SKT, GPS 기반 위치정보 파악 소프트웨어 설치…개인정보 노출 위험…스마트폰 보안 또 논란

제3자가 악성코드 심으면 악용할 수도
SKT "GPS좌표 수집 않도록 SW 수정"

SK텔레콤에서 개통한 스마트폰 일부 기종에 사용자의 상세 위치정보인 위성 위치정보 시스템(GPS) 좌표를 알 수 있는 소프트웨어가 깔려 있는 것으로 나타났다.

정보보안 관련 업체인 라온시큐어(옛 테라움)는 SK텔레콤이 사용자 위치정보를 암호 형태로 수집하는 소프트웨어를 삼성전자 등 국내 스마트폰 제조사의 일부 기종에 설치해 놓은 것을 발견했다고 13일 밝혔다.

○스마트폰 출시 때 기본 탑재

라온시큐어는 삼성전자의 ‘갤럭시노트’와 ‘갤럭시S2 HD LTE’에서 이 소프트웨어를 처음 발견했다. SK텔레콤은 LG전자 팬택 등 다른 제조사들이 내놓은 기종에도 동일한 소프트웨어를 설치했다.

모듈(독립 소프트웨어)로 설치된 이 소프트웨어는 △GPS 좌표 △스마트폰 주변 네트워크 정보 △기지국 정보 등을 실시간으로 파악할 수 있다. 스마트폰 출시 과정에서 기본으로 탑재하는 소프트웨어인 데다 바탕화면에 따로 아이콘이 없기 때문에 사용자는 소프트웨어 존재 자체를 알 수 없다.

라온시큐어 보안기술연구팀은 모바일 관련 보안 취약점을 연구하던 중 이 사실을 알아냈다. 연구팀 관계자는 “소프트웨어 모듈 형태를 분석한 결과 제조사가 아니라 SK텔레콤 측에서 넣었다는 사실을 알았다”고 설명했다. KT, LG유플러스 등 다른 통신사에서 개통한 스마트폰 기종에서도 이와 같거나 비슷한 소프트웨어가 깔려 있는지는 알려지지 않았다.

○SKT “통화 품질 개선 위한 것”

SK텔레콤 측은 이에 대해 “통신망 품질을 개선하는 데 필요한 기지국 정보를 빨리 알아내기 위해 설치한 소프트웨어”라며 “통화를 신속하게 할 수 있도록 지원하기 위해 넣었을 뿐 외부로 유출하거나 다른 목적으로 사용하지 않았다”고 설명했다. 이 소프트웨어를 통해 사용자의 위치정보를 파악해 서버에 저장하고 있지도 않다고 덧붙였다.

SK텔레콤 관계자는 “서비스 제공을 위한 위치정보 수집에 동의하는 조건을 약관에 반영했기 때문에 문제가 없다”고 말했다.

SK텔레콤은 그러나 개인의 GPS 좌표까지 알 수 있는 프로그램을 집어 넣은 것에 대해서는 “우리도 과도하다고 판단해 앞으로 개통하는 단말기에 대해서는 (GPS 파악 기능을) 삭제하기로 했다”고 밝혔다.

○고객정보 수집은 고객 동의 필요

이동통신 서비스에 가입하려면 고객이 반드시 위치정보 제공 항목에 동의해야 한다. 고객이 동의하지 않으면 스마트폰을 팔지 않는다. 위치정보 제공 여부에 대해 소비자가 결정할 수 있는 권리는 사실상 없는 셈이다.

방송통신위원회 관계자는 “통화 품질을 개선하기 위해 사용자 위치정보를 파악할 수 있다는 내용이 약관에 들어 있더라도 사용자가 이 사실을 모르고 있으면 문제가 될 수 있다”며 “별도의 동의를 받아야 한다”고 말했다.
위치정보를 포함한 개인정보는 누군가 악의적으로 이용할 가능성이 있기 때문에 세계적으로 관리를 강화하는 추세다. 지난해 12월 미국에서는 1억5000여만대의 스마트폰에 개인정보를 의도적으로 유출하는 소프트웨어가 사전 탑재됐다는 사실이 알려져 파문이 일기도 했다. 조사 결과 스프린트, AT&T, T모바일 등 미국 통신사들이 HTC를 비롯해 애플 삼성전자 모토로라 등에 요구해 탑재한 앱으로 밝혀졌다.

당시 통신사들은 서비스 품질을 개선하기 위해 탑재했으며 개인정보를 이용하지 않았다고 해명했지만 이후 미국 연방수사국(FBI) 등에 정보를 제공한 것으로 드러나면서 논란이 확산됐다.

올해 1월 미국 하원에는 휴대폰에 위치 추적 소프트웨어를 설치할 때 미리 공지하도록 하는 법안이 제출됐다. 삼성전자 등은 이 건으로 미국 현지에서 소송 중에 있다.

김보영 기자 wing@hankyung.com

■ 위성 위치정보 시스템

GPS·global positioning system. 인공위성을 이용해 개인의 위치를 정확히 알 수 있는 시스템. 위도·경도·고도 등 위치와 관련한 정보뿐만 아니라 이동속도와 시간까지도 파악할 수 있다.