[네이버 테크리더] 이진규 CPO "정보통신망법 '앱 접근권한' 규제 없애야"

이진규 네이버 개인정보보호책임자가 작년 10월 개인정보보호위원회 개인정보보호법 해설서 온라인설명회에 참석해 발언하고 있다. [사진=개인정보보호위원회 유튜브 갈무리]

모바일 앱의 개인정보 처리 기능에 관여하는 정보통신망법의 '앱 접근권한' 규정이 정보주체의 개인정보를 보호하는 데 직접적인 실익이 없고, 서비스 제공자에게 법을 준수할 수 있게끔 명확한 기준선을 제시하지 않아 혼란만 초래하고 있다. 지난해 '데이터3법' 개정에 따라 타 법의 개인정보보호 관련 주요 규정이 개인정보보호법의 특례규정으로 이동한 가운데, 시대 흐름과 맞지 않는 정보통신망법상의 앱 접근권한 규정은 폐지하는 게 바람직하다는 지적이 나온다.

네이버의 개인정보보호책임자(CPO) 업무를 수행하고 있는 이진규 이사는 최근 발간된 '한국인터넷진흥원(KISA) 리포트' 제8호의 개인정보보호 분야 이슈를 다룬 글 '모바일 앱 접근권한(app permission) 규정의 개선에 대하여'를 통해 이같이 주장했다. 그는 이 글을 통해 앱 접근권한에 대한 일반적인 개념을 소개하고, 현행 정보통신망법에 포함돼 있는 우리나라의 앱 접근권한 규제의 특징과 이로 인해 서비스제공 현장에서 맞닥뜨리는 실무적인 문제점을 짚고, 폐지해야 한다고 결론내렸다.

스마트폰 같은 모바일기기에서 앱이 개발자의 의도대로 작동하려면, 기기에 저장된 이용자의 '데이터'에 접근하거나 기기에 내장된 '기능'을 활용할 수 있어야 한다. 이때 앱이 접근하게 되는 이용자의 데이터는 단순한 OS 설정값보다는 잠재적으로 개인정보를 포함할 가능성이 많은 문서, 이미지, 음성, 영상 등 파일의 비중이 크다. 앱이 접근하려고 하는 기능도 카메라·마이크·GPS 등 개인정보와 위치정보를 수집·생성할 수 있는 장치일 경우가 많다.

앱 접근권한은 바로 이런 스마트폰의 데이터와 기능에 앱이 접근하도록 허용할지 차단할지를 시스템과 기기 수준에서 통제하는 수단이다. 이 이사는 "통상적으로 앱 접근권한 유형은 프라이버시에 영향을 미칠 수 있는 기능에 관한 것이 대다수"라면서 "예를 들면 카메라나 마이크와 같은 하드웨어의 기능에 접근하는 것을 통제하고 규율하는 것이 앱 접근권한이고, 앱 접근권한은 또한 기기의 저장소나 주소록, 이용자의 위치 등과 같은 개인정보에 대한 접근도 통제하고 규율한다"라고 설명했다.

관련기사

• 시흥도시공사, 개인정보보호 위한 안심 파쇄 서비스 확대 운영
• 삼성전자, 개인정보보호 투자 1위…삼성SDS·LGU+도 크게 늘려

이 이사는 "모바일 OS는 프라이버시를 보호하기 위한 고유의 앱 접근권한 체계를 운영하고 있으며 OS를 판올림 할 때마다 접근권한 체계를 강화해왔다"라면서 "그런데 모바일 OS를 제공하는 기업의 접근권한 체계와 별도로 우리나라의 정보통신망법은 접근권한의 설정 및 동의 등에 관한 규정을 가지고 있다"고 지적했다. 그는 "OS의 판올림이 지속적으로 발생하는 반면 법은 한 번 만들어진 이후 환경의 변화를 받아들여 업그레이드되기까지 상당한 시간이 소요된다"고 덧붙였다.
 

