김기식 의원, ‘정보통신망법 일부개정법률안’ 발의…“무분별한 접근권한 획득 막아야”

[아이티데일리] 스마트폰 애플리케이션(이하 앱)이 이용자 스마트폰에 대한 ‘접근권한’을 무분별하게 요구하고 있어 문제라는 지적이 나왔다. 실제로 한 백신 앱은 연락처 확인, 통화 기록 읽기, 사진과 동영상 촬영 등 본연의 기능과는 무관한 것들까지 요구해 사생활 침해는 물론 범죄에도 악용될 수 있다는 우려가 제기됐다.

31일 국회 새정치민주연합 김기식 의원(정무위원회)은 구글플레이 랭킹 상위 앱 30개를 분석한 결과, 평균 19.4개의 접근권한을 요구하고 있다고 밝혔다.

▲ 출처: 김기식 의원실

김 의원이 공개한 자료에 의하면, 구글플레이 다운로드 랭킹 상위권에 위치하고 있는 중국산 모바일 백신 ‘360 시큐리티’는 무려 44개의 접근권한을 요구했다. 요구한 권한 44개를 살펴보면, 인터넷 기록 읽기, 연락처 확인, 문자 메시지 확인, 통화기록 읽기, 사진과 동영상 촬영 등 백신 기능에 필수적이라고 보기 어려운 것들이 상당수 포함돼 있다.

접근권한 요청에 대해 거부할 경우 해당 앱을 아예 이용할 수 없다. 해킹이나 무분별한 정보탈취 시도에 대비하고자 백신 앱을 다운로드 받으려면, 오히려 사생활에 대한 접근권한을 백신 앱에 고스란히 넘겨줘야 하는 셈이다.

다른 분야도 마찬가지다. 스팸방지 앱 ‘후후’는 일정을 이용자 몰래 수정하는 권한을 비롯해, 주소록, 위치, 문자, 통화기록, 저장파일, 사진 영상 촬영, 녹음 등 휴대전화의 거의 모든 기능에 대한 접근권한을 요구하는 것으로 나타났다.

금융 분야에서는 은행의 뱅킹앱 3개(기업은행, 국민은행, 농협은행) 모두 약 20개의 접근권한을 요구했고, 이 중에는 폰뱅킹과 무관한 문자, 저장파일, 사진·영상 촬영에 대한 접근권한들이 포함됐다. 특히 농협은행 ‘NH스마트뱅킹’은 주소록, 위치, 통화기록까지 요구했다.

▲ 유사 앱별 접근권한 수 비교(출처: 김기식 의원실)

같은 기능을 하는 앱이라도 회사마다 요구하는 접근권한 수는 천차만별인 것으로 확인됐다. 앞서 문제된 ‘360 시큐리티’가 권한 44개를 요구하는 반면, ‘V3 모바일 플러스 2.0’은 그 1/5 수준인 8개의 권한만을 요구했으며, 통화기록이나 주소록, 위치 등 사생활과 관련된 접근권한은 없었다.

김기식 의원은 “이는 유사 앱이 전혀 요구하지 않은 권한까지 상당수 요구한 ‘360 시큐리티’가 불필요한 권한을 요구했다는 의심이 드는 대목이다. 결국 앱 회사가 요구하는 접근권한의 종류와 범위는 앱의 기능에 따라 결정되기보다는, 그 앱을 만든 회사가 이용자의 어떤 정보에 접근할지 갖는 의도에 따른 것으로 볼 수 있다”고 강조했다.

이에 김 의원은 스마트폰 앱 회사가 이용자에 대한 접근권한을 과도하고 무분별하게 획득하는 것을 법으로 금지하도록 ‘정보통신망법 일부개정법률안’(이하 정보통신망법)을 31일 발의했다.

주요 내용으로는 앱 회사가 접근권한이 필요할 경우 앱 실행에 필수적인 권한 항목과 그 외의 항목을 구분하고, 이용자에게 접근권한이 필요한 항목과 이유를 명확히 밝힌 뒤 이용자로부터 각각 동의를 받도록 의무화하는 내용을 담고 있다.

또 선택권한에 이용자가 동의하지 않는다는 이유로 이용자에게 앱 서비스 제공 자체를 거부할 수 없도록 하고 있으며, 이 같은 사항을 이행하지 않을 경우 벌금이나 과태료에 처하도록 하고 있다.

앞서 방송통신위원회도 이 같은 문제를 인식하고 앱 개발자가 이용자의 단말기정보에 불필요하게 접근할 수 있는 권한 설정을 최소화하도록 하는 내용의 ‘스마트폰 앱 개인정보보호 가이드라인’을 발표한 바 있다. 그러나 법적 처벌 등의 강제력이 없는 행정권고에 불과해 실효성이 없다는 지적이다.

김 의원은 ‘플래쉬라이트’를 비롯한 손전등 앱 몇 개가 본래 기능과 무관한 권한을 요구하고 이를 악용해, 1,000만 명의 위치정보와 개인일정을 몰래 해외 마케팅 회사로 빼돌린 사건을 언급하며, 앱으로 인한 무분별한 사생활 침해를 막기 위해 반드시 이 법이 통과돼야 한다고 강조했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지