이진규 (lee.david@navercorp.com)

네이버주식회사 개인정보보호책임자 (이사)

들어가며

방송통신위원회가 올해 2월에 발표한 <2020년 방송매체 이용행태조사>에 따르면 개인매체로서의 스마트폰 보유율은 93.1%에 달했고, 주 5일 이상 스마트폰을 사용하는 비율은 90.2%로 TV(77.1%), 데스크톱/노트북(31.6%), 라디오(9.4%), 신문(2.4%)등 여타 매체 이용 빈도를 크게 따돌렸다. 일상에서 스마트폰을 필수적인 매체로 생각하는 비율도 67.2%로, 2위인 TV(29.5%)를 2배 이상 따돌렸다. 10대와 20대가 스마트폰을 필수 매체로 인식하는 비율은 각 96.2%와 91.6%로 “스마트폰 없이는 생활이 불가능한” 세대라는 표현이 무색하기도 하다.⁽¹⁾

스마트폰이 매체로서 이용자에게 소구(訴求)하는 지점은 여러 곳이 있겠으나, 기존의 매체와 달리 다양한 모바일 어플리케이션(이하 “모바일 앱”)을 이용자가 선택적으로 설치하고 이의 활용을 통해 자신의 필요를 보다 능동적으로 충족할 수 있게 되었기 때문이라는 점을 부정하긴 어렵다. 모바일 앱은 기존의 웹 서비스가 제공하지 못했던 다양한 기능을 제공(예: 자동차 내비게이션, 동작 인식 기반 게임, 증강현실(AR) 기반 가구 배치 등)하여 보다 높은 사용성을 보장하며, 스마트폰이 기존의 매체와는 달리 ‘스마트한 매체’로서 기능할 수 있게 한다. Android OS 기반의 스마트폰에 모바일 앱을 제공하는 세계 최고의 앱 장터인 Google Play에는 2021년 1분기 기준으로 약 348만개의 앱이 등록되어 있으며, IOS 기반의 스마트폰에 모바일 앱을 제공하는 앱 장터인 Apple App Store에는 약 222만 개의 앱이 등록되어 있다.⁽²⁾

모바일 앱이 스마트폰에서 개발자가 의도한 기능을 제대로 발휘하기 위해선 스마트폰에 저장된 이용자의 정보(data)에 접근하거나, 스마트폰에 내장되어 있는 기능(function)을 활용할 수 있어야 하는데 이를 가능하게 하는 것이 바로 앱 접근권한(app permission)이다. 앱 접근권한은 특정 시스템 및 기기 레벨에서의 기능에 대한 접근을 소프트웨어 기반으로 통제하고 규율하는 수단인데, 통상적으로 앱 접근권한 유형은 프라이버시에 영향을 미칠 수 있는 기능에 관한 것이 대다수다. 예를 들면, 카메라나 마이크와 같은 하드웨어의 기능에 접근하는 것을 통제하고 규율하는 것이 바로 앱 접근권한이다. 또한, 앱 접근권한은 기기의 저장소나 주소록, 이용자의 위치 등과 같은 개인정보에 대한 접근도 통제하고 규율한다.⁽³⁾

앱 접근권한의 다수 유형이 이용자 프라이버시와 밀접한 관계가 있기 때문에, 모바일 운영체제(mobile OS)는 프라이버시를 보호하기 위한 고유의 앱 접근권한 체계를 운영하고 있으며, 운영체제를 판올림 할 때마다 접근권한 체계를 강화해왔다. 대표적으로, Android는 버전 6.0(Marshmallow)부터 앱이 특정 권한을 필요로 할 때, 해당 권한에 대한 개별 승인을 받도록 하는 ‘런타임 권한(run-time permission)’을 도입했다. 그런데, 모바일 운영체제를 제공하는 기업의 접근권한 체계와 별도로 우리나라의 정보통신망법은 접근권한의 설정 및 동의 등에 관한 규정을 가지고 있다. 모바일 운영체제의 판올림이 지속적으로 발생하는 반면, 법은 한번 만들어진 이후 환경의 변화를 받아들여 업그레이드되기까지 상당한 시간이 소요된다. 이와 같은 현상으로 인해 발생하는 이용자의 앱 사용성 저하, 앱 개발자들이 모바일 운영체제의 접근권한에 관한 요구사항을 적용하는 과정에서 법의 요구사항과 일치하지 않는 지점에서 겪는 혼란 등으로 인해 오히려 앱 이용 및 개발 환경이 복잡해지기도 한다.

이 글은 앱 접근권한에 대한 일반적 설명을 제시하고, 우리나라 앱 접근권한에 관한 규제를 살펴보고 난 후, 이를 어떻게 개선해야 할 것인지의 순서로 작성되었다.

