스마트폰에 앱을 설치하고 실행했더니 온갖 권한을 요구하는 팝업이 줄줄이 떴다. 어떤 앱은 열 가지가 넘는 권한을 요구하기도 했다. 하나씩 '허용' 버튼을 누르다 문득 불안한 생각이 들었다. 앱을 사용하는 데 굳이 필요 없을 것 같은 권한까지 요구했기 때문이었다. 혹시 개인정보를 무단으로 빼가려는 건 아닌가 걱정이 됐다.
앱에서 권한을 요구할 때 과연 고분고분히 허용해도 괜찮은 걸까. 안드로이드 운영체제가 설치된 스마트폰을 기준으로, 앱이 요구하는 권한 종류를 알아보고 왜 요청하는지 살펴봤다.
권한이란? 기기·정보에 접근하는 '자격'
먼저 '권한'이 무엇인지 알 필요가 있다. 권한이란 앱이 기능을 수행하기 위해 기기의 하드웨어나 파일, 각종 정보에 접근하는 자격을 말한다. 권한은 앱의 활동 범위를 제한하는 안전장치로 볼 수 있다. 만약 권한이라는 개념이 없다면, 사진 편집 앱을 설치했더니 사용자 몰래 연락처 정보를 수집하고 멋대로 스팸 메시지를 보낼 수도 있다. 이런 악용 사례를 막기 위해서는 앱이 제공하는 주요 기능에 따라 적합한 권한만 부여해야 한다.
안드로이드 앱이 요구할 수 있는 권한은 수십 가지에 달한다. 주로 요구하는 권한만 골라 봐도 △카메라 △주소록 △위치 △마이크 △알림 △파일 △음악 및 오디오 △사진 및 동영상 △전화 △통화 기록 △SMS △캘린더 △근처 기기 △생체 신호 센서 △신체 활동까지 15종류나 된다. 기기에 페어링된 차량 정보, 채팅 메시지 확인 같은 자잘한 권한까지 포함하면 그 수는 늘어난다.
앱의 기능에 따라 권한도 다르다. 예를 들어 사진이나 동영상을 찍는 기능이 포함된 앱이 제 역할을 하려면 '카메라' 권한이 필요하다. 동영상에 소리까지 녹음해야 하면 여기에 '마이크' 권한까지 추가로 받아야 한다.
파일 권한은 좀 더 세밀하게 나눴다. 뮤직 플레이어처럼 음악 파일만 읽어도 되는 앱은 '파일' 권한 대신 '음악 및 오디오' 권한을 요청해야 한다. 비슷한 이유로 사진 편집 앱은 '파일' 권한이 아니라 '사진 및 동영상' 권한을 요청하는 경우가 많다. 하지만 사진 편집 앱이 연락처나 SMS 권한을 요구한다면 혹시 개인정보를 침해하는 기능은 없는지 의심해 볼 필요가 있다.
위치, 카메라, 마이크 권한은 악용했을 때 심각한 개인정보 침해 사고를 초래할 가능성이 있다. 특정한 사람을 스토킹하거나 카메라나 마이크로 몰래 도청할 수 있다. 안드로이드를 개발한 구글은 이 3가지 권한을 '더 민감한 정보에 대한 접근'으로 분류했다. 이 권한들은 사용자가 조건부로 허용할 수 있다. 앱을 실행할 때마다 일시적으로 권한을 허용하거나, 앱을 직접 사용하고 있을 때만 접근이 가능하도록 제한하는 옵션이 있다.
무차별적인 앱 권한 요구, 구글은 이렇게 막는다
안드로이드 앱을 개발할 땐 앱에 어떤 권한이 필요할지 미리 정해야 한다. 권한을 얻지 못하면 관련 기능을 실행할 때 오류가 발생한다. 따라서 앱 개발자는 자신의 앱이 제 기능을 하려면 어떤 권한이 필요한지 숙지해야 한다.
