갤럭시S에 개인정보 수집앱이 있다?

오늘 한 신문에 삼성전자 스마트폰 갤럭시S 등에 '개인정보 수집 앱'이 들어있다는 기사가 보도됐습니다.

기사의 논리는 이러합니다. 갤럭시S에 기본 탑재된 '거울' 앱이 있습니다. 이 앱은 전면 카메라 영상을 화면에 그대로 비춰 거울처럼 쓰도록 한 것입니다. 이 앱에 필요한 기능은 당연히 카메라 조작뿐이겠지요. 하지만 어떤 이유에서인지 이 앱에는 더 많은 권한이 들어있습니다. 전화번호부나 문자 메시지에 접근할 수 있는 것이지요. 이를 두고 해당 기사는 '개인정보 수집 앱'이라 제목 붙였습니다. 개인정보에 해당하는 내용에 접근할 수 있다는 것이지요.

하지만 이게 개인정보 수집 앱일까요? 제 생각은 조금 다릅니다.

이 기사의 논리대로 접근해보겠습니다.

일단, 갤럭시S에 깔린 기본  주소록앱은 당신의 주소록 입력을 하나하나 수집하는 앱입니다. 문자 메시지 앱도 마찬가지입니다. 당신의 문자 메시지 내욕을 고스란히 저장하고 있습니다. 기본 키보드야 말로 궁극의 개인정보 수집앱입니다. 당신의 키입력 하나하나를 다 삼성에 보낼 수 있습니다.

우와. 무서워라. 무서워서 스마트폰을 쓸 수가 없네요.

근데, 이 프로그램들이 그런 프로그램인가요? 아니죠. 그런 권한이 있다고 해서 반드시 그런 짓을 하는 건 아니니까요. 이런 논리대로라면 지금 쓰는 PC에 깔려있는 모든 프로그램은 다 '악성코드'로 분류할 만합니다. 그럴만한 권한이 있거든요. 하드디스크에 쓰고 읽을 수 있습니다. 인터넷에도 접근할 수 있어요. 하드디스크에 있는 모든 개인 데이터를 인터넷을 통해 다른 곳으로 보내버릴 수 있네요.

갤럭시S에 든 '거울' 앱이 과도한 권한을 가진 것은 사실입니다. 삼성전자 측의 설명에 따르면 '엔지니어의 실수'라고 합니다. 납득할만합니다. 이클레어(안드로이드 OS 2.1) 시절, 개발자들 수준이 떨어지던 시절 흔히 나타나던 잘못이니까요. 그냥 개발하기 편하게 모든 권한을 다 설정해버린 거지요. 전면 카메라 통제 앱 같은 건 워낙에 간단하니 한번 만들어놓고 다신 들여다보지도 않았을테니. 여태까지 이런 오류가 남아있다고 해도 이해할만합니다.

분명 이건 삼성전자가 잘못한 겁니다. 절대로, 이게 잘했다는 얘기는 아닙니다.
 
하지만 이 잘못된 권한 부여를 두고 개인정보 수집이라고 할 수 있까요?

아닙니다. 이 앱에는 개인 정보를 수집하고 이를 외부에 전송하는 기능이 없으니까요. 설사 이걸 그런 용도로 만들었다면, 삼성전자는 정말 어리석은 겁니다. 개인의 사용 정보를 빼내가기 위해서는 모니터링 코드가 끊임없이 작동해야 하거든요. 미국에서 한참 논란이 되고 있는 커리어 IQ란 코드가 있습니다. 이건 관리자 권한이라 부르는 '루트' 단계에서 돌아갑니다. 전화기를 켜서 끌 때까지 계속 돌아가면서, 사용자의 모든 행동을 모니터링합니다. 키 하나하나 누르는 것까지 모두 들여다 본다고 하는군요.

하지만 거울 앱은 그냥 일상적인 앱입니다. 누르면 켜지고, 나가면 꺼집니다. 백그라운드에서 작동하는 앱도 아닙니다. 상상력을 발휘해서, 거울을 작동하는 동안에 여러 종류의 정보에 접근해서 정보를 빼내간다? 흥미로운 가정이긴 하네요. 그렇다면 정보를 빼내가는 것이 가능할 수도 있겠습니다. 실제로 그런 기능이 들어있는 건 아니지만요.

제가 삼성전자라면, 개인정보 유출 기능을 넣을 것 같으면 커리어IQ처럼 root 단계에 넣었을 겁니다. 아니면 기본 런처인 터치위즈(센스UI가 아닙니다)라든지요. 터치위즈는 저 모든 권한을 당당히 가질 수 있으니, 저기에 심었으면 간단했겠네요. 아니면 위에서 쓴 것처럼 주소록, 문자 메시지, 전화번호 다이얼러 등에 분산해서 넣던지요.

보안의 중요성은 아무리 강조해도 모자라지 않지요. 하지만 이번 건은 아무래도 삼성전자가 억울해 보입니다. 실수로 문 열어둔 건을 놓고 살인 강도 혐의로 기소한 모양새니까요. 법원에 가면 엄밀한 조사 끝에 무죄 판결을 받겠지만, 그런 부분은 다들 관심이 없지요.