해외 스파이 SDK, 중국 사용자 개인정보 불법 탈취

용어 사전:
SDK는 English Software Development Kit의 약자로, 소프트웨어 개발 도구 키트(Software Development Tool Kit)로 다양한 종류가 있습니다. 소프트웨어 시스템 개발을 "침실 3개와 거실 1개"가 있는 집을 짓는 것에 비유한다면, 다양한 SDK는 "거실", "침실", "욕실", "주방"과 같은 집의 기능 모듈입니다. 이 집을 짓기 위해서는 "벽돌 쌓기"와 "벽 쌓기"부터 시작하는 대신 다양한 공급업체로부터 이 기능 모듈을 선택하고 조립하기만 하면 되므로 소프트웨어 개발 효율성이 크게 향상됩니다.

모바일 애플리케이션의 인기로 인해 우리는 소프트웨어 개발 키트(SDK)에 점점 더 의존하고 있지만 SDK와 관련된 데이터 위험에도 직면하고 있습니다. 일부 SDK는 서비스 제공과 무관한 개인정보를 포함한 사용자 데이터를 과도하게 수집할 수 있으며, 심지어 지리적 위치, 통화 기록, 앨범 사진 등 불필요한 권한에 대한 접근을 강제할 수도 있고, 사진 촬영, 녹음 등의 기능을 가지고 있을 수도 있습니다. 이러한 SDK는 대량의 데이터를 수집함으로써 다양한 사용자 그룹을 프로파일링하고 동료 관계, 부서 위치, 행동 습관 등과 같은 잠재적으로 유용한 정보를 분석할 수 있습니다. 일부 해외 SDK 서비스 제공업체는 무료 서비스를 제공하거나 개발자에게 데이터 획득 비용을 지불합니다. 예를 들어, 미국에서 애플리케이션의 일일 활성 사용자가 50,000명인 경우 개발자는 월 $1,500를 벌 수 있으며 그 대가로 SDK 서비스 제공자는 애플리케이션에서 사용자 위치 데이터를 수집할 수 있습니다.

또한 해외 정보기관에서도 SDK를 중요한 데이터 수집 채널로 활용하고 있습니다. 보고서에 따르면 미국 특수작전사령부는 미국 SDK 서비스 제공업체인 Anomaly Six로부터 '상용 원격 측정 데이터 소스'에 대한 액세스 서비스를 구매했습니다. 서비스 제공업체에 따르면 전 세계 500개 이상의 애플리케이션에 SDK 소프트웨어를 내장했으며 약 30억 대의 휴대폰 위치 정보를 모니터링할 수 있다고 합니다. 또한 2022년 4월 관련 언론에서는 파나마 회사가 전 세계 애플리케이션 개발자에게 비용을 지불하고 데이터를 수집하여 SDK 코드를 수백만 대의 모바일 기기에 비밀리에 통합했다는 사실을 폭로했습니다. 이 회사는 미국 정보 기관에 사이버 정보 수집과 같은 서비스를 제공하는 방산업체와 긴밀한 관계를 맺고 있습니다.

국내 권위기관에 따르면 2022년 12월 현재 우리나라의 10만개 헤드 애플리케이션 중 해외 SDK를 사용한 샘플이 23,000개 이상 검출됐고, 해외 SDK 애플리케이션을 사용하는 국내 단말기는 약 3억8천만 개에 이른다. 이에 대해 어떻게 해야 할까요?

SDK 이면의 데이터 위험을 처리하기 위해 당사는 다음과 같은 조치를 취할 수 있습니다.

앱 개발 비즈니스의 경우:

적법성과 신뢰성을 보장하기 위해 등록 및 인증된 SDK를 선택해보세요.
해외 SDK를 도입하기 전, 보안 테스트 및 위험성 평가를 실시하여 사용자 데이터에 위험을 초래하지 않는지 확인하세요.
SDK의 개인 정보 보호 정책을 심층적으로 이해하고 해당 정책이 애플리케이션의 개인 정보 보호 정책과 일치하는지 확인하세요.
SDK의 데모 예시와 APP 테스트 환경을 활용해 SDK 선언 내용과 실제 동작의 일관성을 비교하고, SDK의 비정상적인 동작을 지속적으로 모니터링하세요.

개인 사용자의 경우:

개인정보 보호의식과 안전한 사용능력을 향상시킵니다.
애플리케이션을 다운로드하고 사용하려면 안전하고 신뢰할 수 있는 채널을 선택하고, 출처를 알 수 없는 애플리케이션을 설치하지 마세요.
민감한 권한을 맹목적으로 부여하지 마십시오. 특히 SDK 애플리케이션이 애플리케이션 기능과 관련이 없음을 발견한 경우에는 매우 주의해야 합니다.
위 내용은 SDK 데이터 위험에 대한 대응으로, 적절한 예방조치를 취함으로써 사용자 데이터의 보안과 개인정보를 더 잘 보호할 수 있습니다.

참조: https://mp.weixin.qq.com/s/xq_0nAxzuZ4t0HLXLy8BEg