모바일 앱 접근권한의 이해 (Android 앱 접근권한을 중심으로)

앱 접근권한은 앱 샌드박스(app sandbox)를 넘어 잠재적으로 민감한 정보에 대한 접근(access)을 승인하기 위해 사용된다.⁽⁴⁾ 앱 접근권한은 ▲앱의 기능을 강화하고 ▲투명성을 확대하며 ▲데이터를 최소한으로 처리할 수 있게 한다. 이와 같은 접근권한은 크게 ①설치 시간 권한(install-time permissions)과 ②런타임 권한(run-time permissions, 또는 “위험한 권한”이라고도 함)으로 분류할 수 있다. 설치 시간 권한은 앱이 설치되는 시점에 자동으로 부여되는 권한인데, 이를 이용하는 경우 제한된 데이터에 제한적으로 접근하고 시스템이나 다른 앱에 최소한의 영향을 미치는 “제한된 작업”을 실행할 수 있게 된다. 이러한 설치 시간 권한에는 ③일반 권한(normal permissions)과 ④서명 권한(signature permissions)이 포함된다. 일반 권한은 앱의 샌드박스를 넘어서 데이터와 액션에 대한 접근을 승인하는데, 이 경우 데이터와 액션은 이용자의 프라이버시 및 다른 앱의 운영에 위험을 거의 야기하지 않는다. 서명 권한은 다소 복잡한데, i) 다른 앱이 정의한 서명 권한을 특정한 앱이 선언하고, ii) 이 두개의 앱이 동일한 인증서(certificate)에 의해 서명된 조건에서 시스템은 인스톨 시에 해당 권한을 첫번째 앱에 부여하는데, 이러한 방식으로 부여된 권한을 서명 권한이라 한다. ⑤특별 권한(special permissions)은 플랫폼과 OEM만이 정의할 수 있는 런타임 권한인데, “다른 앱 위에 그리기”와 같이 매우 강력한 액션에 대한 접근을 보호하고 싶을 때 특별 권한을 선언하게 된다.⁽⁵⁾

상기의 접근 권한 유형을 표로 정리하면 다음과 같다. (단, 아래 표에 제시된 ‘하위 유형’은 ‘접근권한 유형’ 전체를 의미하지 않는다. 이를테면, 런타임 권한에는 여러 런타임 권한 유형이 존재하며, 특별 권한은 그러한 권한 유형 가운데 하나일 뿐이다.)

그러나, 앱이 일부 데이터나 작업에 접근하는 경우에는 앱 접근권한의 선언 없이도 정보를 가져오거나 작업을 실행할 수 있다. 예를 들어, 사진 찍기, 미디어 재생 일시 중지, 관련 광고 표시 등은 접근권한 선언 없이도 할 수 있는 작업에 해당한다. 그러나, 앱이 특정한 이용 사례(use case)를 충족하기 위해 제한된 데이터나 기능에 접근해야 하는 경우, 적절한 접근권한을 선언하지 않으면 의도한 결과를 구현할 수 없다. 앱 접근권한을 선언할 때에는 다음의 순서를 따르게 된다. (편의상 해당 순서도[그림 2]의 넘버링을 따라 설명을 제시한다.)

우선 개발자는 앱 접근권한의 선언 없이도 필요한 기능을 제공할 수 있는지 검토하게 된다. 만약 접근권한 선언 없이도 필요한 기능과 데이터에 접근이 가능한 경우라면 별도의 앱 접근권한 선언 없이 앱을 개발하면 된다(그림 1 à 2a à 종결). 그런데, 특정한 기능을 제공하기 위해 앱의 접근권한 선언이 반드시 필요하다고 판단하는 경우, 앱 개발자는 앱의 manifest file에 접근권한을 반영하여 저장하면 된다(1 à 2b). 선언한 앱 접근권한이 만약 설치 시간 권한인 경우, 별도의 조치를 취하지 않아도 된다(2b à 3 à 종결). 만약 선언하는 앱 접근권한이 런타임 접근권한인 경우, 해당 기능 실행 시에 이용자에게 권한에 대한 승인을 요청하고, 이용자가 이를 검토하여 승인한 경우에만 해당 기능을 제공할 수 있다(2b à 3 à 4 à 종결).

이와 관련하여 한 가지 명확한 이해가 필요한 지점이 있는데, “앱 접근권한의 선언과 개인정보 처리는 별개”라는 점이다. 즉, 앱 접근권한을 선언하였다고 하여, 해당 접근권한을 통해 접근하는 개인정보의 처리에 대해 이용자의 동의를 구하지 않아도 되는 것은 아니다. 접근권한은 OS가 소프트웨어적으로 제공하는 데이터 및 기능의 접근에 대한 통제 방식이고, 개인정보에 대한 동의는 개인정보 처리가 발생하는 경우 법에 따라 요구되는 법적 의무이기 때문이다. 우리나라에선 앱 접근권한에 대해선 정보통신망법이, 개인정보에 대한 동의는 개인정보보호법이 각각 규율하고 있다.

우리나라 정보통신망법의 앱 접근권한 관련 법규 및 개인정보보호 안내서

우리 정보통신망법은 지난 2016년 3월, 제22조의2(접근권한에 대한 동의)에 모바일 앱 접근권한에 대한 규정을 도입했다. 이후 데이터3법 개정을 통해 정보통신망법의 개인정보 관련 규정이 일체 개인정보보호법상의 특례규정으로 이동하였으나, 접근권한에 대한 규정은 여전히 정보통신망법에 남아있는 상태다. 앱 접근권한은 개인정보의 처리뿐만 아니라 앱의 기능에도 관여하기 때문에 데이터 3법 개정에도 불구하고 관련 규정이 정보통신망법에 잔류하게 된 것으로 추정이 된다.

