By ANDY GREENBERG, WIRED US

지난봄, 코로나19 퇴치를 위해 스마트폰을 모은다는 개념이 처음 제기됐을 때, 다음과 같은 주제로 몇 개월간의 논쟁이 촉발됐다. 앱의 위치 데이터 수집은 접촉자 추적에는 도움이 되지만 민감한 정보 유출 위험이 있지 않을까? 아니면, 더욱 제한적인 접근 방식을 택해, 다른 휴대폰과의 블루투스 기반 근접성만을 확인해야 할까? 이제 코로나19 관련 앱 수백 개를 대상으로 진행한 광범위한 조사를 통해 위의 모든 내용이 해답이 될 수 있다는 사실이 드러났다. 이 때문에 코로나19 앱 생태계가 야생적이고 무질서하게 펼쳐지며, 개인 정보 보호의 잠재적인 함정으로 가득한 것으로 확인됐다.

2020년 10월, 디지털 저널리즘 토우센터(Tow Center for Digital Journalism)의 디지털 포렌식 계획(Digital Forensics Initiative)의 총괄인 조나단 앨브라이트(Jonathan Albright)는 수십 개 국가에 배포된 iOS 버전 코로나19 앱 493개를 분석한 결과를 발표했다. 앨브라이트 총괄의 연구는 코로나19 앱이 단 한 차례의 데이터 사용 허가 목록으로 증상 추적부터 원격 보건 상담, 접촉자 추적까지 모든 것을 보여준다는 사실을 확인했다. 이후, 앨브라이트 총괄은 데이터세트를 추가로 세부 분류해, 접촉자 추적과 바이러스 노출 알림, 감시, 보고, 직장 감시용 앱 및 전 세계 공중 보건 당국의 코로나19 정보를 다루는 앱 359개를 집중적으로 분석했다.
연구 결과, 359개 앱 중 47개만이 앱의 블루투스 데이터 수집을 제한하는 구글과 애플의 개인 정보 보호를 강화한 바이러스 노출 알림 시스템을 사용하는 것으로 파악됐다. 전 세계 iOS 버전 코로나19 앱 7개 중 6개꼴로 사용자에게 자유롭게 개인 정보 접근 허가 요청을 할 수 있다. 59%는 앱 실행 도중에만 사용자 위치 정보 접근 허가를 요청한다. 43%는 앱 실행 여부를 떠나 항상 사용자의 위치를 추적한다. 앨브라이트 총괄은 iOS 버전 코로나19 앱 44%는 사용자의 카메라에, 22%는 사용자의 마이크에, 32%는 사진에, 그리고 11%는 연락처에 대한 접근 허용을 요청한다는 사실을 확인했다.

앨브라이트 총괄은 “수많은 코로나19 앱이 사용자의 위치 정보와 마이크, 사진 앨범에 지속해서 접근해야 한다는 사실을 합리화하기 어렵다”라고 말한다. 또한, 대학이나 정부 기관(지방 정부 단위 포함)이 제작한 코로나19 추적 앱도 개인 정보 데이터 위험과 간혹 건강 정보와 관련된 위험을 제기해, 결과적으로 사용자가 스스로 데이터를 제어할 수 없다고 경고한다. 그는 “매우 다양하고, 작은 단위의 공공 기관이 자체 코로나19 앱을 개발한다. 간혹 외부 업체를 통해 앱 제작을 하기도 한다. 그리고 사용자는 자신의 데이터가 어디로 수집되는지 알 수 없다”라고 말한다.
 
앨브라이트 총괄은 구글과 애플의 노출 알림 API를 사용하는 코로나19 앱의 수가 다른 시스템을 사용하는 앱보다 비교적 적다는 사실이 구글, 애플 시스템의 실패로 비춰져서는 안 된다고 지적한다. 일부 공중 보건 당국은 접촉자 추적 과정에 위치 정보 수집이 필요하다고 주장한다. 그러나 구글과 애플은 코로나19 양성 판정을 받은 다른 사용자에게 직접 노출된 상황에서 이를 경고하는 ‘노출 알림’이라는 특수한 목적으로 프로토콜을 제작했다고 분명히 밝혔다. 접촉자 추적과 증상 확인, 원격 진단, 다른 앱에서 제공하는 코로나19 정보 및 뉴스 등은 제외이다. 구글과 애플은 자사 시스템이 공중 보건 당국에 접근하지 못하도록 제한했다. 앱 설계 단계에서부터 채택을 제한한 부분이다.

