2021.09.29

글로벌 칼럼 | iOS와 안드로이드 앱 추적 금지 정책, 이대로는 부족하다

Evan Schuman | Computerworld
전 세계 기업의 모바일 앱 사용이 계속 증가하고 있다. 머지 않아 기업 내 거의 모든 직원이 모바일 기기로 소통할 것으로 보인다. 기기 내 모든 항목에 광범위하게 액세스 할 수 있고, 공유에 거의 제약을 받지 않는다는 모바일 앱의 특징이 보안과 규정 준수 부문에서 위협이 되는 이유도 바로 그 때문이다.
 
ⓒ Getty Images Bank

최근 애플도 iOS에 앱 추적 투명성을 강화하는 조치를 취했다고 밝혔다. 하지만 지난주, 워싱턴포스트는 애플의 주장에 상반되는 내용을 보도했다. 애플은 앱 개발사가 계약한 사항을 실제로 이행할 것이라고 신뢰해왔고, 애플 외에도 앱 개발사를 불신한 사람은 없을 것이다.

애플의 앱 데이터 공유에 대한 최근 정책을 소개하기 앞서, 안드로이드 사용자가 기대할 만한 좋은 소식이 있다. 구글 안드로이드 블로그에 따르면, 안드로이드는 올해 12월 미사용 앱의 모든 권한을 해제하고 민감한 기기 정보에 대한 접근을 제한해 사용자를 보호한다는 새 규정을 발표할 예정이다. 협력업체에 의존하지 않는다는 점에서 애플의 방침과 다르다.

해당 블로그 포스트는 “앱은 특정 권한을 수시로 요청해야 하지만, 수십억 대가 넘는 기기 내 앱이 모두 기존 권한을 계속 유지하는 것은 쉽지 않다. 안드로이드 11에는 권한 자동 재설정 기능을 도입할 예정이다. 이 기능은 사용자가 요청 시, 몇 달 동안 사용하지 않은 앱을 즉시 표시하고 런타임 권한을 자동으로 재설정해 프라이버시를 보호한다”라고 설명했다.

이어 “올해 12월부터 권한 자동 재설정 기능을 수십억 개 기기로 확장할 계획이다. 구글 플레이를 탑재한 안드로이드 6.0(API 23레벨) 이상을 실행하는 기기와 안드로이드 11(API 30레벨) 앱에서 자동으로 활성화되며, 23~29레벨을 대상으로 하는 앱에서는 수동으로 권한을 재설정할 수 있다”라고 덧붙였다.

또한, “올해 12월부터 내년 1분기 내로 안드로이드 버전 6.0~10을 실행하는 모든 기기에 권한 자동 재설정 기능이 점진적으로 배포될 예정이다. 이 기능이 기기에 탑재되면, 자동 재설정 페이지에서 특정 앱에 권한 자동 재설정 기능 활성화 여부를 지정할 수 있으며, 시스템은 미사용 앱에 대한 권한을 자동으로 재설정한다”라고 밝혔다.

하지만 안 좋은 소식도 있다. 프라이버시 보호 기능이 당장 지원되지는 않으므로, 미사용 앱에서 권한이 공식 통제되기 전까지 개발사는 개인 데이터를 최대한 많이 다운로드해 가져갈 것이라는 점이다.

이런 맥락에서 ‘개인 데이터’라는 용어는 사실 부적절하다. 미사용 앱이 절대적으로 많은 개인 데이터를 보유한 것은 맞다. 하지만 IT 관점에서 미사용 앱이 민감한 기업 데이터에까지 액세스할 수 있다는 사실에도 주목할 필요가 있다. 또한, 직원이나 외부 계약자가 클라이언트 또는 파트너와 암호화되지 않은 통신 수단으로 계속 소통하는 한, 사이버보안과 규정 준수에 대한 문제를 꾸준히 겪게 될 것이다.

이뮤니웹(ImmuniWeb) 설립자 일리아 콜로첸코는 모바일 보안 옹호자로, 이런 안드로이드의 움직임은 매우 긍정적인 신호라고 평가했다.

콜로첸코는 “안드로이드의 권한 재설정 기능 배포는 미사용 모바일 앱이나 멀웨어에 과도한 권한을 준 안드로이드 사용자에게 게임 체인저와도 같다. 기술 지식이 없는 수많은 사용자가 애드웨어 앱에 위험한 권한을 주거나 심지어 악성 앱을 설치한 후, 기기 손상을 유발할 수 있는 모든 권한을 부여하는 경우가 많아 위험하다”라고 설명했다.

어떤 모바일 앱이든 첫 번째 방어선은 운영체제 업체가 문제를 확인하는 것이다. 물론 구글과 애플도 이 작업에 드는 상당한 인건비를 기꺼이 지출하려고 하지는 않을 것이다. 두 업체 모두 앱 보안 기술이 미흡해도 그다지 치명적이지 않을 것이라고 여기면서, 최소한의 노력으로 판매량을 유지하고 싶어할 것이다.

