스마트폰을 사용하는 사람의 위치정보가 새나간다. 애플의 ‘아이폰’과 구글의 스마트폰 운영체제 ‘안드로이드’를 사용하는 사람의 위치정보가 스마트폰과 컴퓨터에 암호화되지 않은 채 저장된다는 사실이 밝혀졌다. 새나간 위치정보는 사생활 침해, 범죄에 악용될 소지가 있다. 위치정보는 어떻게 알아내며, 어떻게 대처해야 할까.
아이폰 트래커는 휴대전화 사용자가 다닌 곳과 빈도를 지도에 색원으로 표현한다. 큰 원이 자주 다닌 곳이다.
지난 4월 20일 미국 캘리포니아 산타클라라에서 열린 위치기반서비스 컨퍼런스 ‘Where 2.0’에서 영국의 프로그래머 알래스데어 앨런과 피트 워든은 애플의 아이폰이 사용자의 위치정보를 수집하고 있다는 충격적인 사실을 알렸다. 그들은 ‘아이폰 트래커(iPhone tracker)’라는 프로그램을 통해 1년 동안 사용자들이 다닌 위치정보가 고스란히 아이폰과 아이폰에 동기화된 컴퓨터에 저장되고 있다고 밝혔다.IT전문리서치기업인 ‘가트너’는 2012년 가장 각광받을 모바일 서비스로 모바일 송금 서비스와 위치기반서비스를 선정했다. 위치기반서비스는 모바일 기기의 위치정보를 수집 또는 이용하거나 위치정보와 관련된 모든 유형의 서비스를 통칭한다. 기존 인터넷서비스와 다르게 모바일 기기에 최적화됐다는 특징을 갖고 있다.
스마트폰 이용자에게 맛집, 병원 등의 위치를 알려주거나 버스 정류장에서 도착 예정인 버스 정보를 제공하기도 한다.
친구나 연인의 위치를 확인하는 서비스, 조깅을 하거나 자전거를 타고 지나간 위치를 지도에 표시하는 서비스, 사진을 촬영한 위치를 지도 위에 표시해주는 서비스도 있다. 장애인이나 긴급 상황에 처한 사람의 위치를 확인해 긴급 구호에 활용하는 서비스도 모두 위치 기반 서비스에 해당한다.
기업 입장에서 특히 매력적인 서비스다. 야구장 같은 장소에 갔을 때. 야구 용품과 관련된 광고를 보여주거나 근처 맛집 등을 소개해주는 서비스 등은 수익으로 연결되기 때 문이다.
위치정보를 인식하는 3가지 방법
그렇다면 스마트폰에서는 어떻게 위치정보를 인식할까. 스마트폰은 기본적으로 이동통신사의 기지국과 항상 연결돼 있다. 기지국정보(Cell-ID)를 이용하면 대략적인 위치정보를 쉽게 계산할 수 있다. 스마트폰이 연결된 기지국과 주변 기지국의 위치정보와 신호세기를 측정해 삼각측량방식으로 위치를 알 수 있다. 하지만 이 방법은 오차범위가 반경 300~500m로 너무 크다는 단점이 있다.
삼각측량: 삼각층량은 어떤 한 점의 좌표와 거리를 삼각형의 성질을 이용해 알아내는 방법이다. 한 점과 두 기준점을 바탕으로 사인법칙 등을 이용해 좌표와 거리를 계산한다. 스마트폰 서비스 사용자의 위치정보는 모두 삼각측량을 이용한다. 각 방식 별로 세 개 이상의 기지국, AP, 위성이 필요하다.
와이파이(Wi-Fi)로 위치정보를 인식하는 방법도 있다. 주변 Wi-Fi 무선공유기(AP)의 위치정보와 신호세기를 이용해 오차범위 30~50m의 위치정보를 계산해 낼 수 있다.
이 방식을 WPS라고 한다. WPS는 기지국정보 방식보다 정확하게 위치정보를 계산할 수 있다. 하지만 Wi-Fi AP의 위치정보를 계산한 데이터베이스 서버를 사전에 만들어 놓고 정보를 받아야 한다는 단점이 있다.
스마트폰에 내장된 GPS칩으로 위치정보를 계산할 수도 있다. GPS로는 중궤도 위성(지상 1만km 정도의 지구 궤도를 이용하는 통신 위성)을 이용해 현재 위치를 확인할 수 있다. 위치 정보가 정확한지 확인해주는 보정용 위성까지 최소 4개 이상의 위성에서 신호를 수신해 각 위성과의 거리를 계산하고, 그 거리를 이용해 삼각측량방식으로 스마트폰의 3차원 위치정보인 위도, 경도, 고도를 계산한다. GPS를 이용할 경우 5~10m의 오차 범위에서 위치정보를 계산할 수 있어 가장 정확하게 위치를 알 수 있다. 하지만 위성의 신호를 받아야 하기 때문에 실내에 있거나, 주변에 높은 빌딩, 큰 나무와 같은 장애물이 있으면 위치 확인이 어렵다. 위성에서 30초마다 보내는 신호를 받아 위치를 확인하기 때문에 시간도 오래 걸린다.