그럼에도 불구하고 앨브라이트 총괄의 데이터는 미국의 여러 주 정부와 지방 정부, 직장, 대학 모두 코로나19 추적 및 감시, 보고, 노출 경고, 격리 감시를 위해 자체 시스템을 제작하기로 했다. 그 부분적인 이유는 구글과 애플이 코로나19와 관련해 중점을 두는 범위가 좁고, 데이터 접근 범위도 제한적이기 때문이다. 앨브라이트 총괄이 집계한 미국의 노출 경고 앱 18개 중 11개는 구글과 애플의 블루투스 시스템을 사용한다. 이에 해당하지 않는 앱 중 2개는 ‘패스체크세이프플레이스(PathCheck Safeplaces)’ 시스템을 기반으로 한다. GPS 정보는 수집하지만, 사용자 위치 데이터 익명 처리를 보장하는 시스템이다. 그 외에 플로리다주 마이애미데이드 카운티와 팜비치 카운티에서 사용하는 코로나19 앱 ‘시티즌세이프패스(Citizen Safepass)’, ‘콤뱃코비드(CombatCOVID)’ 등은 구글과 애플의 개인 정보 제한 시스템을 사용하지 않고 사용자 위치와 블루투스 근접성 정보 접근 권한을 요청한다. (이상한 점은 두 앱 모두 iOS가 아닌 앱에서 자체적으로 사용자 위치 추적 허가 요청을 한다는 점이다)

노출 경고 앱 18개 모두 앨브라이트 총괄이 ‘감시 및 보고’ 앱으로 분리한 45개 앱에 해당한다. 해당 앱 모두 접촉자 추적 기능부터 증상 기록, 위험 평가 기능까지 다룬다. 그중 24개는 앱 사용 도중 위치 정보 접근 요청을 한다. 반면, 20개는 앱을 사용하지 않아도 항상 위치 정보에 접근할 수 있는 권한 허가를 요청한다. 19개는 카메라에, 10개는 마이크에, 9개는 사진 앨범에 접근할 수 있는 권한 허가를 요청한다. 이해가 안 되는 점은 ‘코비드내비게이터(CovidNavigator)’라는 증상 기록 앱은 애플 뮤직 데이터 접근 허가를 요청한다는 사실이다. 게다가 앨브라이트 총괄은 코로나19 양성 판정을 받은 직원을 다른 동료와 격리하는 데 도움을 줄 목적으로 제작한 ‘직장 감시’ 앱 38개도 자세히 살펴보았다. 그중 절반은 앱 실행 도중 위치 접근 권한을 요청했다. 13개 앱은 앱 실행 여부를 떠나 항상 위치 정보에 접근하도록 요청했다. 구글과 애플의 API를 사용하는 앱은 한 개뿐이었다.

앨브라이트 총괄은 “데이터 접근 허가와 앱 자체에서의 위치 추적 측면에서 일부 앱은 사용자 감시 수준이 중동에서나 일어날 수 있을법한 수준으로 심각하다”라고 말한다.
앨브라이트 총괄은 코로나19 관련 앱 조사를 위해 데이터를 수집한 곳은 앱 분석 기관 41매터스(41matters)와 앱피겨스(AppFigures), 앱애니(AppAnnie), 그리고 프록시 연결을 사용해 네트워크 연결을 감시하고자 자신이 자체적으로 운영하는 앱이다. 앨브라이트 총괄은 앱 기능과 관련해 앱 개발자에게서 공공 정보를 찾았다. (앨브라이트 총괄은 과거, 안드로이드용 코로나19 앱만 조사하고 자신의 연구와 비슷하게 개인 정보 보호 관련 우려를 제기한 연구가 진행돼, iOS 앱만 조사했다고 밝혔다. 그러나 조사 대상이 된 안드로이드용 코로나19 앱의 수는 매우 적다.) 앨브라이트 총괄은 자신의 연구가 전반적으로 어떠한 악의적인 행위를 무조건 나타내는 것은 아니라고 말한다. 심지어 개인 정보 데이터가 예상치 못한 곳으로, 그리고 불투명한 방향으로 취급되는 시장에 널리 보급된 코로나19용 앱도 마찬가지다. 대부분의 경우에 사용자는 어쩔 수 없이 대학이나 직장에서 구축한 코로나19 감시 앱을 사용할 수밖에 없다. 그리고 거주 중인 주 보건 당국이 사용자에게 사용할 것을 요청한 앱 대신 택할 수 있는 다른 앱이 없다.

이와 관련, 와이어드가 애플에 답변을 요청했다. 애플은 자체 노출 경고 API를 사용하지 않는 앱 포함, iOS의 코로나19 관련 모든 앱을 철저히 조사한다고 답변했다. 정부 기관과 보건 비영리단체, 보건 혹은 의학 문제에 대해 신뢰할 수 있는 기업, 교육기관 등 유명 기관이 앱을 개발할 수 있도록 확인하기 위한 목적과 데이터 사용 접근 권한 요청시 속임수를 사용하지 않는다는 사실을 확인하기 위한 목적이다. 애플은 iOS14에서 앱이 사용자 기기의 마이크, 카메라 등에 접근할 때 화면 상단에 보이는 지표 도트로 사용자에게 경고하며, 앱으로 상세 위치 정보를 공유하기보다는 사용자가 직접 공유할 데이터를 대략적으로 택하도록 한다.