어쩌면 구글과 애플이 옳을지도 모른다. iOS와 안드로이드의 모바일 점유율이 압도적으로 높은 한, 하나 또는 둘 다를 지원하는 것 외에 기업에 실용적인 옵션은 없다.

이제 워싱턴포스트가 다룬 애플의 앱 보호 방침을 살펴보자. ‘일부 아이폰 앱, 추적 거부 요청해도 스누핑 계속돼’라는 기사 제목은 내용을 잘 함축하고 있는 것으로 보인다.

기사 내용은 다음과 같다. 프라이버시 소프트웨어 업체 락다운(Lockdown) 소속 연구원과 워싱턴포스트가 시행한 조사에 따르면, 아이폰 앱에 추적 거부를 요청하면 이상한 현상이 발생한다. 서브웨이 서퍼(Subway Sufers)는 차트부스트 29(Chartboost 29)라는 광고 플랫폼 업체에 인터넷 주소와 무료 저장 공간, 현재 볼륨 단계, 베터리 사용 수준 등 아이폰 사용자의 고유 데이터를 전송한다. 광고 업체는 이 데이터로 사용 중인 앱과 타겟팅 방법 등을 파악하고 아이폰을 식별할 수 있다. 이는 사용자 데이터를 분석하지 말고 그대로 두라는 요청을 회피하는 방식이다. 사용자가 임의로 데이터 전송을 막을 수 있는 방법은 전무하다시피 하다.

광고 업체가 사용자 데이터로 아이폰을 식별하는 이 방식은 놀라울 정도로 효과적이다. 업체는 탐지한 사용자 기기를 아주 정확하게 인식할 수 있다. CEO가 인수 업체와 비밀 협상을 진행하거나 누군가 아직 출시되지 않은 기기를 테스트하는 경우에 어떤 사고가 발생할지 모른다.

애플은 제품을 출시할 때마다 개인정보에 큰 관심을 두고 높은 기준을 요구하고 있다. 또한, 프라이버시 보호에 노력하고 있음을 종종 언급한다. 하지만, 정작 다른 회사의 기밀과 관련해서는 매우 무관심하다.

애플은 워싱턴포스트와의 인터뷰에서, 모든 단계에서 문제를 인식하고 면밀히 조사하면서 앱 개발사와도 협업할 것이라고 밝혔다. 하지만 몇 주가 지난 지금도 아무것도 바뀌지 않았다. editor@itworld.co.kr


2021.09.29

글로벌 칼럼 | iOS와 안드로이드 앱 추적 금지 정책, 이대로는 부족하다

Evan Schuman | Computerworld
전 세계 기업의 모바일 앱 사용이 계속 증가하고 있다. 머지 않아 기업 내 거의 모든 직원이 모바일 기기로 소통할 것으로 보인다. 기기 내 모든 항목에 광범위하게 액세스 할 수 있고, 공유에 거의 제약을 받지 않는다는 모바일 앱의 특징이 보안과 규정 준수 부문에서 위협이 되는 이유도 바로 그 때문이다.
 
ⓒ Getty Images Bank

최근 애플도 iOS에 앱 추적 투명성을 강화하는 조치를 취했다고 밝혔다. 하지만 지난주, 워싱턴포스트는 애플의 주장에 상반되는 내용을 보도했다. 애플은 앱 개발사가 계약한 사항을 실제로 이행할 것이라고 신뢰해왔고, 애플 외에도 앱 개발사를 불신한 사람은 없을 것이다.

애플의 앱 데이터 공유에 대한 최근 정책을 소개하기 앞서, 안드로이드 사용자가 기대할 만한 좋은 소식이 있다. 구글 안드로이드 블로그에 따르면, 안드로이드는 올해 12월 미사용 앱의 모든 권한을 해제하고 민감한 기기 정보에 대한 접근을 제한해 사용자를 보호한다는 새 규정을 발표할 예정이다. 협력업체에 의존하지 않는다는 점에서 애플의 방침과 다르다.

해당 블로그 포스트는 “앱은 특정 권한을 수시로 요청해야 하지만, 수십억 대가 넘는 기기 내 앱이 모두 기존 권한을 계속 유지하는 것은 쉽지 않다. 안드로이드 11에는 권한 자동 재설정 기능을 도입할 예정이다. 이 기능은 사용자가 요청 시, 몇 달 동안 사용하지 않은 앱을 즉시 표시하고 런타임 권한을 자동으로 재설정해 프라이버시를 보호한다”라고 설명했다.

이어 “올해 12월부터 권한 자동 재설정 기능을 수십억 개 기기로 확장할 계획이다. 구글 플레이를 탑재한 안드로이드 6.0(API 23레벨) 이상을 실행하는 기기와 안드로이드 11(API 30레벨) 앱에서 자동으로 활성화되며, 23~29레벨을 대상으로 하는 앱에서는 수동으로 권한을 재설정할 수 있다”라고 덧붙였다.

