본문 바로가기 주메뉴 바로가기 검색 바로가기
iOS15 앱 프라이버시 보고서, 이대로 읽어라
상태바
iOS15 앱 프라이버시 보고서, 이대로 읽어라
이제 아이폰 사용자에게 주어진 지금까지 다운로드한 앱과 프로그램 관련 투명성이 크게 강화됐다. iOS15의 앱 프라이버시 투명성 확인 방법을 전달한다.
By LILY HAY NEWMAN, WIRED US

iOS 앱스토어나 안드로이드 구글 플레이로 주류 앱을 다운로드하는 것은 전반적으로 안전하다. 그러나 페이스북을 비롯한 다른 여러 기업이 갈수록 사용자 기기와 데이터에 침입하는 추적 행위를 개시하는 탓에 애플과 구글 모두 최근 iOS와 안드로이드에 투명성 기능을 도입했다. 앱이 사용자 기기에 탑재된 카메라와 마이크부터 시작해 위치 정보와 연락처 정보까지 각종 데이터와 센서에 접근한 빈도를 자세히 파악할 정보를 제공하기 위함이다. iOS 기기 사용자라면, 불과 몇 주 전 앱 프라이버시 보고서(App Privacy Report) 툴을 실행했을 수도 있다. 이를 최대한 활용할 방법을 설명한다.

iOS15.2 업데이트 사항의 일부분으로 등장한 앱 프라이버시 보고서를 사용할 첫 번째 단계는 ‘설정 > 프라이버시 > 앱 프라이버시 보고서’ 선택이다. 이후 사용자가 모바일 기기를 사용함과 동시에 앱 프라이버시 보고서가 최대 7일간 앱 활동 상세 기록을 전달한다. 모든 앱 활동 정보는 모바일 기기 내부에 저장된다. 앱 프라이버시 보고서를 비활성화하면, 기기에서 데이터가 삭제된다.
 
사용자 기기의 앱 프라이버시 보고서는 ‘데이터&센서 접근(Data & Sensor Access,)’, ‘앱 네트워크 활동(App Network Activity)’, ‘웹사이트 네트워크 활동(Website Network Activity)’, ‘가장 자주 접속한 도메인(Most Contacted Domains)’이라는 네 가지로 나누어 볼 수 있다.

가장 먼저 등장하는 데이터와 센서 분석 내용은 앱이 민감 데이터와 센서(카메라, 마이크, 위치 등)에 접근한 빈도와 데이터, 센서에 접근하는 때이다. 지도 앱이나 날씨 앱이 위치 정보에 접근하는 것은 이해할 수 있다. 하지만 음악 앱이 사용자 위치에 접근한 사실을 알게 되면 놀란 뒤 위치 정보 접근 허가를 해제할 것이다. 이와 마찬가지로 계산기 앱이 마이크에 접근할 일이 없다고 생각할 수 있다. 앱 프라이버시 보고서는 앱이 데이터나 센서에 접근한 때를 보도록 도와 사용자는 앱 사용 시 적합한 기능에 활동 상태를 연결할 것이다. 그러나 사용자가 취침 중일 때도 위치 정보에 접근하는 게임 앱을 발견하면, 접근 허가 상태를 관리할 것이다.

두 번째 부분에서는 네트워크 활동을 볼 수 있다. 설치한 앱이 보유한 웹 도메인 중 지난 7일간 사용자 데이터나 기기에 설치된 센서에 접근한 웹 도메인을 확인할 수 있다. 앱이 직접 연결한 도메인과 다른 콘텐츠를 통해 연결한 도메인 간의 차이를 구분하여 정보를 제공한다. 앱이 직접 연결한 도메인은 날씨 앱의 최신 기온 데이터 확보와 같이 제 기능을 하기 위해 앱이 연결한 도메인을 의미한다. 반대로 다른 콘텐츠를 통해 연결한 도메인은 SNS에서 뉴스를 클릭했을 때 광고 모듈이 영상을 자동 재생하는 것과 같은 상황을 의미한다.
 
[사진=Apple]
[사진=Apple]

앱 프라이버시 보고서는 앱이 도메인과 상호작용하는 때와 그 이유를 파악할 추가 정보를 설명한다. 다만, 도메인과 관련 정보를 구분하더라도 대부분 앱 프라이버시 보고서에 등장하는 도메인과 IP 주소가 신뢰할 수 있는 것인지 처음부터 알 수 없다. 페이스북 앱이 ‘web.facebook.com’에 접속한다면, 문제가 없다고 생각할 것이다 .그러나 ‘bidder.criteo.com’, ‘bidder.criteo.com’ 등에 접속한 것은 크게 인식하지 못할 것이다.