그러나 앨브라이트 총괄은 자신이 분석한 일부 앱이 직접 접근 허가 요청을 한 범위 이상으로 사용자의 위치를 감시해, 분석 내용을 공개하기도 한다는 점에 주목했다. 앨브라이트 총괄은 노출 알림이나 접촉자 추적 앱 내부에 설치된 광고에 집중한 분석 툴을 발견하지 못했다. 그러나 '정보 제공 및 업데이트' 앱으로 분류한 앱 중 3개는 구글의 광고 네트워크를, 2개는 '페이스북 오디언스 네트워크(Facebook Audience Network)'와 함께 '브랜치(Branch)', '어도비 오디튜드(Adobe Auditud)', '에어쉽(Airship)' 등 통합된 소프트웨어 개발 키트를 다수 사용한다는 사실을 확인했다. 앨브라이트 총괄은 추적 툴 모두 사용자의 코로나19 상황까지 포함, 개인 정보를 서드파트 광고 업체에 노출할 위험이 있다고 경고한다. (애플은 공식 성명을 통해, 올해부터 개발자들은 자신의 개인 정보 사용 관행과 함께 앱스토어에서 사용할 앱에 통합되는 코드의 출처인 서드파티의 개인 정보 사용 관행을 모두 제공해야 한다고 밝혔다.)

개인 정보 보호 연구원 겸 전직 연방거래위원회(FTC) 소속 수석 기술 전문가인 아쉬칸 솔타니(Ashkan Soltani)는 코로나19 관련 앱이 서둘러 제작되는 상황에서 여러 앱이 개인 정보를 마구 수집하고, 간혹 이를 이용해 수익을 기록하는 것이 놀라운 일은 아니라고 말한다. 솔타니 연구원은 “앱 공간에서의 게임은 데이터를 수집해, 이를 기반으로 수익을 얻는 것을 의미한다. 이는 시장에서 얻을 수 있는 기회의 본질이기도 하다. 데이터 수집을 기반으로 한 수익 창출 툴에 대한 수요가 매우 높기 때문이다. 사용자는 머리 속에 코로나19라는 개념을 인식하며, 개발자는 이러한 틈새를 채운다”라고 설명한다.

이어, 그는 구글과 애플이 공공 공중 보건 당국에만 자체 노출 알림 API 접근 권한을 지닌 앱을 구축할 수 있는 권한을 주어, 다른 개발자는 제한 범위가 작고, 개인 정보 보호를 철저하게 준수하지 않는 코로나19 앱을 제작할 수 있는 시스템을 만든다고 덧붙여 전한다. 그는 “구글과 애플의 시스템을 사용하는 노출 알림 앱을 제작하고 출시하려면 공공 보건 기관과의 상담이 반드시 필요하다. 그러나 자체적으로 제작하는 코로나19 앱은 별도의 감시가 필요 없고, 앱스토어의 승인만 받으면 된다”라고 말한다.

공식 기관이 제작한 앱도 마찬가지로 데이터 악용 우려가 있다. 불과 몇 주 전, 영국 정부는 경찰이 접촉자 추적 정보에 접근하고, 일부 경우에 따라 자가격리를 위반하는 이에게 벌금을 부과하도록 할 것이라고 공식 발표했다. 이스라엘 정부는 대중의 반발이 이어지자 접촉자 추적 정보를 법률 집행 기관과 공유해, 범죄 조사에 사용할 계획을 철회했다.

위치 정보 접근 허가 요청 후, 이를 중앙집권적으로 수집하는 앱이 무조건 의심스러운 의도를 지닌 것은 아니다. 샌프란시스코의 접촉자 추적 과정을 이끄는 캘리포니아대학교 샌프란시스코캠퍼스 전염병 전문의인 마이크 레이드(Mike Reid) 박사에 따르면, 접촉자를 효과적으로 추적하기 위해 감염자 이동 경로와 관련된 최소한의 정보가 필요한 경우가 많다. 반면, 구글과 애플의 시스템은 사용자의 개인 정보 보호를 우선시하면서 보건 기관과 어떠한 데이터도 공유하지 않는다. 레이드 박사는 "개인 정보라는 측면에서 사용자 개개인에게서 책임을 떠넘기는 것이다. 그러나 공중 보건 관점에서 볼 때, 직접 연락을 하는 개인에게 전적으로 의존하는 것이다. 또, 실제로 많은 사용자가 보건 당국에 연락하지 않을 것이다"라고 말한다. 그는 블루투스 데이터만으로는 언제, 어디서 감염자와 접촉을 했는지 알기 어렵다는 사실에 주목한다. 구글, 애플이 처음 자체 노출 알림 프로토콜을 발표한 뒤, 감염자가 실내에 있었는지 아니면 실외에 있었는지, 감염자와 접촉했을 당시 마스크를 착용했는지 혹은 특수 아크릴로 제작된 보호막 뒤에 있었는지 등과 같은 요소의 중요성이 향상됐다.

모두 개발자들이 위치 추적 기능이 개인 정보 유출 위험을 제기해도 위치 데이터 수집을 활성화하는 이유이다. 또한, 앱의 위치 데이터 접근 권한을 허용한다면 개인 정보에 미치는 영향과 잠재적인 보건 혜택을 자세히 살펴볼 수 있다. 아니면 개인 정보 유출 위험이 도사리는 환경에서 더욱 좁은 범위의 혜택을 택하고, 위치 정보 접근을 거부하면 된다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The iOS Covid App Ecosystem Has Become a Privacy Minefield