2021.09.29

칼럼 | 일부 앱의 기만적 '정보보호 공지', 애플의 대책이 필요하다

Jonny Evans | Computerworld
앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.
 
ⓒ Apple
 

앱 개인정보보호의 문제

애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다.

최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다.

사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.
 

상황을 해결하는 방법

전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다.

린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다.

어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 사용자, 특히 기업 사용자는 스스로 보호할 조처를 해야 한다.
 

어느 정도 교육이 필요

또 다른 방법은 교육이다. 개인정보보호 문제가 불거질 때마다 이러한 나쁜 앱이 일반 게이머와 아이들을 겨냥한 작은 엔터테인먼트 앱 형태로 등장하는 경우가 많다. 물론, 데이터를 적극적으로 수집하는 앱은 앱을 설치한 사람이 부모인지 아니면 스마트폰을 빌린 아이인지 상관하지 않는다. 그저 수집하는 데만 열을 올린다.

따라서 사용자는 사용하는 앱을 분별할 안목을 길러야 한다. 아이가 해달라고 졸라대는 기세를 생각하면 가장 안전한 방법은 애플 아케이드에서만 마음껏 게임을 실행할 수 있도록 하는 것이다. 이상적이지는 않아도 위험은 줄일 수 있는 현실적인 방법이다.
 

회색 IT 앱을 받아들일 것(단, 확인은 필수)

효과가 있는 세 번째 방법은 정책 개발이다. 기업은 직원이 자신의 기기에서 사용하는 앱이 기업의 보안 정책을 준수하는지 면밀히 관찰해야 한다.

기업의 MDM 시스템 및 기업용 애플 ID의 사용을 늘리는 동시에 직원이 사용하는 앱을 파악하기 위해 직원과 긴밀히 협력해야 한다. 특히 '회색 IT(gray IT)' 관련한 문제가 있는 회사가 많다. 회색 IT란 회사에서 제공하는 툴보다 더 편리하다는 이유로 직원이 업무에 사용하는 앱과 서비스를 말한다.

더 좋은 방식은 회색 IT 앱을 파악해 회사 보안 정책 준수 여부를 조사한 후 일부를 제한한다면 그 이유를 투명하게 설명하는 것이다. 동시에 이 작업은 자체 앱이 최소한 회색 시장의 대안 앱만큼 사용하기 쉽도록 개선하는 작업과 병행돼야 한다. 이러한 방식은 독재적인 강권보다 훨씬 효율적으로 팀 전체에 걸쳐 개인 자율성을 높여 준다. 즉, 팀과 협력함으로 더 안전한 공간을 만드는 것인데, 일반적인 MDM 솔루션으로 보완할 수 있다.
 

카르마 감시단

그러나 이런 상황을 타개하는 결정적인 해법은 감시 활동이다. 애플은 개인정보보호 약속을 지키지 못하는 개발자에 조처할 것이라고 했지만 더 강력하게 시행해야 한다. 모든 앱을 적극적으로 감시해 개인정보보호 약속을 지킬 수 있도록 강제하고, 약속을 어기는 앱은 제거해야 한다. 외부에서 파악된 특정 앱만 감시하는 것도 부족하다. 개발자가 한 앱에서 개인정보를 오용하는 것으로 밝혔지만 해당 개발자의 모든 앱을 점검해야 한다.

보안 의식이 높은 소비자와 연구자는 앱에서 생성되는 활동을 감시하기 위해 리틀 스니치(Little Snitch), 록다운, 점보(Jumbo), 디스커넥트닷미(Disconnect.me) 등 다양한 앱을 활용한다. 어떤 앱이 개인정보보호를 공개적으로 약속했다면 이 말에 책임을 지게 해야 한다. 이를 위해서는 이런 앱으로 개인정보 유출을 감시하고 사용자의 허가 없이 데이터를 유출하는 앱이 파악되면 애플에 알려주는 것도 방법이다.

위험에 대해 알아보기, 위험 관리 및 최소화를 위한 내부 그룹(가족, 직원, 아이들)과의 협력, 개인정보보호 약속을 어기는 앱을 파악하기 위한 적극적인 시도 등은 사이버 공격을 더 어렵게 하는 환경을 조성하는 데 도움이 된다.
 