또한, “올해 12월부터 내년 1분기 내로 안드로이드 버전 6.0~10을 실행하는 모든 기기에 권한 자동 재설정 기능이 점진적으로 배포될 예정이다. 이 기능이 기기에 탑재되면, 자동 재설정 페이지에서 특정 앱에 권한 자동 재설정 기능 활성화 여부를 지정할 수 있으며, 시스템은 미사용 앱에 대한 권한을 자동으로 재설정한다”라고 밝혔다.

하지만 안 좋은 소식도 있다. 프라이버시 보호 기능이 당장 지원되지는 않으므로, 미사용 앱에서 권한이 공식 통제되기 전까지 개발사는 개인 데이터를 최대한 많이 다운로드해 가져갈 것이라는 점이다.

이런 맥락에서 ‘개인 데이터’라는 용어는 사실 부적절하다. 미사용 앱이 절대적으로 많은 개인 데이터를 보유한 것은 맞다. 하지만 IT 관점에서 미사용 앱이 민감한 기업 데이터에까지 액세스할 수 있다는 사실에도 주목할 필요가 있다. 또한, 직원이나 외부 계약자가 클라이언트 또는 파트너와 암호화되지 않은 통신 수단으로 계속 소통하는 한, 사이버보안과 규정 준수에 대한 문제를 꾸준히 겪게 될 것이다.

이뮤니웹(ImmuniWeb) 설립자 일리아 콜로첸코는 모바일 보안 옹호자로, 이런 안드로이드의 움직임은 매우 긍정적인 신호라고 평가했다.

콜로첸코는 “안드로이드의 권한 재설정 기능 배포는 미사용 모바일 앱이나 멀웨어에 과도한 권한을 준 안드로이드 사용자에게 게임 체인저와도 같다. 기술 지식이 없는 수많은 사용자가 애드웨어 앱에 위험한 권한을 주거나 심지어 악성 앱을 설치한 후, 기기 손상을 유발할 수 있는 모든 권한을 부여하는 경우가 많아 위험하다”라고 설명했다.

어떤 모바일 앱이든 첫 번째 방어선은 운영체제 업체가 문제를 확인하는 것이다. 물론 구글과 애플도 이 작업에 드는 상당한 인건비를 기꺼이 지출하려고 하지는 않을 것이다. 두 업체 모두 앱 보안 기술이 미흡해도 그다지 치명적이지 않을 것이라고 여기면서, 최소한의 노력으로 판매량을 유지하고 싶어할 것이다.

어쩌면 구글과 애플이 옳을지도 모른다. iOS와 안드로이드의 모바일 점유율이 압도적으로 높은 한, 하나 또는 둘 다를 지원하는 것 외에 기업에 실용적인 옵션은 없다.

이제 워싱턴포스트가 다룬 애플의 앱 보호 방침을 살펴보자. ‘일부 아이폰 앱, 추적 거부 요청해도 스누핑 계속돼’라는 기사 제목은 내용을 잘 함축하고 있는 것으로 보인다.

기사 내용은 다음과 같다. 프라이버시 소프트웨어 업체 락다운(Lockdown) 소속 연구원과 워싱턴포스트가 시행한 조사에 따르면, 아이폰 앱에 추적 거부를 요청하면 이상한 현상이 발생한다. 서브웨이 서퍼(Subway Sufers)는 차트부스트 29(Chartboost 29)라는 광고 플랫폼 업체에 인터넷 주소와 무료 저장 공간, 현재 볼륨 단계, 베터리 사용 수준 등 아이폰 사용자의 고유 데이터를 전송한다. 광고 업체는 이 데이터로 사용 중인 앱과 타겟팅 방법 등을 파악하고 아이폰을 식별할 수 있다. 이는 사용자 데이터를 분석하지 말고 그대로 두라는 요청을 회피하는 방식이다. 사용자가 임의로 데이터 전송을 막을 수 있는 방법은 전무하다시피 하다.

광고 업체가 사용자 데이터로 아이폰을 식별하는 이 방식은 놀라울 정도로 효과적이다. 업체는 탐지한 사용자 기기를 아주 정확하게 인식할 수 있다. CEO가 인수 업체와 비밀 협상을 진행하거나 누군가 아직 출시되지 않은 기기를 테스트하는 경우에 어떤 사고가 발생할지 모른다.

애플은 제품을 출시할 때마다 개인정보에 큰 관심을 두고 높은 기준을 요구하고 있다. 또한, 프라이버시 보호에 노력하고 있음을 종종 언급한다. 하지만, 정작 다른 회사의 기밀과 관련해서는 매우 무관심하다.

애플은 워싱턴포스트와의 인터뷰에서, 모든 단계에서 문제를 인식하고 면밀히 조사하면서 앱 개발사와도 협업할 것이라고 밝혔다. 하지만 몇 주가 지난 지금도 아무것도 바뀌지 않았다. editor@itworld.co.kr


X