스마트폰 사용자 모르게 유심(USIM)칩 일련번호와 단말기 고유인증번호(IMEI) 값을 자동 추출하는 스마트폰 애플리케이션이 잇따라 발견돼 범죄의 온상인 대포폰 개통에 악용될 것으로 우려된다. 유심 일련번호와 단말기 IMEI 값만 알면 스마트폰을 손쉽게 불법 복제할 수 있다.
29일 업계에 따르면 이토마토증권통 · 버블부스터 · 뮤직정크 · 라이크앱프리티걸 등의 안드로이드 스마트폰용 애플리케이션이 사용자 동의를 구하지 않고 단말기 내 정보를 추출하는 것으로 알려졌다.
이토마토증권통 애플리케이션은 사용자가 별도 로그인이나 인증절차를 거치지 않는 대신 유심의 일련번호와 IMEI 값을 이용해서 사용자 인증절차를 하고 있는 것으로 파악됐다. 하지만 이용자들에게 IMEI 값을 가져가는 과정에서 사용자 동의절차 없이 무단으로 이를 수집하고 있어 문제다.
IMEI란 휴대전화 단말기에 부여되는 15∼17자리의 고유 식별번호로 제작 당시 이 번호를 부여받은 단말기를 통해서 사용자의 위치추적이 가능하며, 이를 이용해 휴대폰 복제도 가능한 개인의 주요 정보다.
이토마토증권통 외에도 게임 `버블부스터` · 음악 `뮤직정크(ghor.mj)` · 성인물 `라이크앱프리티걸(likeapp.prettygirl)` 등 다양한 종류의 안드로이드 애플리케이션이 IMEI 값을 무단으로 추출하고 있다.
홍민철 쉬프트웍스 사장은 “최근 국내외 안드로이드 애플리케이션에서 사용자 동의 없이 IMEI 값을 추출하는 사례를 50여건 이상 발견했다”며 “중국에서는 짝퉁 휴대폰 제조에 사용하기 위해 IMEI 값을 사고파는 경우도 있기 때문에 무단 수집은 심각한 문제가 될 수 있다”고 말했다.
개발자들이 단순하게 애플리케이션의 사용자 인증 편의를 위해 단말기 정보를 수집한 것일 수도 있지만 수집된 IMEI 값을 제대로 관리하지 않고 외부에 유출되면 휴대폰 복제 등에 악용될 수 있어 사용자들에게 큰 피해를 입힐 수 있다.
홍민철 사장은 “아직까지 안드로이드 악성코드에 대한 기준이 확립되지 않은 초기기 때문에 IMEI, 유심, 모델명, 일련번호 등 단말기 정보수집에 대한 기준이 모호한 상태”라며 “개인의 사생활 침해나 이로 인한 피해가 우려되는 단말기 정보수집 정책 및 기준 설립이 시급하다”고 말했다.
현재 쉬프트웍스의 안드로이드 모바일 백신 `브이가드`는 IMEI 값을 추출해가는 관련 앱에 대해 사용자들에게 개인정보 유출 가능성을 경고해주고 있다.
한편 이토마토 증권통 앱 관계자는 "최근 사용자 환경 로그인 과정에서 유심 시리얼 번호와 IMEI 값을 이용해서 인증에 사용한다는 것을 고객들에게 알림글로 공지하고 있다"며 "동의를 구하는 절차는 없지만 공지는 하고 있기 때문에 무단으로 수집하는 것은 아니다"라고 주장했다.
장윤정기자 linda@etnews.co.kr