이진규 네이버 개인정보보호책임자가 제시한 국내 안드로이드 버전별 시장점유율 추이(2017.7~2021.7). 앱 접근권한 규제가 생길 때 중점 고려된 안드로이드 6.0 미만 버전의 비중이 희박하다. [자료=KISA 보고서]

정보통신망법의 앱 접근권한 규정은 지난 2016년 3월 신설된 제22조의2(접근권한에 대한 동의)에 있다. 이 조의 제1항은 앱이 이용자의 기기에 저장된 정보나 설치된 기능에 접근할 수 있는 권한을 반드시 요구하는지 또는 선택적으로 요구하는지 구분해, 이용자에게 일정한 사항을 알리고 이용자의 동의를 받을 의무를 앱 개발·제공 사업자에게 지운다. 같은 조 제2항은 1항의 선택적으로 요구되는 접근권한에 이용자가 동의하지 않아도 해당 서비스의 제공을 거부하면 안 된다고 규정한다.

이 법 시행령 제9조의2(접근권한의 범위 등)는 이용자의 동의를 반드시 받아야 하는 접근권한의 범위, 모바일 OS의 접근권한 체계에 따른 동의 방식, 필수적 접근권한을 판단하는 기준, 법 제22조의2 제3항에 따른 이용자 정보보호를 위해 필요한 조치 등의 내용을 다룬다. 작년 8월 개정된 이 조항은 앱 개발·제공 사업자가 접근권한이 필수적인지 선택적인지 판단할 때 서비스의 범위, 서비스에 대한 이용자의 합리적인 예상 가능성, 서비스와 접근권한의 기술적 관련성을 고려해야 한다고 요구한다.

정부는 이 같은 정보통신망법의 요구사항을 앱 개발 현장에서 적용할 수 있도록 지난 2017년 3월 방송통신위원회·행정자치부·KISA의 이름으로 '스마트폰 앱 접근권한 개인정보보호 안내서'를 발간했다. 이 안내서는 앱에 '런타임 권한(runtime permission, 잠재적으로 민감해 접근이 제한된 데이터에 접근하거나 다른 앱과 시스템에 큰 영향을 주는 제한 작업을 실행할 수 있는 권한)' 모델이 제공되지 않던 구글 안드로이드 6.0 미만 버전의 기기가 쓰일 당시의 상황만을 반영하고 있다.

시행령 제9조의2가 요구하는 필수적·선택적 접근권한을 판단할 기준이 모호하다는 지적이 제기된다. 4년 전 안내서는 사업자가 이용약관, 개인정보처리방침, 접근권한 고지시 별도 안내한 내용을 기초로 서비스 범위를 판단하고, 이용자가 합리적으로 예상할 수 있고 사업자가 이를 제공하기 위해 기술적으로 관련성이 있는 접근권한을 '필수 접근권한'으로 판단하라는 설명을 제시한다. 하지만 이 내용은 시행령의 기준을 동어 반복하는 수준에 불과해, 앱 개발 현장에서 가이드 역할을 못 하는 것으로 파악됐다.

이 이사는 "앱 개발 현장에선 해당 접근권한을 선언하지 않으면 개발자가 의도한 기능이 제대로 동작하지 않는 경우를 필수적 접근권한으로 판단하는 것이 관행인데, 이는 시행령의 구분 기준과 일치하지 않는다"라며 "내비게이션 앱 서비스가 카메라 기능에 접근해 방문지 사진을 지인과 공유하는 기능을 추가하려고 할 때, 이용자가 내비게이션 앱의 카메라 접근을 합리적으로 예상할 가능성이 낮기 때문에 카메라 접근권한을 필수적 접근권한으로 선언해선 안 된다는 것이 시행령의 요구사항"이라고 설명했다.

이어서 그는 "신규로 내비게이션 앱 시장에 진입하는 사업자가 소셜 요소를 앱의 핵심기능으로 제공하려면 카메라 접근권한과 지인과의 방문지 공유기능이 필수적이라 할 것임에도, 이용자의 합리적 예상 가능성이 낮기 때문에 카메라 접근권한을 선택적 접근권한으로 선언해야 하는 상황에 몰리게 된다"라며 "결국 이용자의 앱 접근권한 동의율은 낮아질 수밖에 없고 이로 인해 다른 내비게이션 앱과의 차별성을 잃고 경쟁력을 상실하게 될 것"이라고 지적했다.

또 그는 "안내서의 서비스와 접근권한의 '기술적 관련성 등'에 대한 설명은 더 혼란스럽다"라며 "서비스 제공에 반드시 필요한 접근권한이라는 요건과 해당 서비스와의 기술적 관련성의 존재 요건 등을 충족해야 이 기준에 맞다는 것인데, 바꿔 말하면 '해당 접근권한을 선언하지 않는 경우 앱이 정상적으로 작동하지 않아야 한다는 것'과 다름없다"라고 짚었다. 그는 "이 표현상 문제로 실무에선 해당 권한이 선언되지 않으면 앱이 정상 구동하지 않을 때의 권한을 필수적 권한이라고 생각하게 된 것"이라고 꼬집었다.
 