<정보통신망 이용촉진 및 정보보호 등에 관한 법률>제22조의2(접근권한에 대한 동의) ① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 “접근권한”이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다. 1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우 가. 접근권한이 필요한 정보 및 기능의 항목 나. 접근권한이 필요한 이유 2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우 가. 접근권한이 필요한 정보 및 기능의 항목 나. 접근권한이 필요한 이유 다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실 ② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.   ③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.   ④ 방송통신위원회는 해당 서비스의 접근권한의 설정이 제1항부터 제3항까지의 규정에 따라 이루어졌는지 여부에 대하여 실태조사를 실시할 수 있다. <신설 2018. 6. 12.>   ⑤ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다. <개정 2018. 6. 12.>[본조신설 2016. 3. 22.]

우선 법 제22조의2 제1항은 정보통신서비스 제공자로 하여금 이용자의 이동통신단말장치 내에 저장되어 있는 정보나 설치된 기능에 접근할 수 있는 권한(=접근권한)이 필요한 경우, (1) 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우(“필수적 접근권한”), (2) 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우(“선택적 접근권한”)로 구분하여 일정한 사항을 알리고 이용자의 동의를 받도록 하는 의무를 규정한다. (1), (2)의 경우 공통적으로 접근권한이 필요한 정보 및 기능의 항목, 접근권한이 필요한 이유를 알리고 동의를 받아야 하는데, (2)의 경우에는 여기에 더하여 ‘접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실’을 추가로 알려야 한다. 참고로, 여기에서의 정보통신서비스 제공자는 앱을 개발하여 제공하는 사업자에 해당한다.

또한, 같은 조 제2항은 정보통신서비스 제공자로 하여금 선택적 접근권한에 이용자가 동의하지 않는 경우라 할지라도 해당 서비스의 제공을 거부하지 못하도록 하는 요구를 규정한다. 아울러 같은 조 제3항은 ▲모바일 OS 공급자 ▲이동통신단말장치 제조업자 ▲이동통신단말장치의 OS 제공 사업자 등이 각 접근권한에 대한 이용자의 동의 및 철회 방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하도록 하는 의무를 규정한다. 같은 조 제4항은 제1항부터 제3항의 규정에 관하여 실태조사를 실시할 수 있는 방송통신위원회의 권한을, 제5항은 접근권한의 범위, 동의 방법, 제3항에 따른 이용자 정보보호를 위해 필요한 조치 및 그 밖에 필요한 사항을 대통령령으로 정한다는 것을 규정한다.

<정보통신망법 시행령>제9조의2(접근권한의 범위 등) ① 정보통신서비스 제공자가 법 제22조의2제1항에 따라 이용자의 동의를 받아야 하는 경우는 이동통신단말장치의 소프트웨어를 통하여 다음 각 호의 정보와 기능에 대하여 접근할 수 있는 권한(이하 이 조에서 “접근권한”이라 한다)이 필요한 경우로 한다. 다만, 이동통신단말장치의 제조ㆍ공급 과정에서 설치된 소프트웨어가 통신, 촬영, 영상ㆍ음악의 재생 등 이동통신단말장치의 본질적인 기능을 수행하기 위하여 접근하는 정보와 기능은 제외한다. 1. 연락처, 일정, 영상, 통신내용, 바이오정보(지문, 홍채, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보를 말한다. 이하 같다) 등 이용자가 이동통신단말장치에 저장한 정보 2. 위치정보, 통신기록, 인증정보, 신체활동기록 등 이동통신단말장치의 이용과정에서 자동으로 저장된 정보 3. 「전기통신사업법」 제60조의2제1항에 따른 고유한 국제 식별번호 등 이동통신단말장치의 식별을 위하여 부여된 고유정보 4. 촬영, 음성인식, 바이오정보및 건강정보 감지센서 등 입력 및 출력 기능   ② 정보통신서비스 제공자는 이동통신단말장치의 소프트웨어를 설치 또는 실행하는 과정에서 소프트웨어 안내정보 화면 또는 별도 화면 등에 표시하는 방법으로 이용자에게 법 제22조의2제1항 각 호의 사항을 알리고, 다음 각 호의 구분에 따라 이용자의동의를 받아야 한다. 1. 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말하며, 이하 “운영체제”라 한다)가 이용자가 접근권한에 대한 동의 여부를 개별적으로 선택할 수 있는 운영체제인 경우: 법 제22조의2제1항제1호 및 제2호에 따른 접근권한을 구분하여 알린 후 접근권한이 설정된 정보와 기능에 최초로 접근할 때 이용자가 동의 여부를 선택하도록 하는 방법 2. 이동통신단말장치의 운영체제가 이용자가 접근권한에 대한 동의 여부를 개별적으로 선택할 수 없는 운영체제인 경우: 법 제22조의2제1항제1호에 따른 접근권한만을 설정하여 알린 후 소프트웨어를 설치할 때 이용자가 동의 여부를 선택하도록 하는 방법 3. 제1호 또는 제2호의 운영체제에 해당함에도 불구하고 제1호 또는 제2호의 방법이 불가능한 경우: 제1호 또는 제2호의 방법과 유사한 방법으로서 이용자에게 동의 내용을 명확하게 인지할 수 있도록 알리고 이용자가 동의 여부를 선택하도록 하는 방법   ③ 법 제22조의2제1항에 따라 이용자의 동의를 받아야 하는 사항이 같은 항 제1호 또는 제2호에 따른 접근권한 중 어느 것에 해당하는지 여부를 판단할 때에는 이용약관, 「개인정보 보호법」 제30조제1항에 따른 개인정보처리방침 또는 별도 안내 등을 통하여 공개된 정보통신서비스의 범위와 실제 제공 여부, 해당 정보통신서비스에 대한 이용자의 합리적 예상 가능성 및 해당 정보통신서비스와 접근권한의 기술적 관련성 등을 고려하여야 한다. <개정 2020. 8. 4.>   ④ 이동통신단말장치의 운영체제를 제작하여 공급하는 자, 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 법 제22조의2제3항에 따른 이용자 정보 보호를 위하여 다음 각 호의 구분에 따라 필요한 조치를 하여야 한다. 1. 이동통신단말장치의 운영체제를 제작하여 공급하는 자: 정보통신서비스 제공자가 제2항 각 호의 구분에 따른 방법으로 동의를 받을 수 있는 기능과 이용자가 동의를 철회할 수 있는 기능이 구현되어 있는 운영체제를 제작하여 공급하고, 운영체제에서 설정하고 있는 접근권한 운영 기준을 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자가 이해하기 쉽도록 마련하여 공개할 것 2. 이동통신단말장치 제조업자: 제1호에 따른 동의 및 철회 기능이 구현되어 있는 운영체제를 이동통신단말장치에 설치할 것 3. 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자: 제1호 및 제2호에 따른 조치를 한 운영체제와 이동통신단말장치에 맞는 동의 및 철회방법을 소프트웨어에 구현할 것[본조신설 2017. 3. 22.]

