휴대전화 고유 식별번호까지 수집해
2일(현지시간) 월스트리트저널은 영국 모바일 보안 업체인 업스트림시스템의 조사 결과를 인용해 날씨 앱 ‘웨더 포캐스트(Weather Forecast)가 스마트폰 이용자의 위치 정보와 이메일 주소, 휴대전화 고유 식별번호(IMEI)까지 수집한다고 보도했다.
해당 정보들은 웨더 포캐스트를 만든 중국 선전의 TCL커뮤니케이션테크놀로지홀딩스(이하 TCL)로 전송된다. TCL은 알카텔과 블랙베리 브랜드 등의 휴대전화를 만드는 제조사이기도 하다.
미국 모바일 보안 회사인 완데라의 마이클 코빙턴 부회장은 “많은 유명 스마트폰 앱들이 다양한 정보를 모으고 날씨 앱들은 특히 이용자의 위치 정보를 요구하지만 TCL의 앱은 평균적인 수준보다 훨씬 더 많은 정보를 수집한다”고 말했다. 이어 “그런 (날씨 정보 제공이 목적인) 평범한 앱이 이용자를 식별 가능한 수준의 고급 정보를 필요로 하는지 정말 의문”이라며 “나는 그 앱을 설치하지 않을 것”이라고 지적했다.
특히 업스트림시스템은 TCL이 웨더 포캐스트를 통해 이용자 몰래 유료 가상현실(VR) 서비스에 가입하게 하는 시도도 했다고 설명했다. 브라질과 말레이시아, 나이지리아 등에서 저렴한 알카텔 스마트폰을 사용하는 10만 명 이상의 이용자가 자신도 모르는 사이 가상현실 서비스에 돈을 지불하고 있었던 것이다. 업스트림시스템은 이러한 시도를 차단하지 못한 이용자들이 지금까지 총 150만 달러(약 17억 원)를 지불했을 것으로 추산했다.
WSJ는 지난해 11월 이 사실이 처음 알려진 후 TCL이 구글 플레이스토어에서 앱을 업데이트하면서 유료 서비스 가입 조치는 멈췄지만 여전히 과도하게 정보를 계속 수집하고 있다고 전했다. 특히 웨더 포캐스트는 이미 전 세계에서 가장 많이 이용되는 앱 중 하나여서 이러한 정보수집 논란은 더욱 확산될 것으로 보인다.
모바일앱 분석회사인 앱애니에 따르면 웨더 포캐스트는 TCL이 2016년 배포한 후 1000만 회 이상 다운로드 됐고 30개 국가에서 날씨 앱 순위 상위 5위 안에 든다. 올해에는 영국과 캐나다에서 가장 많이 다운로드 된 날씨 앱 6위를 기록했다. 특히 브라질과 멕시코, 필리핀에서는 가장 인기있는 앱으로 꼽힌다.
TCL 대변인은 “다양한 보안 가이드라인을 적용하고 있으며 앱의 안전성을 확인해줄 만한 보안 전문가를 기용해 새로운 기준을 세우고 있다”고 말했다. 그러나 유로 서비스 가입 시도에 대해서는 언급하지 않았다.
웨더 포캐스트는 구글의 모바일 운영체제(OS)인 안드로이드용으로 설계됐고 애플 운영체제인 iOS 버전은 없다. 구글 대변인은 개별 앱에 대해서는 코멘트하지 않는다고 밝혔다.