이진규 네이버 개인정보보호책임자가 안드로이드 6.0 이상의 기기에서 구현되는 앱 접근권한 모델과 일부 하위 유형을 설명한 표. [자료=KISA 보고서]

이 이사는 "(시행령에) '기능적'이라는 표현이 들어갔더라면 플래시 앱이 주소록에 접근하는 것과 같은 비기능적 앱 접근권한 요청을 차단할 수 있겠지만 '기술적'이라는 표현은 아무런 실효적 의미를 나타내지 못한다는 점에서 매우 아쉽다"라며 "이런 기준 외에도 '… 기술적 관련성 등'이라 하여 여타 요소까지 종합 고려해 필수적·선택적 접근권한을 구분해 서비스 제공자가 자체 판단을 하라는 것은 특정 접근권한이 필수적인지 판단할 기준선(threshold) 제시가 없어 현장의 혼란을 가중시킨다"라고 덧붙였다.

앱 접근권한 규제는 태생부터 시장·산업과는 동떨어져 있었다. 이 규제는 iOS의 존재를 무시한 채 안드로이드 6.0 미만 버전에서 유일한 권한관리 체계인 '설치시점 권한(앱이 설치될 때 위험한 권한을 모두 허용하는 방식)' 모델만을 고려했다. 이 이사에 따르면 제도화가 논의될 때 안드로이드 6.0과 7.0 버전 점유율이 이미 60%를 넘고 7.0 버전 비중이 급증세여서 산업계는 이 규정이 곧 불필요해질 것이란 우려를 제기했음에도, 이 규제가 결국 만들어져 실효성이 더욱 없어진 지금도 남아 있다고 비판했다.

애플은 정보통신망법에 앱 접근권한 규제가 마련되기 훨씬 전에 런타임 접근권한 체계를 완성시켰고 구글도 애플을 따라 안드로이드 6.0 이후 런타임 접근권한을 기본 적용했다. 지난 7월 발표된 iOS 15는 설치된 앱이 활용한 데이터를 보고서 형식으로 보여 주고 다양한 앱 통제 기능을 제공한다. 올해 발표된 안드로이드 12도 유사한 기능을 제공한다. 이 이사는 "모바일 OS 제공 기업은 앱 접근권한 체계에 대한 통제를 강화해 …(중략)… 최소한의 법적 요구사항을 뛰어넘은 지 오래"라고 봤다.

이 이사는 "(최신 OS의) 모바일 앱 접근권한 체계는 직관적이며 이용자 예측에 부합하고, 접근 정보와 기능을 세분화했고, 언제라도 철회 등 통제가 가능하며, 앱 사용 기록에 따라 자동보호 기능까지 더해졌다"라고 소개했다. 또 "안드로이드 6.0 미만 버전 이용자를 현실에서 거의 찾아볼 수 없어 과거의 규제는 더 이상 의미가 없다"라며 "결국 정보통신망법상의 접근권한 규제를 개선하는 유일한 방법은 관련 법, 시행령 규정을 일체 폐기하는 것"이라고 주장했다.

그는 정보통신망법을 담당하는 방송통신위원회를 향해 "모바일 OS 제공 사업자가 최신 버전에 적용한 접근권한 향상 기능을 각 사업자가 교차적으로 채택할 수 있도록 적절히 의사소통해 '정책적 넛지'를 주는 것과 이용자들이 이런 기능을 잘 사용할 수 있도록 보편적 교육의 기회를 마련할 것"을 제안했다. 또 "시대의 흐름이 명확한 지점에 자판기식 규제를 들이밀어 현장에서의 혼란을 가중시키는 것을 자제"하고 "사업자들과의 소통을 확대하며 정보주체에 필요한 정보를 적시에 제공할 것"을 당부했다.
 

최신 iOS 환경에서 앱이 사진 데이터에 접근할 때 특정 사진에만 접근을 허용할 수 있는 설정 화면(왼쪽)과 안드로이드 11 버전부터 적용된 일회성 접근권한 허용 동작 예시 화면. [자료=KISA 보고서]