다음에 일어날 수 있는 것들

애플의 노력에도 불구하고 현재 사용자는 앱 스토어 상에서 앱의 개인정보보호 정책을 보면서 안전하다고 착각하고 있다. 앱 개발자가 사용자의 정보를 훔치지 않겠다고 약속하거나, 사용자가 추적 금지를 요청할 때 사용자는 앱 개발자를 믿는 경향이 있다. 따라서 애플이 다음 단계에 할 일은 판매하는 모든 앱을 조사해 이들 앱의 개인정보보호 약속이 지켜지게 조처하는 일이다.

개인정보보호 사기는 다른 사기 못지않게 나쁘다. 애플은 이미 앱의 사기 행위를 감시하고 있으며 2020년 스팸, 모방품, 사용자 호도 등의 이유로 15만 개의 앱을 거부한 바 있다. 이제는 개인정보보호 약속을 지키지 않는 앱에도 똑같이 해야 할 때다. editor@itworld.co.kr



2021.09.29

칼럼 | 일부 앱의 기만적 '정보보호 공지', 애플의 대책이 필요하다

Jonny Evans | Computerworld
앱 스토어(Apple Store) 올라온 앱의 개인정보보호 약속은 아직도 허술한 점이 많다. 애플은 이를 더 공격적으로 감시할 필요가 있다. 애플이 가시적인 조처를 할 때까지 기업 사용자는 자신과 소속된 조직을 보호하기 위해 무엇을 해야 할까.
 
ⓒ Apple
 

앱 개인정보보호의 문제

애플의 앱 스토어 개인정보보호 규칙의 정신을 제대로 지키지 않는 일부 개발자의 행태가 계속되고 있다. 앱 개인정보보호 설명 부분에 오해의 소지가 있는 정보를 게시하는가 하면 기기를 추적하지 않겠다는 약속을 노골적으로 위반하기도 한다. 일부 개발자는 기기 추적 정보를 빼내려고 추적 금지 요청을 계속 무시하고 있다.

최근에 자체 디지털 광고 네트워크를 출범시킨 '워싱턴 포스트'는 사용자 개인정보보호 약속을 지키지 않은 여러 스토어 앱 사례를 적발했다.

사용자가 앱의 추적을 원하지 않는다는 의사 표시를 하면 해당 앱은 그러한 요청을 존중해야 한다. 그러나 워싱턴포스트에 따르면, 사용자 요청을 불문하고 계속해서 똑같은 정보를 수집하는 앱이 많다. 이렇게 수집된 데이터는 서드파티 데이터 추적 회사에 판매되거나 표적 광고 제공에 이용될 수 있다.
 

상황을 해결하는 방법

전 아이클라우드 엔지니어 조니 린은 매체와의 인터뷰에서 "‘앱 추적 투명성(ATT)’은 서드파티 추적자를 저지하는 데 별로 효과가 없다. 더 심각한 것은 사용자에게 ‘앱에 추적 금지 요청’ 버튼을 누를 선택권을 줌으로써 오히려 사용자에게 개인정보보호에 대한 잘못된 생각을 심어줄 수 있다는 것이다”라고 말했다.

린이 이처럼 가차 없이 비판하는 이유에는 자신의 이해관계도 관련돼 있다. 그의 회사에서 개발하는 록다운(Lockdown)은 사파리뿐만이 아니라 모든 앱의 '추적, 광고 및 배드웨어'를 차단한다.

어쩌면 애플 역시 똑같은 방식을 취해야 하지만, ATT 도입 당시 몇 달이나 반발을 겪은 점을 고려할 때 애플이 같은 조치를 하기에는 상당한 시간이 걸릴 것이다. 이해가 걸린 업계의 반발을 고려하면 사용자, 특히 기업 사용자는 스스로 보호할 조처를 해야 한다.
 

어느 정도 교육이 필요

또 다른 방법은 교육이다. 개인정보보호 문제가 불거질 때마다 이러한 나쁜 앱이 일반 게이머와 아이들을 겨냥한 작은 엔터테인먼트 앱 형태로 등장하는 경우가 많다. 물론, 데이터를 적극적으로 수집하는 앱은 앱을 설치한 사람이 부모인지 아니면 스마트폰을 빌린 아이인지 상관하지 않는다. 그저 수집하는 데만 열을 올린다.