또한, 앱 접근권한에 관한 내용을 규정하는 정보통신망법 시행령 제9조의2(접근권한의 범위 등)는 동의를 반드시 받아야 하는 접근권한의 범위(제1항), 모바일 운영체제의 접근권한 체계에 따른 동의 방식(제2항), 필수적/선택적 접근권한 판단의 기준(제3항), 법 제22조의2 제3항에 따른 이용자 정보보호를 위해 필요한 조치(제4항) 등의 내용을 규정한다.

이와 같은 앱 접근권한에 관한 법의 요구사항을 현장에서 적절히 적용할 수 있도록 정부는 <스마트폰 앱 접근권한 개인정보보호 안내서(방송통신위원회, 행정자치부, 한국인터넷진흥원, 2017. 3.)>을 발간한 바 있다(이하, “앱 접근권한 안내서”). 해당 안내서는 방송통신위원회가 ‘15년 8월에 제정하여 시행한 <스마트폰 앱 개인정보보호 가이드라인>을 대체한 것으로 ▲앱 서비스 제공자가 앱을 통해 스마트폰 내의 정보 및 기능에 어떻게 접근하여 활용하고 있는지 잘 알지 못하고 ▲설혹 알고 있더라도 접근권한 동의를 거부할 경우 앱 자체를 이용할 수 없어 부득이하게 접근권한을 어용하고 있으며 ▲과거 앱 접근권한을 과도하게 설정하여 이용자 개인정보가 유출되거나 사회적으로 논란이 된 사례(예: 손전등 앱의 개인정보 접근을 통한 위치정보 및 일정 수집, 안전사고 신고 공공 앱의 통화 기록 접근권한 요구 등) 등을 발간 배경으로 설명한다.

앱 접근권한 안내서는 본문의 상당 부분을 “개별 동의 선택이 불가능한 방식의 운영체제”인 Google의 Android 6.0 미만 버전(Android Lollipop 및 그 이전 버전)에서의 고지 및 동의 방식에 대해 다루고 있는데, 이는 런타임 권한이 제공되지 않았던 모바일 OS 버전이 설치된 스마트폰 등 이동통신단말장치가 비교적 적잖게 사용되었던 2017년 당시 상황을 반영한 것이다.

현행 법규정(안내서 포함)의 여러 문제점

1. 필수적/선택적 접근권한 판단 기준의 모호함

정보통신망법 시행령 제9조의2 제3항은 필수적/선택적 접근권한을 판단할 수 있는 기준을 제시한다. 해당조항은 ①이용약관, 개인정보처리방침 또는 별도 안내 등을 통하여 공개된 정보통신서비스의 범위와 실제 제공 여부, ②해당 정보통신서비스에 대한 이용자의 합리적 예상 가능성, ③해당 정보통신서비스와 접근권한의 기술적 관련성 등을 고려하여야 한다고 기준을 제시하고 있다.

이와 같은 기준을 어떻게 해석해야 할 것인지에 대해 명확한 가이드는 없는 것과 다름없는 상황이다. 앱 접근권한 안내서는 이에 관해 아래와 같은 설명을 제시하고 있으나, 시행령의 기준을 동어 반복하는 수준이라서 앱 개발 현장에서는 실질적인 가이드로 기능하지 못한다는 지적을 받고 있다.

