큰사진보기
▲  사진은 아이폰4가 KT를 통해 국내 출시된 지난해 9월 10일 오전 서울 광화문 KT사옥 올레스퀘어에서 예약가입자들이 아이폰4를 만져보고 있다.
ⓒ 유성호	관련사진보기

애플과 구글의 스마트폰 '위치정보 저장' 위법성을 인정하는 정부 판단이 한국에서 처음 나왔다.

방송통신위원회는 3일 오후 전체회의를 열어 애플코리아가 사용자 동의 없이 위치 정보를 수집했다며 과태료 300만 원을 부과했다. 아울러 애플코리아와 구글코리아가 위치정보를 스마트폰에 암호화 없이 저장한 행위에 대해서 시정을 요구했다.

애플 '위치정보 수집' 첫 제재... "이용자 동의 무시"

지난 4월 애플과 구글의 스마트폰 '위치정보 수집' 논란이 불거진 뒤 미국 연방통신위원회(FCC)를 비롯해 독일, 이탈리아, 프랑스 등 세계 각국에서 조사에 들어갔지만 정부 차원에서 위법성을 인정한 건 이번이 처음이다.

다만 이번 제재는 애플과 구글이 사용자 스마트폰 안에 '위치정보 캐시(빠른 위치파악을 위해 일시 저장하는 위치정보)'를 저장하는 과정에서 발생한 문제에 국한됐다. 방통위는 양사를 직접 방문해 서버에 위치정보를 수집하고 보관, 이용하는 과정에서 사생활 침해 가능성 있는 개인 식별 정보가 있었는지, 보호 조치가 충분한지 살폈지만 위법성을 찾아내지 못했다.

지난 7월 6일부터 8일까지 미국에 있는 애플과 구글 본사를 조사하고 돌아온 김광수 방통위 개인정보보호윤리과장은 "단말기 주변 기지국과 와이파이 AP의 위치 값을 개인 식별하지 않는 형태로 수집하고 위치정보 수집, 이용, 제공 등에 대해 동의를 받는 것을 확인했다"고 밝혔다.

"위치서비스 껐는데도 위치정보 수집한 건 위법"

이번에 방통위가 문제 삼은 건 크게 2가지다. 우선 애플에서도 이미 버그라고 인정하고 지난 5월 수정한 아이폰 내 위치정보 저장이 위치정보법 제15조에서 규정한 '사용자 동의 없는 위치정보 수집'에 해당되는지와 단말기에 저장된 '위치정보 캐시'가 같은 법 제16조에 규정한 '암호화' 대상인지 여부였다.

애플의 경우 지난해 6월 22일부터 올해 5월 4일까지 10개월간 특수 앱을 설치한 일부 아이폰에서 위치서비스를 '끔'으로 설정해도 주변 기지국과 AP 위치를 전송했다.

김광수 과장은 "단말기에 위치 정보가 저장되는 것 자체가 불법은 아니다"면서도 "애플은 10개월 동안 위치정보를 꺼 사용자가 동의를 철회했는데도 캐시에 저장돼 사업자 DB로 보냈기 때문에 위반 가능성이 있다는 것"이라고 밝혔다.

위치정보법 제15조 1항에는 "누구든지 개인 또는 소유자의 동의를 얻지 아니하고 당해 개인 또는 이동성이 있는 물건의 위치정보를 수집 이용 또는 제공하여서는 아니된다"라고 규정돼 있고 결국 애플에겐 이날 300만 원의 과태료가 부과됐다.

반면 구글은 이용자가 '무선 네트워크 사용'을 해제하면 위치정보 수집 동의를 철회할 수 있고, 이때 위치정보도 구글 서버로 전송되지 않은 게 확인돼 처벌을 피했다.

큰사진보기
▲  석제범 방통위 네트워크정책국장이 3일 오후 방통위 기자실에서 구글-애플 위치정보 위반 행위 제재 결과를 발표하고 있다.
ⓒ 김시연	관련사진보기

"서버뿐 아니라 단말기 내 위치 정보도 '암호화' 대상"

같은 기간 아이폰에 일시 저장돼야 할 '위치정보 캐시'가 삭제되지 않고 계속 저장된 것도 문제가 됐다. 애플도 당시 위치 서비스를 꺼도 위치정보가 10개월 넘게 보관된 것은 '버그'라며 지난 5월 4일 소프트웨어 업데이트를 통해 7일이 넘은 위치정보 캐시는 삭제되도록 고쳤다.

