미국에서 사상초유의 사건이 발생했다. 대부분의 스마트폰 단말기에 개인 활동을 추적 및 기록하기 위한 비밀 소프트웨어가 실행되고 있다는 사실이 발견된 것이다. 통신업체와 단말기 제조업체들에게 전화 서비스 개선을 위한 진단용 도구 명목으로 판매된 캐리어IQ 소프트웨어는 실제로는 사용자들의 모든 행동을 수집하고 기록했다. 이통사·단말기 제조사들은 “서비스 개선을 위해 필요하다”고 주장했지만 전문가들은 “이것은 심각한 사생활 침해”라고 반박했다.

트레버 에크하르트라는 한 보안 연구원은 ‘캐리어IQ(Carrier IQ)’가 만든 동명의 스마트폰 소프트웨어가 개인 데이터를 수집하는 모습을 담은 비디오를 인터넷에 올렸다.

이 비디오에 따르면 캐리어IQ는 모든 버튼 누름, 통화한 전화번호, 문자메시지(SMS), 심지어 암호화되어야 하는 보안 연결(HTTPS)을 통한 검색 데이터까지 수집하고 기록했다. 이 소프트웨어는 사용자가 본 비디오, 사용한 앱, 그리고 사용자의 위치에 대한 세부적인 정보를 캡처할 수 있었다.

그러나 정보 수집에 대해 사용자에게 동의를 구하지도 않고, 수집을 끄는 옵션도 없었다. 이렇게 기록된 데이터가 전송되는지, 전송된다면 언제, 누구에게 전송되는지, 어디에 저장되며 누가 접근할 수 있는지는 아직 명확하게 밝혀지지 않았다.

캐리어IQ는 에크하르트를 고소하겠다고 나섰고, 에크하르트는 전자 프론티어(Electronic Frontier) 재단에 보호를 요청했다. 캐리어IQ는 현재까진 한발 물러 선 상황이다. 미국 상원의원 알 프랑켄은 캐리어IQ 사장인 래리 렌하트에게 “사용자 데이터로 정확히 어떤 작업이 이뤄졌는지 밝힐 것”을 요구하는 서한을 보냈다.

캐리어 IQ 소프트웨어는 미국 이동통신사인 AT&T·스프린트·T-모바일의 단말기에 모두 설치된 것으로 알려졌다. 캐리어IQ는 “해당 소프트웨어를 1억 5천만 대의 스마트폰에 내장했다”고 인정했다.

애플은 “iOS 5는 캐리어IQ 소프트웨어를 전체적으로 다 사용하지는 않고 있으며 이후 버전에서는 아예 사용하지 않겠다”고 밝혔다. 그러나 이전버전의 iOS는 여전히 사용하고 있는 것으로 알려졌다.

논란은 전 세계로 확산되고 있다. 미국에서는 캘리포니아와 네바다 주 등의 소비자들이 AT&T 등 이동통신사와 삼성전자, HTC 등 제조사들에게 집단소송을 제기했다. 독일 정부는 애플에 대해 캐리어IQ 사용여부 열람을 요청했으며, 영국도 이동통신사들을 상대로 조사를 펼칠 계획이다.

◇ 수집 자체가 위험행위

캐리어IQ는 스마트폰의 시스템 영역에 설치되어 사용내역과 위치정보 등을 이동통신사 서버로 전송한다. 캐리어IQ의 고객인 이동통신사와 단말기 제조사들은 이 소프트웨어가 수집한 데이터에 접근할 수 있다. 심지어 특정한 사건이 발생하면 구체적으로 이를 기록해서 세부 정보를 통신업체에 전송하도록 지정할 수도 있다.

이에 대해 캐리어IQ는 이 소프트웨어가 탑재된 전화기 사용자의 문자 메시지와 다른 데이터를 읽을 수 있음을 대체로 시인했다. 그러나 “캐리어IQ는 단순히 서비스 개선을 하려는 통신업체에게 서비스를 제공할 뿐”이라고 주장했다.

캐리어IQ 앤드류 코워드 마케팅 담당 부사장은 “우리는 SMS 메시지를 읽지 않는다. 메시지가 들어오고 그 메시지와 함께 전화 번호도 볼 수 있지만 그것을 저장, 분석하거나 기타 다른 방법으로 메시지의 내용을 처리하지 않는다”고 밝혔다.