<앱 접근권한 안내서의 “필수적/선택적 접근권한 판단기준” 설명>   ① 이용약관, 개인정보처리방침 또는 별도 안내 등을 통해 공개된 해당 서비스의 범위와 실제 제공 여부 – 앱 서비스 제공자가 서비스의 범위를 정하여 이용자에게 공개한 이용약관, 개인정보처리방침, 접근권한 고지 시 별도 안내한 내용 등을 기초로 해당 정보통신서비스의 범위를 판단하되 – 실제 제공하지 않는 서비스는 해당 서비스의 범위에서 제외 ② 해당 서비스에 대한 이용자의 합리적 예상 가능성 – 통상적인 이용자가 합리적으로 예상할 수 있는 정보통신서비스의 범위를 벗어난 경우에는 설령 앱 서비스 제공자가 서비스의 범위를 정하여 공개하고 있다고 하더라도 해당 서비스의 범위에서 제외 ③ 해당 서비스와 접근권한의 기술적 관련성 – 해당 정보통신서비스를 제공하기 위하여 반드시 필요한 접근권한으로서 해당 서비스와의 기술적 관련성이 존재해야 함

실제 앱 개발 현장에선 “해당 접근권한을 선언하지 않는 경우, 앱이 정상적으로 구동하지 않는 경우(=앱 개발자가 의도한 기능이 제대로 동작하지 않는 경우)”를 필수적 접근권한으로 판단하는 것이 관행이다. 그러나, 이와 같은 관행은 법 시행령에 제시된 필수적/선택적 접근권한 구분 기준과는 일치하지 않는다. 이를테면, 해당 앱 서비스에 대한 이용자의 합리적 예상 가능성이 낮은 경우의 앱 접근권한에 해당하면 비록 앱 구동 여부와는 무관하게 해당 앱 접근권한을 선택적 접근권한으로 선언해야 한다는 것이다. 내비게이션 앱 서비스가 카메라에 접근하여 도착지 사진을 지인들과 공유하는 기능을 신규로 추가하는 상황을 가정해보면, 이용자가 내비게이션 앱이 카메라에 접근할 것이라는 합리적 예상 가능성이 낮기 때문에 카메라 접근권한을 필수적 접근권한으로 선언해서는 안 된다는 것이 법 시행령의 요구사항이다. 그러나, 신규로 내비게이션 앱 시장에 진입하는 사업자가 “소셜 요소(social element)”를 앱의 핵심 기능으로 제공하기 위해선 카메라에 대한 접근 및 지인들과의 방문지 공유 기능이 필수적이라 할 것임에도, 이용자의 합리적 예상 가능성이 낮기 때문에 카메라 권한을 선택적 접근권한으로 선언해야 하는 상황에 몰리게 된다. 결국 이용자의 앱 접근권한 동의율은 낮아질 수 밖에 없으며, 이로 인해 다른 내비게이션 앱과의 차별성을 잃고, 경쟁력을 상실하게 될 것이다.

특히, 마지막 기준인 “③해당 정보통신서비스와 접근권한의 기술적 관련성 등”에 대한 안내서의 설명은 더욱 혼란스럽다. 해당 정보통신서비스를 제공하기 위하여 반드시 필요한 접근권한이라는 요건과 해당 서비스와의 기술적 관련성의 존재 요건 등 2개의 요건을 충족해야 ③의 해당 기준에 부합한다는 것인데, 이를 바꾸어 말하면 “해당 접근권한을 선언하지 않는 경우 앱이 정상적으로 작동하지 않아야 한다는 것”과 다름없다. 이 기준의 표현상 문제로 인해 실무에서는 ‘해당 접근권한이 선언되지 않으면, 앱이 정상적으로 구동하지 않을 때’의 앱 접근권한을 필수적 접근권한이라고 생각하게 된 것이다. 여러 기준을 종합적으로 판단하도록 한 취지가 현장에서 무용지물이 된 배경이라 할 수 있다. 아울러 서비스와 접근권한 사이에 기술적 관련성이 없는 것은 실제 서비스에서 동작하지 않는 접근권한을 사전에 설정하지 못하도록 하는 것 외에 아무런 실효가 없는 요건이라 할 것이다. ‘기술적’이라는 표현 대신 ‘기능적’이라는 표현이 들어갔더라면, 플래시앱이 주소록에 접근하는 것과 같은 비기능적 앱 접근권한 요청을 차단할 수 있을 것이지만, ‘기술적’이라는 표현은 아무런 실효적 의미를 나타내지 못한다는 점에서 매우 아쉽다.

가장 문제가 되는 것은 이러한 세가지 기준 외에도 “… 기술적 관련성 등”이라 하여, 여타 요소들까지 종합적으로 고려하여 필수적/선택적 접근권한을 구분하여 정보통신서비스 제공자로 하여금 자체적으로 판단을 하라는 것인데, 특정한 접근권한이 필수적 접근권한에 해당하는지를 판단할 수 있는 기준선(threshold)의 제시가 없기 때문에 현장에선 오히려 혼란만 가중시키는 상황이다.

2. 모바일 OS 점유율의 변화

우리나라 모바일 및 태블릿 시장에서 안드로이드 버전 별 시장 점유율은 신규 버전의 등장에 따라 매번 큰 변화를 경험한다. Google이 새로운 Android OS Version을 내놓는 경우, 0.5~1년의 단기간 내에 점유율이 정점에 도달하고, 이후 차세대 판올림이 발생하면 기존의 OS Version은 급격히 쇠락한다. 신규 기기를 적극적으로 사용하는 이용자 특성을 반영한 결과로 이해된다. 아래는 국내에서의 Android 버전 별 시장 점유율의 변화 추이를 보여준다.⁽⁶⁾

2021년 7월 기준으로 살펴본 국내 모바일 및 태블릿 시장의 안드로이드 버전 별 시장 점유율은 아래 그림과 같다. 이를 모두 종합해보면, 런타임 접근권한이 적용된 Android OS 버전(Android 6.0 이상)의 총 시장 점유율은 97.91%에 달한다는 사실을 알 수 있다. 오직 2.09%의 Android OS 기반 모바일 및 태블릿 기기만이 설치 시간 접근권한이 적용된 Android 6.0 미만의 운영체제를 사용하고 있는 것이다.

