덴마크 연구진, “안드로이드 앱, 사용자 동의 없이 위치 추적한다”
플래시라이트가 카메라에 액세스하는 권한을 요구하는 것과 마찬가지로 구글 플레이에서 배포되는 앱은 필요한 기능을 수행하는 데 필요한 권한을 요구한다. 그러나 일부 앱에서는 GPS 또는 무선랜을 통한 사용자 위치 정보 액세스와 같이 더 광범위한 권한을 요구하기도 한다.
덴마크기술대학교(Technical University of Denmark) 박사 과정에 있는 표트르 사피에진스키를 비롯한 연구진은 위치 추적 권한이 없는 앱이라고 하더라도 무선랜 연결 정보에 액세스할 수 있다면 사용자의 물리적인 위치를 손쉽게 추적할 수 있다는 논문을 발표했다.
실제로 해당 연구팀은 자체적으로 개발한 위치 추적 앱을 구글 플레이를 통해 배포했으며, 이에 따라 직접 테스트를 해봤다. 커스텀롬인 사이노젠모드(CyanogenMod)을 올린 HTC 원(One) M7에 곧바로 190K 크기의 앱을 설치했다. 앱을 설치하기 전에 무선랜 액세스 권한만을 요청한다는 것을 확인했으며, 사전에 무선랜과 위치 서비스 기능은 비활성화했다.
처음에는 실험이 제대로 되지 않는 것처럼 보였다. 테스트 초기에는 그 어떤 데이터도 표시할 수 없다는 메시지만 나왔다. 그러나 대략 45분이 지나자, 위치 추적 권한을 요청하지 않았음에도 불구, 이 앱은 정확하게 네트워크월드(NetworK World) 사무실 위치를 표시했다. 사피에진스키와 그의 연구팀은 캔디 크러시(Candy Crush)와 앵그리 버드(Angry Birds), 판도라(Pandora) 등 대중적으로 인기 있는 앱에서 이와 같은 가능성을 발견했다고 전했다.
연구진은 논문에서 “사용자 위치 정보를 추적하기 위해 이와 같은 방식으로 무선랜 정보를 수집하라는 것은 아니다”라면서, “그러나 이와 같은 앱은 사실상 위치 정보를 추적할 가능성이 있으며, 안드로이드 권한과 일반 대중이 이해할 수 있는 기술 수준을 우회한다”고 말했다.
연구진은 200일 동안 학생 63명의 위치 정보를 추적했으며, 스카이훅(Skyhook) 또는 구글과 같은 무선랜 위치 정보 데이터 공급업체에 문의한 20개의 쿼리를 기반으로 학생들의 직장, 집 등을 손쉽게 찾아낼 수 있었다고 덧붙였다. editor@itworld.co.kr