국인터넷진흥원은 2015년 8월 스마트폰 앱이 이용자의 정보에 접근할 수 있는 권한의 범위를 서비스에 필요한 범위 내로 최소화하도록 하는 가이드라인을 이미 내 놓은 바 있으며, ‘스마트폰 앱 접근권한 모니터링 및 적절성 점검 방안 마련’을 위한 연구용역을 계속해서 진행 중인 상황이다.

이렇게 정부가 가이드라인까지 만들어 앱 권한요구를 규제하는 상황에서 정작 정부가 직접 국민들에게 제공하는 앱이 과도한 접근권한을 요구하고 있는 것은, 본인들이 만든 가이드라인을 스스로 위배하는 것이자 규제의 당위성마저 위태롭게 하는 심각한 문제라고 볼 수 있다.

녹색소비자연대 ICT소비자정책연구원은 “정부3.0과 안전신문고앱을 여론수렴이나 기준 없이 졸속으로 선탑재하는 과정에서뿐 아니라, 정부 공식앱의 권한요구와 관련해서까지도 정부는 스스로 만든 가이드라인을 위배하고 있다. 이는 법적 안정성은 물론 행정에 대한 신뢰도도 심각하게 떨어트리는 행위”라고 지적했다.

또한 "행정자치부와 미래창조과학부 등은 정부앱을 전수조사해서 과도한 권한 요구된 부분을 수정하는 것은 물론, 소비자들의 개인정보 보호를 위해 가이드라인을 넘어선 실효성 있는 정책적 대안을 내놓아야 할 필요가 있다"고 말했다.

박소연 기자 muse@asiae.co.kr