▲주요 은행들의 안드로이드 뱅킹 앱들.

시중 은행들, 15~23개 정보 접근
‘위치정보’ 수집, 광고 악용 우려
방통위, 개인정보 접근요구 최소화

안드로이드 스마트폰에서 새로운 앱을 설치하기 위해 구글 ‘플레이 스토어’에 접속한 후, 특정 앱의 ‘설치’ 버튼을 누르면 ‘접근 권한에 대한 동의’를 요청하는 화면이 나타난다. 이 단계에서 ‘동의’를 선택해야만 앱의 설치를 계속할 수 있다.

문제는 여기서 ‘동의’를 누르면 앱 운영사들에게 내 정보를 들여다 볼 수 있는 권한을 부여하게 된다는 것.

대부분의 앱들은 ID, 위치, 사진·미디어 파일, 와이파이 연결 정보 등 2~4개 내외의 카테고리에 속한 10개 내외의 접근권한을 요구하지만, 정부나 금융기관, 쇼핑몰 회사의 앱들은 훨씬 더 많은 범위에서 접근을 요구한다. 

사용자들은 이 단계에서 ‘권한’에 대한 별다른 고민 없이 그냥 ‘동의’ 버튼을 눌러 앱을 설치하기 때문에, 이를 이용하면 방대한 규모의 개인정보에 손쉽게 접근할 수 있다.

앱 운영사가 나쁜 마음을 먹을 경우 이 권한을 악용해 임의로 개인정보를 수집할 수도 있다는 뜻이다. 실제로 개인정보 수집을 목적으로 한 악성 앱들이 의외로 많다. 그간 수많은 소비자들과 전문가들이 우려를 표명해온 부분이다.

이같은 문제를 해결하기 위해 방통위는 지난 6일 ‘스마트폰 앱 개인정보보호 가이드라인’을 시행한다고 밝혔다.

방통위 가이드라인에 따르면, 향후 모든 스마트폰 앱은 이용자의 개인정보에 접근할 수 있는 권한 범위를 서비스에 필요한 범위 내로 최소화해야 한다. 특히 적절한 이유없이 이용자의 위치정보를 요구할 수 없게 된다.

과도한 앱 접근권한을 부여받아 이용자 동의없이 단말기에서 개인 정보를 수집할 경우, 정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 위반에 해당되며, 관련 매출액의 3% 이하 과징금을 받거나 5년 이하의 징역 또는 5000만원 이하의 벌금형을 받을 수 있다.

▲주요 은행들의 접근권한 요구 개수 비교.(정리=정의식 기자)

방통위 가이드라인 시행을 앞두고 CNB는 KB국민은행, 우리은행, 신한은행, 하나은행, 스탠다드차타드은행(이하 SC은행), 한국씨티은행, 외환은행, 농협, 수협, 기업은행 등 국내 소비자들의 사용빈도가 높은 10대 은행 스마트폰 뱅킹 앱들이 얼마나 많은 접근권한을 요구하고 있는지 확인해봤다.

조사 결과 가장 많은 접근권한을 달라고 요구하는 뱅킹 앱은 KB국민은행의 ‘스타뱅킹’ 앱이었다. 무려 23개의 권한을 요구함으로써 ‘가장 깐깐한’ 뱅킹 앱이 됐다.

두 번째로 하나은행, 농협, 수협이 22개의 권한을 요구해 근소한 차이로 공동 2위가 됐다. IBK기업이 20개로 5위, 한국씨티은행이 19개로 6위가 됐다.

가장 적은 접근권한을 요구한 은행들은 우리은행, 신한은행, SC은행, 외환은행 등으로 공동 7위를 차지했다. 이들은 15개의 권한만 요구했다.

‘가장 깐깐한’ 은행이 된 KB국민은행의 관계자는 CNB와 통화에서 “담당부서가 상황을 확인 중이며, 접근권한 범위는 가능한한 빠른 시일내에 최소화해 방통위의 가이드라인에 맞추겠다”고 밝혔다.

▲KB국민은행 스타뱅킹 앱 설치 시 나타나는 권한설정 화면.(사진=구글 플레이스토어)

물론 접근권한 요구 자체가 나쁜 건 아니다. 금융 앱의 원활한 작동을 위해 필수적으로 필요한 권한이 있고, 반대로 필요가 없는데도 개발사에서 별다른 고민 없이 의례적으로 요구한 권한들도 있다. 그렇다면 필수 권한과 불필요한 권한을 구분할 수 있는 방법은 뭘까?

10개의 은행 앱이 공통으로 요구한 접근권한은 ‘USB 저장소의 내용 수정 또는 삭제’, ‘휴대전화 상태 및 ID 읽기’, ‘완전한 네트워크 액세스’, ‘네트워크 연결 보기’ 등 4개 항목이었다. 이 항목들은 뱅킹 앱을 사용하는 데 있어 ‘필수적으로 접근해야 할 정보’라는 추정이 가능하다.

이외에 ‘실행 중인 앱 검색’, ‘USB 저장소의 내용 읽기’, ‘인터넷에서 데이터 받기’, ‘기기가 절전모드로 전환되지 않도록 설정’ 등 3개 항목도 9개의 은행 앱이 공통으로 요구한 접근권한이다.

반면, 1개 은행 외에 타 은행들은 전혀 요구하지 않은 항목들이 있다면 이는 해당 은행 고유의 기술적 필요에 의한 것일 수도 있지만 ‘불필요한 요구’일 가능성이 높다고 볼 수 있다.

‘추가적인 위치 제공업체 명령에 액세스(KB국민은행)’, ‘내 문자 메시지 수정(SMS 또는 MMS)(한국씨티은행)’, ‘발신전화 경로 전환(IBK기업은행)’, ‘시스템 설정 수정(하나은행)’, ‘테스트를 위해 위치 정보제공자로 가장(수협)’, ‘다른 앱 위에 그리기(IBK기업은행)’, ‘오디오 설정 변경(IBK기업은행)’, ‘배터리 통계 수정(농협)’, ‘실행 중인 앱 순서 재지정(농협)’, ‘앱 저장공간 계산(신한은행)’, ‘바로가기 제거(농협)’, ‘바로가기 설치(신한은행)’ 등은 해당 은행만 요구하고 타 은행들은 필요로 하지 않은 접근권한들이다. 방통위의 가이드라인이 적용될 경우 ‘1순위 삭제 항목’이 될 소지가 높다.

방통위가 가이드라인에서 불필요하게 요구하지 말 것을 특별히 강조한 ‘위치정보’의 경우, ‘정확한 위치(GPS 및 네트워크 기반)’를 8개 앱이 요구하고 있고, ‘대략적인 정보(네트워크 기반)’도 4개 앱이 요구하고 있는데, 이 역시 가이드라인이 적용되면 제거될 것으로 보인다.

방통위가 위치정보에 민감한 것은 이를 악용하는 사례가 빈번하기 때문이다. 실제로 국내에서도 지난 2011년 광고대행업체 김모씨 등이 악성 스마트폰 앱을 이용해 80만명에 달하는 개인들의 위치정보 2억건 이상을 무단 수집한 후 모바일 광고에 활용하다 경찰에 입건되기도 했다.

한 업계 관계자는 “은행권은 방통위의 가이드라인을 거부할 수 없기 때문에 불필요한 권한을 과도하게 요구했던 행태는 조만간 시정될 것”이라며 “올 하반기까지 주요 은행 앱들의 접근권한 요구는 현재 20개 내외의 절반 수준인 10개 내외로 줄어들 수 있을 것”이라 내다봤다.

(CNB=정의식 기자)