[디지털투데이 박근모 기자] 구글이 안드로이드 운영체제(OS) 탑재 모바일 기기의 사용자 위치정보를 사용자 동의 없이 수집했다는 의혹이 사실로 드러났다. 방송통신위원회는 사용자 위치정보 수집 관련 사실 관계 조사에 착수했다. 방통위 측은 국내 위치정보법 위반 사실이 확인되면 구글을 상대로 법적 대응에 나설 계획이다.
구글 측은 "셀 ID 코드 수집 한 것은 사실이나, 시스템 개선 외에 다른 용도로는 사용되지 않고 곧바로 폐기 됐다"라며 "더이상 셀ID 코드를 수집하지 않겠다"고 해명했다.
구글이 셀 ID 코드만을 수집했는지, 그 밖의 개인정보도 수집됐는지 여부가 정확히 밝혀지지 않았고, 사용자 동의, 구글 코리아의 관련성 등에 따라 대응 수위와 방법이 달라질 것으로 보여 우리 정부와 구글간 치열한 기술적·법적 공방이 이어질 전망이다.
셀 ID는 스마트폰 사용자가 주변의 가장 가까운 기지국들과의 통신을 하는 과정에서 각 기지국에 부여되는 고유한 코드 번호를 말한다. 셀 ID는 국제 표준 규격으로 정해져 있으며, 32비트(bit)로 구성된다. 셀 ID 중 특정한 자리에는 로컬 지역 번호가 기록된다. 이 로컬 지역 번호는 각 기지국의 위치를 나타낸다.
만약 스마트폰 사용자가 이동할 경우 스마트폰은 자동으로 이동 경로에 있는 가장 가까운 기지국으로부터 신호를 받게 되고, 이 기록이 누적되면 사용자의 위치정보와 이동 경로까지도 알 수 있다.
이용필 한국인터넷진흥원(KISA) 위치정보팀 팀장은 "스마트폰 사용자가 이동을 하게 되면 셀 ID가 계속 바뀌게 되는데, 바뀌는 셀 ID를 확인하면 사용자가 어디에 위치하는지 혹은 이동하는지도 확인할 수 있다"라며 "인터넷 상에는 셀 ID만 입력하면 해당 위치를 확인할 수 있는 웹사이트들도 여럿 존재한다"고 설명했다.
즉, 셀 ID만 알 수 있다면 누구라도 인터넷 웹사이트에 접속해 해당 셀 ID의 사용자가 어디에 위치하고 있는지 언제 어디서나 손쉽게 확인할 수 있다.
이같은 방법을 셀 ID 측위라고 하는데, 3곳 이상의 기지국 위치 정보와 스마트폰 사용자 정보, 여기에 신호 세기 등을 결합하면 삼각 측량을 통해서 사용자의 정확한 위치 파악이 가능하다. 현재 구글 안드로이드 OS에서 신호 세기까지 수집했는지 여부는 아직 확인되지 않았다. 물론 신호 세기 정보가 없더라도 대략적인 위치 추적은 가능하다.
국내에서는 긴급하거나 응급 상황이 발생했을 경우 경찰이나 소방서 등을 통해 법적 절차와 범위에 따라 셀 ID를 활용해 위치 추적을 하게 된다.
이용필 팀장은 "위치정보는 중요 개인정보 중 하나인데, 문제는 사용자 동의 여부와 목적 등 사실 확인이 우선되야 한다"라며 "구글이 포괄적으로 위치정보에 관한 동의를 받는 내용 중 '구글 서비스를 위해서 위치정보를 수집할 수 있습니다'라는 약관이 어느 범위까지 적용되는지가 쟁점이 될 것"이라고 설명했다.
기본적으로 구글 안드로이드 OS가 탑재된 스마트폰에는 구글 맵, 구글 스트리트 등 위치정보를 필수적으로 요구하는 애플리케이션이 존재한다. 해당 애플리케이션을 사용하기 위해서는 위치정보 동의를 반드시 해야한다. 단, 애플리케이션에서의 위치정보 수집이 아닌 이번 사례처럼 안드로이드 OS 자체적으로 사용자 동의없이 위치정보를 수집하는 것은 약관의 효력에 있어서 법률적 다툼의 여지가 있다.
방통위, 구글 위치정보 무단 수집 조사 시작
방통위에 따르면 23일 11시경 구글 코리아 측 관계자를 불러 위치정보 무단 수집과 관련해 사실확인에 나섰다.
손견우 방통위 개인정보윤리과 사무관은 "보도된 내용과 구글 입장을 종합적으로 분석해서 사실 관계를 먼저 파악한 후 조사를 진행해 나갈 계획"이라며 "기지국 정보(셀 ID)가 수집된 것으로 알려진 만큼 필요할 경우 통신사나 외부 기관에 기술적 자문을 요청하는 방식으로 진행 될 것"이라고 설명했다.