따라서 사용자는 사용하는 앱을 분별할 안목을 길러야 한다. 아이가 해달라고 졸라대는 기세를 생각하면 가장 안전한 방법은 애플 아케이드에서만 마음껏 게임을 실행할 수 있도록 하는 것이다. 이상적이지는 않아도 위험은 줄일 수 있는 현실적인 방법이다.
 

회색 IT 앱을 받아들일 것(단, 확인은 필수)

효과가 있는 세 번째 방법은 정책 개발이다. 기업은 직원이 자신의 기기에서 사용하는 앱이 기업의 보안 정책을 준수하는지 면밀히 관찰해야 한다.

기업의 MDM 시스템 및 기업용 애플 ID의 사용을 늘리는 동시에 직원이 사용하는 앱을 파악하기 위해 직원과 긴밀히 협력해야 한다. 특히 '회색 IT(gray IT)' 관련한 문제가 있는 회사가 많다. 회색 IT란 회사에서 제공하는 툴보다 더 편리하다는 이유로 직원이 업무에 사용하는 앱과 서비스를 말한다.

더 좋은 방식은 회색 IT 앱을 파악해 회사 보안 정책 준수 여부를 조사한 후 일부를 제한한다면 그 이유를 투명하게 설명하는 것이다. 동시에 이 작업은 자체 앱이 최소한 회색 시장의 대안 앱만큼 사용하기 쉽도록 개선하는 작업과 병행돼야 한다. 이러한 방식은 독재적인 강권보다 훨씬 효율적으로 팀 전체에 걸쳐 개인 자율성을 높여 준다. 즉, 팀과 협력함으로 더 안전한 공간을 만드는 것인데, 일반적인 MDM 솔루션으로 보완할 수 있다.
 

카르마 감시단

그러나 이런 상황을 타개하는 결정적인 해법은 감시 활동이다. 애플은 개인정보보호 약속을 지키지 못하는 개발자에 조처할 것이라고 했지만 더 강력하게 시행해야 한다. 모든 앱을 적극적으로 감시해 개인정보보호 약속을 지킬 수 있도록 강제하고, 약속을 어기는 앱은 제거해야 한다. 외부에서 파악된 특정 앱만 감시하는 것도 부족하다. 개발자가 한 앱에서 개인정보를 오용하는 것으로 밝혔지만 해당 개발자의 모든 앱을 점검해야 한다.

보안 의식이 높은 소비자와 연구자는 앱에서 생성되는 활동을 감시하기 위해 리틀 스니치(Little Snitch), 록다운, 점보(Jumbo), 디스커넥트닷미(Disconnect.me) 등 다양한 앱을 활용한다. 어떤 앱이 개인정보보호를 공개적으로 약속했다면 이 말에 책임을 지게 해야 한다. 이를 위해서는 이런 앱으로 개인정보 유출을 감시하고 사용자의 허가 없이 데이터를 유출하는 앱이 파악되면 애플에 알려주는 것도 방법이다.

위험에 대해 알아보기, 위험 관리 및 최소화를 위한 내부 그룹(가족, 직원, 아이들)과의 협력, 개인정보보호 약속을 어기는 앱을 파악하기 위한 적극적인 시도 등은 사이버 공격을 더 어렵게 하는 환경을 조성하는 데 도움이 된다.
 

다음에 일어날 수 있는 것들

애플의 노력에도 불구하고 현재 사용자는 앱 스토어 상에서 앱의 개인정보보호 정책을 보면서 안전하다고 착각하고 있다. 앱 개발자가 사용자의 정보를 훔치지 않겠다고 약속하거나, 사용자가 추적 금지를 요청할 때 사용자는 앱 개발자를 믿는 경향이 있다. 따라서 애플이 다음 단계에 할 일은 판매하는 모든 앱을 조사해 이들 앱의 개인정보보호 약속이 지켜지게 조처하는 일이다.

개인정보보호 사기는 다른 사기 못지않게 나쁘다. 애플은 이미 앱의 사기 행위를 감시하고 있으며 2020년 스팸, 모방품, 사용자 호도 등의 이유로 15만 개의 앱을 거부한 바 있다. 이제는 개인정보보호 약속을 지키지 않는 앱에도 똑같이 해야 할 때다. editor@itworld.co.kr

X