"초음파로 사용자 행동 추적하는 앱 234개 발견" 독일 연구진 보고

CIO KR
독일 브라운슈바익 공과대학(Technische Universitat Braunschweig)의 최근 연구에 따르면 몇몇 스마트폰 앱이 사용자를 은밀히 감시하고 있었다. 234개의 안드로이드 앱이 사용자 몰래 초음파를 탐지하고 있었다.

연구진은 2곳의 유럽 도시에 소재한 35곳의 매장에서 이러한 추적 신호기을 발견했다. 이들 신호기들은 매장 방문객이 보는 대상을 확인하기 위해 티비로부터 송출되는 비가청 신호를 포착할 수 있으며, 기업들은 이를 통해 방문객의 관심사 및 위치 정보에 기반한 광고를 송출할 수 있게 된다.

이들 신호기를 활용하면 또 방문객의 움직임도 추적할 수 있으며 방문객이 어떤 기기를 소유했는지도 파악하는 것이 가능해진다. 이론적으로 지불할 때바다 송출되는 초음파 신호를 이용함으로써 사용자의 비트코인 주소와 실제 신원을 연관짓을 수도 있게 된다.

연구 발견점
연구진은 실버푸시(SilverPush)라는 광고 기업이 스마트폰 마이크를 사용해 광고 시청 시 송출되는 비가청 오디오를 감지했다는 기사가 등장한 이후 조사에 착수했다. 이 기능은 소비재 분야의 거물은 P&G(Procter & Gamble)을 포함한 여러 기업에 의해 활용되고 있었다.

이번 연구 보고서의 저자인 어윈 큐링은 "시청자가 TV에서 무엇을 보고 있는지 알아내기 위해 5가지 주파수로 구성된 짧은 초음파 신호를 삽입했다"라며, "이를 통해 사용자의 기기가 백그라운 작업 중 오디오 신호를 포착했으며, 결과적으로 기업들은 모바일 장치 사용자가 보는 광고를 확인할 수 있었다"라고 영국 테크월드와의 인터뷰에서 말했다.

연구진은 이후 약 130만 개 이상의 안드로이드 애플리케이션을 분석해 유사한 주파수를 이용하는 앱들을 발견했다. 연구에 따르면 초음파 신호기를 사용하는 애플리케이션은 234개였는데, 이 중에는 인기 앱들도 있었다. 2개는 100만에서 500만 번 다운로드된 것들로 전해졌다.

실버푸시는 이 초음파 기능을 소프트웨어 개발 기트로 제공했다. 이에 따라 맥도날드나 크리스피 크림과 같은 기업에서 이 기술을 자사의 앱에 포함시키기도 했다.

전적으로 소비자를 위한 활용 사례도 있었다. Lisnr은 신호를 디코딩해 페스티발에 참여한 방문객이 위치에 따라 적합한 콘텐츠를 볼 수 있도록 했다. 숍킥(Shopkick)이라는 기업은 매장에 방문한 소비자에게 보상을 제공하기 위해 이 기술을 활용했다.

탐지 방법
구글은 앱이 스마트폰의 마이크를 사용하고 있는지 확인할 수 있으며, 이를 앱 개발사가 프라이버시 약관에 공지하도록 하고 있다. 그러나 현실에서 마이크를 이용하는 진짜 의도를 식별하기란 어렵다. 샤잠과 같이 재생되고 있는 음악을 식별하기 위해 마이크를 이용하는 앱들도 다수 존재한다.

이번 연구는 일반 기업들이 앱만 분석했지만 정부 기관이나 해커들이 맬웨어에 포함시켰을 가능성도 존재한다. 큐링은 "사용자가 초음파 발송자에 대해 취할 수 있는 조치는 없지만 수신자로서 할 수 있는 일이 있다"라며, "리시버가 없다면 위험 소지가 사라진다. 해야 할 일 중 하나는 안드로이드 애플리케이션의 허가 여부를 확인하는 것이다. 앱은 마이크 사용 여부를 명시해야만 하기 때문이다"라고 말했다.

소니콘트롤(SoniControl)이라는 오스트리아 기업은 좀더 적극적인 솔루션을 제시한다. 이른바 "최초의 초음파 방화벽"이다. 현재 시제품 단계인 이 앱은 초음파 활동을 감지해 사용자에게 알리고 필요할 경우 전송을 차단한다.

* 본 기사는 테크월드 토마스 맥컬리 기자의 글을 기반으로 작성됐다. ciokr@idg.co.kr