실제 스마트폰은 위치정보를 계산해내기 위해 위에서 언급한 세 가지 기술을 모두 사용한다. 스마트폰의 지도 서비스에서 현재 위치를 확인해보자. 우선 기지국 정보를 이용하여 가장 큰 원으로 위치를 대략 표시해 준 뒤, 몇 초 단위로 조금씩 그 원이 줄어드는 것을 볼 수 있다. 이 때 사용자가 GPS 신호를 받을 수 있는 공개된 곳에 있다면, GPS를 이용해 오차범위 5~10m의 상세한 위치정보를 계산해 낸다. 만약 GPS 신호를 받을 수 없지만 주변에서 Wi-Fi AP가 있고 신호를 수신하는 상태라면 오차범위 30~50m의 위치정보를 계산해 낼 수 있다. 마지막으로 기지국 외에는 어떠한 신호도 받을 수 없는 곳에 있다면 오차범위 300~500m의 위치정보를 얻을 수 있다. 이렇게 여러 가지 정보를 조합해 위치정보를 계산해 내는 방식을 A-GPS 방식이라고 한다.
애플은 왜 위치정보를 수집했을까
이제 애플이 어떻게 위치정보를 수집했으며 사용했는지를 알아보자. 2007년 처음 아이폰을 출시했을 때 애플은 ‘스카이후크’라는 통신회사에 돈을 내고 무선공유기의 위치를 제공받아 위치정보 서비스를 제공했다. 그러나 2010년 9월 애플은 스카이후크와 계약을 끝내고 독자적으로 위치정보 데이터베이스 서버를 구축했다.
애플은 전 세계의 아이폰, 아이패드 사용자로부터 Wi-Fi AP와 기지국의 위치정보를 수집해 사용자에게 위치정보 서비스를 제공하고 있다. 우선 아이폰은 주변 Wi-Fi AP 및 기지국 정보를 수집해 아이폰 내부 데이터베이스에 저장한다. 그리고 주기적으로 애플의 위치정보 서버로 수집된 정보를 암호화해 전송한다. 사용자가 지도서비스를 이용해 현재 위치를 확인하려 할 때 애플은 이미 저장하고 있는 위치정보를 이용해 위치를 표시했다. 애플은 사용자에게 정보를 제공하는 데서 그치지 않았다. 수집된 기지국과 Wi-Fi 식별정보를 애플의 위치 정보 서버로 전송해 아이폰 내 데이터베이스에 저장한 뒤 위치정보 서비스의 효율성을 높이는 데 사용했다.
그러나 이 과정에서 아이폰에 저장된 위치정보가 1년 가까지 지워지지 않고 사용자 컴퓨터에 백업할 때 암호화되지 않은 채 그대로 저장되는 문제점이 드러났다. 앞서 소개한 아이폰 트래커는 사용자 컴퓨터에 저장된 위치정보 데이터베이스 파일인 ‘consolidate.db’로부터 정보를 추출해 지도에 표시한다. 아이폰트래커를 공개한 앨런과 워든은 아이폰을 통한 사용자 개인위치정보 침해 위협을 경고한 것이다.
아이폰 뿐만 아니라 구글의 안드로이드 운영체제를 사용한 스마트폰도 같은 방식으로 위치정보를 암호화해 수집 저장하고 있다. 지난 4월 22일 미국 ‘월스트리트 저널’의 보도에 따르면 일부 안드로이드 스마트폰에서 구글의 위치정보 서버로 위치 정보를 보낼 때 스마트폰의 익명화된 ID 정보까지 전송되는 문제가 있다.
이렇게 스마트폰과 컴퓨터에 암호화되지 않은 채 저장된 위치정보는 해킹되거나 스마트폰이 분실되면 쉽게 유출될 가능성이 있다. 이를 통해 사용자의 과거 행적이 그대로 알려질 뿐 아니라, 스마트폰과 위치정보 서버 간 통신을 모니터링할 경우 사용자의 위치를 실시간으로 추적할 수 있어 심각한 사생활 침해 문제가 발생할 수 있다. 또 수집된 위치정보를 토대로 사용자가 자주 가는 장소, 행동 패턴 등을 짐작해 기업의 위치정보 기반 광고에 불법적으로 활용될 수 있으며, 각종 범죄에 악용될 수 있다.
위치정보 유출을 막는 법
그렇다면 스마트폰을 사용하는 사용자 입장에서 자신의 위치정보를 보호하기 위해서는 어떻게 해야 할까. 우선, 애플의 아이폰 및 아이패드 사용자는 아이폰의 운영체제 iOS를 위치정보 저장 버그를 해결한 최신 버전(4.3.3)으로 업데이트 해야 한다. 이번 업데이트는 위치정보서비스를 끌 때 관련된 캐시를 완전히 삭제하고, 아이폰과 컴퓨터를 연동해 주는 프로그램인 ‘아이튠즈’에 관련된 캐시를 저장하지 않도록 했다. 업데이트와 동시에 모든 위치정보가 사라지고 최장 7일 정도의 위치정보만 저장된다.
불필요한 위치정보 서비스는 차단하는 것이 좋다. 그리고 백업 파일을 통해 개인정보와 개인위치정보가 유출되는 것을 막기 위해 아이튠즈를 통해 개인 컴퓨터에 저장할 때 저장 암호화 옵션을 선택하는 것이 안전하다. 안드로이드 사용자는 시스템 설정의 검색 메뉴 또는 개인정보 메뉴로 들어가 ‘구글과 공유’ 항목 체크를 해제해 Wi-Fi 정보를 구글의 위치정보 서버로 전송하는 것을 차단하는 것이 좋다. 그리고 스마트폰에는 항상 비밀번호를 걸어두고 불필요하거나 출처가 불분명한 서비스는 가급적 사용하지 않는 것이 좋다.
◀이동훈 교수(donghlee@korea.ac.kr)고려대 정보보호대학원 교수는 미국 오클라호마대에서 전산과학으로 박사학위를 받았다. 현재 금융정보화추진협의회 자문위원, 인증방법평가위원회 위원장 등을 맡아 IT정보 보호를 위해 노력하고 있다.