사이버 보안 기업 멀웨어바이츠(Malwarebytes)의 맥 및 미디어 플랫폼 총괄인 토마스 리드(Thomas Reed)는 “지금까지 본 데이터 모두 웹사이트 도메인 앱이 커뮤니케이션하는 도메인을 보여주었다. 일반 사용자가 각각의 도메인 관련 사항을 알 수 없어 다소 제한적이다. 개인적으로 사용 중인 앱 중 의문스러운 도메인과 연결한 앱이 있는지 확인하는 데 관심이 있다”라고 말했다.

콘텐츠 전송 및 디지털 광고 생태계는 사용자가 인지하지 못한 사이에 몰래 상당수 앱 서비스 실행을 원활하게 하는 복잡한 플랫폼이다. 최종 사용자에게 전달되는 비공개성은 앱 투명성 문제의 일부분이다. 어떤 공급사와 서비스 제공 업체가 개인적으로 가장 좋아하는 식당 정보를 사용하는지 알 수 없다. 그러나 이는 앱 프라이버시 보고서에 나열된 모든 도메인을 신중하게 검토하기 어렵다는 의미이다. 다만, 미국에서 제작된 앱이 미국 외 다른 여러 국가의 도메인에 연결한 부분과 같이 어느 정도 자연스럽게 알 수 있다.

그 다음으로 볼 수 있는 항목은 ‘웹사이트 네트워크 활동’이다. 앱 프라이버시 보고서와 같은 역할을 하지만, 인앱 브라우저, 즉 사파리와 크롬 등 모바일 브라우저를 통해 등장하는 사이트를 위한 정보를 제공하는 것이다. 예를 들어, 와이어드 웹사이트에 접속하면, fastly.net과 googlesyndication.com 등 도메인을 보게 될 것이다. 또한, 도메인 사이트에 기록된 앱 정보도 볼 수 있다. 일례로, 사용자는 사파리 브라우저 이력을 확인할 때, wired.com이 등장하리라 기대한다. 그러나 월경 주기 추적 앱 내 브라우저를 통해 기사 링크를 클릭하지 않았다면, 월경 주기 추적 앱이 등장하리라 예상하지는 않을 것이다.

마지막으로 사용자가 설치한 모든 앱과 실행한 웹사이트에 걸쳐 접촉 도메인이 가장 많은 앱을 추적한다.

존스홉킨스대학교 소속 암호학자인 맥시밀리언 진쿠스(Maximilian Zinkus)는 “수많은 도메인에 연결하는 것이 무엇인지 아는가? 소셜 기능과 쇼핑, 검색 기능 등이 도메인에 연결하리라 예측할 수 있다. 그러나 그 외의 유형에 해당하는 도메인을 본다면, 흥미로울 수도 있다. 이와 비슷하게 개인적으로 발견한 대다수 연결된 도메인은 콘텐츠 전달 네트워크와 구글 폰트, 분석 결과 등이었다. 마찬가지로 예측한 바이기는 하지만, 무언가 이상한 도메인을 발견하게 된다면, 스파이웨어 앱이나 악성 브라우저 확장 프로그램이 설치됐다는 징조일 수도 있다”라고 말했다.

진쿠스는 보고서에 공유 기능이 포함돼, 추가 분석을 워해 보고서에서 선택한 데이터를 외부로 내보낼 수 있다. 이어, 일반 사용자에게 보고서에 등장하는 데이터와 센서 문제는 가장 간편하면서도 중요한 프라이버시 보호 주목 방법이다. 

진쿠스는 “앱이 예상치 못한 위치나 마이크, 기타 센서 추적 행위를 벌인다면, 매우 심각한 경고 사항이다. 만약 설명할 수 없는 접근을 시도한 앱이 있다면, 해당 앱을 제거하고 앱스토어를 통해 애플에 보고하는 것을 추천한다”라고 말했다.

앱 보안과 프라이버시를 전체적으로 우려해 개인 정보 노출 수준을 줄이고자 한다면, 누구나 사용할 수 있는 대다수 옵션은 최대한 많은 앱을 삭제하는 것이다.

진쿠스는 “나의 앱 프라이버시 보고서 내용은 특별한 것이 없었다. 설치한 앱이 그리 많지 않기 때문이다”라고 언급했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How to Read Your iOS 15 App Privacy Report
이 기사를 공유합니다
RECOMMENDED