하지만 위치정보 캐시를 단말기에 저장하면서 암호화되지 않아 분실이나 해킹시 쉽게 노출될 수 있는 환경에 놓여 있었다는 것이다. 구글은 7일 정도 위치정보값만 단말기에 캐시 형태로 저장됐지만 역시 암호화되진 않았다. 위치정보법 법 제16조 1항에는 "위치정보사업자에게 위치정보의 누출, 변조, 훼손 등을 방지하기 위해 방화벽의 설치나 암호화 소프트웨어 활용 등의 기술적 조치를 해야 한다"고 규정돼 있다.

이를 어길 경우 1~3개월 이하의 사업정지나 위치정보사업 매출액의 1/200~3/200 과징금을 부과할 수 있다. 사업 정지시 이용자 피해가 커 과징금을 부과해야 하나 애플과 구글은 위치정보사업 매출이 없어 시정 요구에 그쳤다.

이에 구글과 애플은 휴대폰으로 수집한 정보는 단말기 위치가 아닌 기지국이나 와이파이 AP여서 이동성이 없어 위치정보로 볼 수 없다고 반박했다. 또 위치정보보호법에서 요구하는 기술적 보호 조치는 서버에 해당하는 것이지 단말기 자체는 대상이 아니고, 단말기 자체에 암호 설정 기능과 하드웨어 보호 기능 등으로 충분히 보호할 수 있다고 주장했다.

이에 김광수 과장은 "AP나 기지국은 고정돼 있지만 법 의미상 기지국 위치로 이동성 있는 단말기 위치 추정이 가능하다"면서 "말장난에 지나지 않는다"고 일축했다.

또 단말기는 암호화 조치 대상이 아니라는 주장에 대해서도 김 과장은 "위치정보보호법이 5~6년 전에 제정될 당시 스마트폰이 없어 입법자가 이런 기술 방식을 예상할 수 없었다"면서 "법 조항이 이용자 프라이버시를 보호하라는 차원에서 만든 것이어서 서버와 동일한 위치정보가 저장된 단말기도 최대한 보호하라는 조치로 해석된다"고 밝혔다.

김 과장은 "입법적 흠결이 있는 건 사실이지만 미비한 부분을 개선하는 입법 작업도 진행할 계획"이라면서 "현재 양사 모두 단말기 위치정보 암호화를 안 하고 있지만 올해 하반기 OS(운영체제)를 업데이트하면서 암호화할 계획이라고 알고 있다"고 밝혔다.

애플 "단말기 저장 문제 안돼"... 애플 소송 영향 관심

애플은 이날 방통위 발표에 대해 "애플은 귀하의 아이폰 위치를 추적하고 있지 않다, 지금까지 그렇게 한 적도 없으며 앞으로도 그런 계획도 없다"는 짤막한 공식 입장을 내놨다. 이는 지난 4월 말 질의 응답식으로 배포한 공식 자료와 동일한 내용이다.

애플코리아 홍보팀 관계자는 <오마이뉴스>와 전화 통화에서 "위치정보 캐시를 사용자 단말기에 1년 가까이 보관한 것은 버그라고 이미 밝혔다"면서 "위치정보를 애플 서버로 고의적으로 가져가 저장했다면 문제겠지만 자기 단말기에 있는 건 문제 될 게 없다"고 밝혔다.

이번 제재 결과가 최근 애플 상대로 진행되는 위자료 청구 집단소송에도 영향을 미칠지 관심이다. 법무법인 미래로에서 지난달 31일 마감한 1차 집단소송인단에는 2만7800여 명이 참여했다. 다만 방통위에서 위법성을 인정했다 해도 재판 과정에서 애플 쪽의 고의성이나 구체적 피해를 입증해야 하기 때문에 승소 여부는 불투명하다.

석제범 방통위 네트워크정책국장은 "위법을 판단하긴 했지만 집단소송에서 위법과 피해의 인과관계는 사법부에서 판단할 문제"라고 말을 아꼈다. 다만 석 국장은 "이번 문제가 된 위법 행위로 인한 가입자 실제 피해 사례가 있는지 찾아봤지만 위원회에 신고된 건 전혀 없고 여러 경로로 인지된 건 없었다"고 밝혔다.