이미 시장에선 설치 시간 접근권한이 적용된 버전의 OS를 거의 찾아볼 수 없어 이에 관한 규정을 여전히 유지하고 있는 정보통신망법의 앱 접근권한 규정이 “시대와 동떨어진” 내용을 담고 있다는 지적이 제시될 수 밖에 없는 것이다. 정보통신망법상 앱 접근권한 규제가 만들어졌던 시점에도 이미 Android 6.0과 7.0 버전의 점유율이 60%를 넘었던 점과, 신규 버전인 7.0이 급격히 증가하고 있었던 점에 비추어 산업계가 설치 시간 접근권한 동의에 관한 규정이 단시일 내에 불필요하게 될 우려를 적극 제시했음에도, 해당 규정이 만들어진 이래 현재까지 실효성 없는 규제로 정보통신망법의 한 자리를 차지하고 있는 것이다.

참고로, iOS는 정보통신망법에 앱 접근권한 규제가 도입되던 이전부터 이미 런타임 접근권한 체계가 완성되어 있던 상황이라 설치 시간 접근권한에 관한 규정은 전적으로 Android OS만을 염두에 둔 반쪽짜리 규정이었다.

3. OS 제공 기업의 접근권한 체계 통제 강화

iOS, Android를 제공하는 Apple과 Google은 앱 접근권한 체계에 대한 통제를 지속적으로 강화해왔다. Apple은 우리나라 정보통신망법에 앱 접근권한 규제가 마련되기 훨씬 전에 일찌감치 런타임 접근권한 체계를 완성시켰고, Google도 Apple을 따라 Android 6.0 이후로는 런타임 접근권한을 기본으로 적용했다.

Apple은 iOS 13(’19. 6월 공개)에서 위치 권한에 대한 ‘한번 허용’ 옵션을 선택하는 경우 이용자의 위치를 앱과 1회적으로 공유할 수 있게 조치하였다. 또한, 백 그라운드 추적 알림 기능을 적용하여 앱이 사용자의 위치를 백그라운드에서 사용하는 경우 사용자에게 적극적으로 알리는 기능도 추가했다. iOS 14(’20. 9월 공개)는 이용자들로 하여금 앱에 오직 ‘대략적 위치(approximate location)’만을 공개하여, 위치정보와 관련한 이용자의 통제권을 향상시키는 동시에 프라이버시 보호를 강화하였고, 앱이 사진에 접근하는 경우 사진첩 전체가 아닌 특정 사진에 대해서만 접근하도록 하는 세밀한 접근권한(granular permission) 체계를 적용하였다. iOS 14.5(’21. 4월 공개)에서 Apple은 App Tracking Transparency(ATT)를 전격 도입하여 이용자의 활동을 여러 앱에 걸쳐 추적하는 행위에 대해 반드시 사전 동의를 받도록 하였다. 아울러, 적용이 예정된 iOS 15(’21. 7월 발표)에선 App Privacy Report를 적용한다고 밝혔는데, 이용자는 자신의 iOS 기반 기기에 설치된 앱이 지난 7일 동안 어떤 데이터에 접근하여 활용했는지를 보고서 형식으로 간략히 살펴볼 수 있게 되었다. 또한, 이에 기반한 다양한 앱 통제 기능을 제공한다.

Google은 Android 6.0(Marshmallow)에 이르러 기존의 설치 시간 접근권한 체계에서 런타임 접근권한 체계로 전환을 했다. Android 10(’19. 9월 공개)은 이용자의 화면에 노출된 콘텐츠에 접근하는 경우, 반드시 서명 권한을 취득하도록 강제했다. 또한, Android 5.1 이하 버전을 타게팅 하는 앱으로 하여금 이용자에게 접근 권한 화면을 노출하여 접근권한을 개별적으로 제어할 수 있도록 조치했다. 이로 인해 실질적으로 설치 시간 접근권한이 사라진 것과 동일한 효과가 발생한 것이다. 또한, 이용자의 신체 활동이 개시되었음을 식별할 수 있도록 ‘신체 활동 인식(physical activity recognition)’ 접근권한을 추가했다. 민감한 신체 활동 정보에 직접 접근하지 않고, 활동의 개시만을 확인할 수 있게 한 것이다. Android 11(’20. 9월 공개)에 이르러서는 앱이 위치, 마이크 또는 카메라와 관련된 권한을 요청할 때마다 사용자에게 표시되는 권한 대화상자에 “이번만 허용(Only this time)”이라는 옵션을 포함하여, 임시 일회성 권한을 앱에 부여하도록 하기도 했다. 또한, 몇 달 동안 사용되지 않는 앱의 경우 사용자가 앱에 부여한 민감한 런타임 권한을 자동으로 재설정(reset)하여 실제 사용자가 시스템 설정에서 권한을 확인하고 앱의 액세스 수준을 거부(deny)로 변경한 것과 같은 효과를 발휘하도록 하였다. 올해 발표될 예정인 Android 12는 Apple의 Privacy Report와 유사한 Privacy Dashboard를 제공하며, 대략적 위치에 대한 선택권을 제공하고, Android 11의 임시 일회성 권한을 발전시켜 앱을 아예 휴면하도록 하는 “App hibernation(앱 휴면)” 기능도 도입하기로 했다.