캐리어 IQ 래리 렌하트 최고경영자(CEO)도 “더 나은 모바일 사용자 경험을 위해 일부 데이터를 수집할 뿐 수집된 데이터를 제3 기업에 판매하는 행위는 하지 않았다"고 해명했다.

그러나 위험한 부분은 수집된 데이터의 존재 자체다. 이 데이터는 단말기 어딘가에 보관되며, 이론적으로 누구나 복사, 접근, 해킹, 도난 또는 유출에 무방비 상태다. 해커가 이런 취약점을 공격한다면 무수히 많은 정보를 빼내는 것이 가능하다.

◇ 국내는 안전할까

국내 통신사들은 ‘캐리어 IQ’ 설치 여부에 대해 강하게 부인했다. SK텔레콤은 “SK텔레콤은 사용자 개인 정보를 수집하기 위한 어떤 소프트웨어도 내장하지 않으며 캐리어IQ도 한국 현실과는 무관하다”고 밝혔다. KT와 LG유플러스도 “국내에서 유통되는 스마트폰에는 캐리어 IQ가 탑재되지 않았으며 시도하지도 않았다”고 말했다.

삼성전자의 ‘갤럭시S’도 출고 시 선 탑재된 일부 앱들이 과도한 접근 권한을 지니고 있다는 사실이 일부 언론에 의해 드러나 파문이 일기도 했다. 그러나 삼성은 “단순한 표기 오류이며, 해당 프로그램들에는 고객 개인정보를 수집하는 코드가 들어 있지 않다”고 해명했다.

이에 대해 방송통신위원회는 지난 5일 진상조사를 벌였고, 방통위 관계자는 “삼성전자가 만든 앱이 개인정보에 접근할 수 있는 권한을 과도하게 부여한 것은 맞지만 정보통신망법에 따른 책임을 물을 수는 없다”고 말했다.

네티즌들도 이를 단순한 ‘해프닝’으로 받아들이는 수준이다. 한 네티즌은 “대문을 열어놓았을 뿐인데 강도로 오인 받은 격”이라며 삼성 손을 들어줬다. 다른 네티즌도 “문제의 소지는 있지만 이는 ‘과실’정도로 생각할 수 있다”고 말했다.

◇ 사용자와의 관계 재점검 필요

전문가들은 “이동통신 분야에서 개인정보침해는 비일비재하게 발생한다”고 지적했다. 통신사은 각종 마케팅 서비스를 구현하기 위해 휴대폰 사용자의 각종 소비 정보를 수집하고 있다. 때문에 “이를 규제할 국가적 수준의 개인정보보호법이 제정되어 한다”는 주장도 제기되고 있다.

컴퓨터월드(Computerworld)의 마이크 앨건은 ”우체국이 사람들의 사적인 편지를 복사해놓고 ‘그 복사본을 읽지는 않으므로 문제없다’고 말한다면 어떨지 생각해 보라“고 말했다.

그는 “사용자의 사적인 정보를 입수할지 여부를 선택하는 권리가 어째서 그들에게 있는가?”라고 묻는다. “문제는 우체국이 사용자의 개인 정보를 습득하는지 여부가 아니다”며 “애초에 ‘그 편지의 복사본을 만들 권리가 그들에게 있느냐’가 중요하다”고 그는 설명했다.

더욱 큰 문제는 업계가 캐리어IQ의 사용여부에 관계없이 모두 알고 있었다는 사실이다. 이번 캐리어IQ 사건을 통해 드러난 사실은 이동통신업계가 전체적으로 대중과 사용자의 관심사를 무시하는 관행을 가지고 있다는 것이다.

그는 “이들은 우리의 사적인 메시지와 암호화된 웹 검색 내용을 읽을 것인지 여부, 우리가 방문하는 웹 사이트와 전화를 거는 상대방이 누구인지 알아볼 것인지 여부를 선택할 권리를 스스로에게 부여했다.

그는 “이제 업계 전체가 그들의 비즈니스를 유지하는 근간인 사용자와의 관계를 재점검해야 할 때”라며 “이들은 사용자 착취를 통해 이익을 얻을 방법을 고민할 것이 아니라, 사용자의 우려를 진지하게 받아들일 방법을 찾아야 한다”고 주장했다.

몰래 저지를 수 있는 위법적 행위를 찾으려 노력할 것이 아니라 사용자 보호, 투명성, 그리고 철저한 사생활 보호를 두고 서로 경쟁해야 한다는 설명이다.

[ⓒ 토요경제. 무단전재-재배포 금지]