하지만 일반 사용자가 모든 권한 종류와 목적을 숙지하기는 어렵다. 자칫하면 개발자에게 속아 넘어가 불필요한 권한을 허용하고 개인정보를 뺏길 가능성이 있다. 앱 개발자가 어떤 권한이 필요할지 몰라 모든 권한을 무작정 요구할 가능성도 있다. 사용자 입장에서는 앱이 개인정보를 무단으로 유출하지 않을까 걱정할 만하다.
구글은 앱 개발자가 권한을 무차별적으로 요청하거나 소비자를 속이지 못하도록 가이드라인을 마련했다. 어떤 기능을 사용하기 위해 필요한 권한인지, 거부하면 어떤 기능이 정상적으로 작동하지 않는지 투명하게 안내해야 한다. 또한 권한을 허용할지 결정할 권리는 사용자에게 있으며 앱이 임의로 권한을 허용하는 건 불가능하다.
한편 구글은 앱을 최초로 실행할 때 바로 모든 권한을 요구하기보다는 해당 권한이 필요할 때 요구할 것을 권장한다. 예를 들어 녹음 앱을 실행할 때 바로 마이크 권한을 요청하는 게 아니라, 처음으로 녹음 버튼을 눌렀을 때 요청하는 식이다. 사용자가 앱 기능을 일부만 사용할 때 불필요한 권한이 한꺼번에 허용되는 것을 예방할 수 있다.
앱이 카메라나 마이크 기능을 사용할 땐 관련 권한이 허용된 상태라도 사용자에게 알려야 한다. 안드로이드 12 이상 운영체제가 설치된 스마트폰에서는 카메라나 마이크를 사용하는 앱이 있을 때 화면 오른쪽 상단에 초록색 아이콘이 나타난다. 만약 카메라나 마이크를 쓸 일이 없는데 아이콘이 보인다면 이를 터치해 어떤 앱이 사용하고 있는지 확인해 보자.
구글이 안전장치를 마련해도 기능과 무관한 권한을 요구하는 앱이 하나도 없을 것이라 장담하긴 어렵다. 구글은 플레이스토어에 게시된 앱의 기능과 요구 권한을 분석해, 기능과 관련 없는 권한을 과도하게 요구하는 앱은 정기적으로 삭제하고 있다고 밝혔다.
정리해 보면, 플레이스토어에 오랫동안 게시된 앱은 대부분 부당한 권한을 요구하지 않는다고 봐도 무방하다. 정말 필요해서 요청하는 권한일까 싶어도 알고 보면 다 이유가 있는 셈이다. 구글 가이드라인에 따라 개발한 앱은 권한 요청 사유까지 공개하므로 믿을 만하다. 단, 플레이스토어에 있는 앱이 모두 안전하다고 볼 수는 없다. 게시한 지 얼마 지나지 않은 앱이나 사용자 수가 너무 적은 앱, 별점이 낮은 앱은 주의를 기울일 필요가 있다.
한 번 허용한 권한 다시 회수하려면?
권한을 허용한 뒤 관련 기능을 쓸 일이 없어져 권한을 회수하고 싶어질 때도 있다. 예를 들어 금융 앱으로 계좌를 개설할 때는 신분증을 촬영해 본인 인증을 해야 하므로 카메라 접근 권한이 필요하다. 하지만 인증을 마친 뒤에는 금융 앱으로 사진을 찍을 일이 없다. 이 경우에는 카메라 권한을 회수해도 앱을 사용하는 데 영향이 없다.
스마트폰 설정에서 [보안 및 개인정보 보호] > [권한 관리자]에 들어가면 주요 권한이 어떤 앱에 허용됐는지 확인할 수 있다. 앱에서 더는 필요 없다고 판단되는 권한이 있다면 이 페이지에서 회수할 수 있다. [보안 및 개인정보 보호] > [추가 개인정보 제어] 항목에서는 모든 앱의 카메라와 마이크 접근을 제한할 수 있다. 보안이 필요한 장소에서 일시적으로 카메라와 마이크 접근을 제한하면 중요한 정보가 유출되는 걸 막을 수 있다.
테크플러스 이병찬 기자 (tech-plus@naver.com)