이어 "오늘 구글 코리아 관계자를 만나 사실 관계 파악을 위한 설명을 들었다"라며 "이번 한번으로 끝나는 것이 아니라 조사가 진행되면서 필요한 사항들은 추가로 구글 관계자들과 접촉하면서 자료 수집해 나갈 것"이라고 덧붙였다.
방통위에 따르면 사용자의 동의 없이 개인정보를 수집한 경우 적용되는 정보통신망법과 셀 ID 수집을 통한 위치정보 수집에 관한 위치정보법 등에 대한 위반 여부를 조사해 나갈 계획이다.
정보통신망 이용촉진 및 정보보호 등에 관한 법률(정보통신망법) 제 22조에 따르면 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우 이용자에게 동의를 받아야 한다. 또한 구글이 본사 서버로 수집한 정보가 사용자 위치정보가 맞을 경우 제63조 국외 이전 개인정보의 보호 조항에 따라 정보통신서비스 제공자등은 이용자들의 개인정보를 국외에 제공(조회)·처리위탁·보관하려면 이용자들의 동의를 받아야 한다. 특히 동의를 위해서는 이용자들에게 개인정보 항목, 이전되는 국가, 일시, 방법, 목적, 이용 기간 등을 고지해야 한다.
또한 위치정보의 보호 및 이용 등에 관한 법률(위치정보법) 제 18조에 따르면 위치정보사업자가 개인 위치정보를 수집하고자 하는 경우 이용약관을 명시한 후 개인위치정보주체의 동의를 얻어야 한다.
먼저 정보통신망법 제 22조를 위반하게 되면 위반행위와 관련한 매출액의 100분의 3 이하에 해당하는 금액을 과징금으로 부과하게 된다.
정보통신망법 제 63조의 이용자 동의를 받지 않고 국외에 개인정보를 제공한 경우 제 22조에 해당하는 과징금을 부과하게 되는데, 만약 정보통신서비스 제공자 등이 매출액 산정자료의 제출을 거부하거나 거짓 자료를 제출할 경우 비슷한 규모의 사업자의 영업현황 자료에 근거해 매출액을 추정한다.
위치정보법 제 18조를 위반했을 경우는 5년 이하의 징역 또는 5000만원 이하의 벌금에 처하게 된다.
구글 안드로이드 OS 약관에 명시된 위치정보 수집 범위의 효력이 어디까지 미칠 것인지에 대한 치열한 법적 다툼이 예상되는 부분이다.
방통위는 "추후 안드로이드 스마트폰 이용자들의 개인·위치정보가 무단으로 수집·이용됐는지 보다 면밀하게 파악할 계획"이라며 "해당 사안에 대해 미국, 유럽연합(EU), 일본 등의 조사 동향을 파악해 국제공조도 함께 진행할 예정"이라고 전했다.
구글, '빅브라더' 논란
구글의 이번 위치정보 무단 수집 논란은 처음이 아니다.
지난 2010년 구글의 인터넷 지도 서비스 '스트리트 뷰' 제작 과정에서 거리를 촬영하는 동시에 근처의 무선인터넷(Wi-Fi)망을 이용해 불특정 사용자들의 이메일 정보 등 개인정보를 무단 수집했다. 당시 우리나라 경찰은 구글 코리아 사무실을 압수 수색했지만, 이미 해당 데이터가 구글 본사로 유출되면서 결국 지난 2014년 과징금 2억1230만원을 부과하며 마무리됐다.
이 외에도 지난 2014년 전직 미국 중앙정보국(CIA)과 국가안전보장국(NSA) 요원이었던 애드워드 스노든은 구글이 가입자 개인정보를 정보기관에 제공한 사실을 공개하며 논란이 된바 있다.
또한 구글은 약관 수정을 통해 범죄 예방 등을 위해 사용자 이메일을 자동으로 분석하고 있다고 밝히면서 '빅브라더' 논란은 더욱 커졌다.
구글 코리아 측은 "안드로이드 스마트폰의 메시지 및 알림을 신속히 수신하기 위한 추가적인 신호로 올해 1월부터 셀 ID 코드를 고려했다"라며 "다만 셀 ID는 네트워크 동기화 시스템에 통합되지 않았고, 해당 데이터는 즉시 페기돼 전혀 사용되지 않았다"고 해명했다.
이어 "시스템 업데이트를 통해서 더이상 셀 ID를 요청하지 않도록 조치했다"고 덧붙였다.
구글은 셀 ID 수집 목적이 메시지 수신 속도 및 성능을 개선하기 위한 것이라고 밝혔지만, 국내 보안 업계에서는 메시지 성능 개선을 위해 위치정보 수집을 할 필요는 없는 만큼 면밀한 조사가 필요할 것이라고 강조했다.