이와 같이 모바일 OS 제공 기업들은 모바일 앱 접근권한 체계에 대한 통제를 강화하여 보다 안전한 개인정보 처리 환경을 만들기 위해 노력하고 있다. 이와 같은 노력의 결과물들은 이미 정보통신망법이 규정하는 최소한의 법적 요구사항을 훨씬 뛰어 넘은 지 오래다. 법이 선제적인 기준을 제시하고 모바일 OS 제공 기업들이 이를 따라오면서 발전한 것이라면 모를까, 현재의 상황은 모바일 OS 제공 기업들이 발전적 방향을 제시했음에도 법이 그 실익이 불분명한 후행적 규제를 만든 것이 분명하다.

4. OS 제공 기업의 정책과 정보통신망법 규정의 불일치

앱 접근권한 가이드는 “앱 실행 시” 접근권한에 대한 이용자 동의를 받을 때에는 “이용자가 앱을 실행하여 접근권한이 설정된 정보와 기능에 최초로 접근할 때, 팝업 창 등을 통해 상기 고지 내용을 먼저 알려서 확인하게 한 후 동의 여부를 선택하도록 함”이라고 설명한다. 즉, 런타임 접근권한을 적용하여, 앱이 선언된 접근권한에 따라 관련 정보와 기능에 최초로 접근할 때 접근권한 동의창을 띄우도록 하는 것이다.

그런데, Google의 Material Design 가이드라인은 중요하고 명확한 접근권한에 대해선 앱을 설치하고 최초로 구동할 때(on first launch) 동의를 받도록 가이드를 한다. Google은 이에 대해 “왜냐하면, 이용자는 메시징 앱이 SMS 권한을 요구하는 것을 기대하므로, 이를 첫 구동 시 직접적으로 요구하는 것이 상식에 부합하기 때문이다(Only ask for critical and obvious permissions on first launch. Because users expect a messaging app to request SMS permissions, requesting it up-front makes sense.)라고 설명한다. 이용자의 인식에 부합하는 방식으로 접근권한을 제시하고 동의를 구하도록 안내하는 것이다. 이는 동의권한에 대한 이용자의 기대와도 일치하며, 앱 이용에 대한 UX를 자연스럽게 만든다.⁽⁷⁾

이는 실제 해당 정보나 기능에 대한 접근이 발생하기 이전이라도 미리 접근권한에 대한 동의를 받을 수 있다는 모바일 운영체제의 정책(여기에선 디자인 가이드)과 법의 요구사항이 일치하지 않는 지점이다. 정보통신망법이 필수적/선택적 접근권한의 판단 기준으로 제공하는 두 번째 요소인 “해당 서비스에 대한 이용자의 합리적 예상 가능성”을 모바일 OS 제공 기업은 “중요하고 명백한 사안이므로 앱 최초 구동 시, 동의를 받는 기준”으로 판단을 하고 있는 것이다. 실제 이용자가 앱을 설치하고, 최초로 구동하는 시점에 필요한 일반적 앱 접근권한에 대해 일괄 동의를 받고 있는 것이 보편화 되어 있다. 법의 요구사항보다는 모바일 OS 제공 기업의 가이드를 수용한 것이다.

또한, Android는 런타임 접근권한 동의를 받는 경우를 ‘위험한 권한(dangerous permissions)’이라 하여, Android 판올림을 할 때마다 관련 내용과 기능을 보강하고 있는데, 이미 위험한 권한으로 정의된 여러 권한들은 정보통신망법이 의무적으로 동의를 받도록 하는 모든 동의 요구를 포괄하고 있다는 점도 법이 모바일 OS 기업의 정책을 미쳐 따라가지 못하고 있는 지점이라 할 수 있다. 즉, 법 시행령 제9조의2(접근권한의 범위 등) 제1호 내지 제4호의 내용은 이미 Google과 Apple이 의무적으로 런타임 접근권한 동의를 받도록 하는 내용에 포함되고 있는 상황이라 이를 굳이 법으로 강제할 실효가 전혀 없다 할 것이다. 이 역시, 법이 기업의 정책을 변화시킨 것이 아니라, 기업의 정책을 그대로 법제화 한 것이라 후행적이라는 평가를 면할 수 없다.

5. 기타

앱 접근권한 안내서는 안내서의 적용을 받는 “이동통신단말장치(스마트폰)”를 “스마트폰 및 이동통신이 가능한 태블릿PC”라고 규정했다. 이에 대한 부연 설명으로, 2G 이동통신 단말장치의 경우, 사실상 앱이 동작할 수 있는 환경이 아니므로 적용 대상에서 제외한다고 밝혔다. 특히, 이동통신망을 활용하지 않고 단순히 블루투스, 와이파이, 테더링 등의 기능만 수행하는 기기는 적용 대상에서 제외한다고 하여 실제 이동통신망을 이용하지 않는 Wi-Fi 기반의 스마트 기기에는 정보통신망법의 접근권한 규정이 적용되지 않는다고 설명했다.

그런데, 이동통신망과 연결되지 않았다고 하여 스마트폰이나 태블릿이 앱의 기능에 있어 크게 차이가 나는 것은 아니다. 전화나 문자 수ㆍ발신의 기능은 제한되지만, 그 외의 기능은 이동통신단말장치와 전혀 차이가 없다. 현재의 법체계는 이동통신단말장치를 이용하는 이용자만 보호하고, 와이파이를 이용하여 스마트 기기를 이용하는 이용자는 법의 테두리 바깥에 두는 것이다. 누구라도 상식적으로 이해할 수 없는 법규이다. 아울러, 모바일 운영체제 제공 기업이 와이파이 기반의 단말에 적용되는 모바일 운영체제에만 별도의 차별화된 접근권한 체계를 구축하여 이용자 보호를 더 두텁게 하는 것도 아니라는 점도 정보통신망법의 규정이 얼마나 허술하게 급조된 것이며, 전혀 현실을 고려하지 못한 규제라는 것을 알 수 있다.

나가며

우리나라에 앱 접근권한에 대한 규제가 도입된 배경에는 일부 사건(날씨 앱의 주소록 접근 등)이 사회적 파장을 일으킨 것 자리잡고 있다. 이용자가 앱 접근권한을 승인하는 경우, “정보통신망법(앱 접근권한 도입 당시에는 정보통신서비스 제공자에겐 개인정보보호법에 앞서 정보통신망법이 특별법의 지위에서 우선 적용되었음)의 개인정보보호 규제에도 불구하고 이를 무시한채로 이용자의 민감한 데이터에 임의로 접근, 수집하여 목적 외로 이용할 수 있다.”는 논의에서 관련 규제가 본격 도입된 것이다. 또한, 접근권한 체계는 너무 복잡해서 이용자가 무턱대고 동의를 하기 때문에 이용자를 보호하기 위한 장치를 마련해야 한다는 논리도 동시에 작용을 했다.

그러나 동전을 넣으면 즉시 선택한 상품이 나오는 것과 유사한 방식의 소위 ‘자판기식 규제’는 시대의 흐름을 제대로 따르지 못하고, 글로벌 규제체계와 상이한 갈라파고스 규정을 양산하며, 실효성이 상실되는 경우에도 상당한 기간동안 법적 지위를 유지하여 수범자로 하여금 불필요한 규제준수 비용을 지불하게 한다.

현재의 모바일 앱 접근권한 체계는 직관적이며, 이용자 예측에 부합하고, 접근 정보와 기능을 세분화하였고, 언제라도 철회 등 통제가 가능하며, 이용자의 앱 사용 기록에 따라 자동으로 보호해주는 기능까지 더해졌다. 아울러, Android 6.0 미만 버전의 이용자는 현실에서 거의 찾아볼 수 없어, 앱 스토어에서 앱 접근권한을 노출해야 하는 과거의 규제는 더 이상 의미가 없다. Android OS나 iOS의 최신 버전에 도입된 Privacy Dashboard나 App Privacy Report는 법적 규제가 요구하는 수준보다 훨씬 높은 수준과 범주의 정보를 제공한다. 또한, 리포트 내에서 직접(또는 연계하여) 접근권한을 통제할 수 있는 기능도 제공한다.

한마디로, 기존 정보통신망법의 접근권한 규제의 의의는 앱이 설치될 때, 특정한 접근권한에 대한 동의를 받으면서 왜 해당 앱의 특정한 정보나 기능에 접근하는지를 설명하는 기능만 남아있다. 그 마저도 Android OS와 iOS는 그러한 설명을 제공하도록 앱 개발자들에게 상세히 가이드를 한다. 또한, 그러한 설명을 제대로 제공하지 않는 경우, 이용자들은 자연스레 앱의 이용을 꺼리게 되며 자동적으로 앱의 접근권한을 취소하게 된다. 이용자가 앱의 이용을 중단하면, 앱은 휴면에 돌입하고, 접근권한은 자동으로 회수가 된다. 법이 당초 규율하고자 했던 것보다 “그 이상의 것”을 모바일 운영체제 제공 사업자들이 자율적으로 제공하고 있는 것이다.

이와 같은 상황을 종합적으로 판단해 보면, 결국 정보통신망법상의 접근권한 규제를 개선하는 유일한 방법은 관련 법, 시행령 규정을 일체 폐기하는 것이다. 아울러, 방송통신위원회 등 정부 부처는 모바일 운영체제 제공 사업자가 최신 모바일 OS 버전에 적용한 접근권한 향상 기능들을 각 사업자들이 교차적으로 채택할 수 있도록 적절히 의사소통하여 ‘정책적 넛지’를 주는 것과, 이용자들이 이러한 기능을 잘 사용할 수 있도록 보편적 교육의 기회를 마련하는 것이다.

또한, 시대의 흐름이 명확한 지점에 자판기식 규제를 들이밀어 현장에서의 혼란을 가중시키는 것을 자제하는 것도 중요하다. 자율성과 창의성을 신뢰하고, 사업자들과의 소통을 확대하며, 이용자들(정보주체)에게 필요한 정보를 적시에 제공하는 것이 빠르게 변화하는 기술 영역에서의 규제 방향이 되어야 할 것이다.

본 원고는 KISA Report에서 발췌된 것으로 한국인터넷진흥원 홈페이지(https://www.kisa.or.kr/public/library/IS_List.jsp)에서도 확인하실 수 있습니다.

KISA Report에 실린 내용은 필자의 개인적 견해이므로, 한국인터넷진흥원의 공식 견해와 다를 수 있습니다.

KISA Report의 내용은 무단 전재를 금하며, 가공 또는 인용할 경우 반드시 [한국인터넷진흥원, KISA Report]라고 출처를 밝혀주시기 바랍니다.