삼성 갤럭시 A와 M 시리즈에 선탑재된 스파이웨어 논란

Youngsters!
테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지 아빠들이야.

한국을 대표하는 회사인 삼성에서 프라이버시 침해 논란이 일어났어. 삼성이 갤럭시 시리즈 스마트폰을 만든다는 건 알고 있지? 그 스마트폰 일부에서 수상쩍은 게 발견됐다는 주장이 나온 거야. 여기서 말하는 ‘수상쩍은 것’은 스파이웨어라고 하는 나쁜 소프트웨어야. 스파이처럼 누군가를 몰래 쫓아다니면서 감시하는 기능을 가진 소프트웨어를 스파이웨어라고 해. 삼성이 자기들 제품에 이런 나쁜 소프트웨어를 미리 심어둔 채로 판매했다는 게 이번 논란의 핵심이야.

제일 먼저 논란을 촉발시킨 건 사이버 보안 관련 단체인 인터내셔널사이버다이제스트(International Cyber Digest)야. 지난 주 소셜미디어를 통해 “삼성전자가 자사 휴대폰에 앱클라우드(AppCloud)라고 하는 애플리케이션을 설치한 채로 시장에 내놓고 있다”고 한 거야. 그러면서 이 앱클라우드가 “사실 삭제할 수도 없게 만들어진 이스라엘산 스파이웨어”라고 주장했어. 이 짧은 문장에 너무나 많은 내용이 담겨 있기 때문에 하나하나 설명해야 할 것 같아.

앱클라우드?

앱클라우드는 현재 중저가형 갤럭시 폰들에서 발견되고 있는 앱이야. 구매자가 따로 설치할 필요도 없어. 폰을 사서 포장을 뜯으면 이미 앱클라우드가 설치돼 있는 상태이기 때문이야. 앱클라우드는 이스라엘의 소프트웨어 개발사인 아이언소스(ironSource)라는 곳에서 만들었는데, 문제는 이 아이언소스가 이미 이전부터 수상한 소프트웨어를 개발한 전적을 가지고 있다는 것이지. 인스톨코어(installCore)라는 프로그램을 통해 사용자 몰래 또 다른 소프트웨어를 설치한 적이 있었거든.

표면적으로 봤을 때 앱클라우드는 사용자에게 여러 가지 앱을 추천해주는 기능을 가지고 있어. 보통의 스마트폰 사용자들은 구글 플레이나 앱스토어 등 공식 애플리케이션 장터에 들어가 자기가 필요한 앱을 직접 검색하고 선택해 설치하지. 하지만 이건 그래도 스마트폰 사용에 능숙한 사람들의 행동 패턴에 속해. 나이가 많은 어르신들이나 스마트폰에 덜 익숙한 사람들, 그래서 스마트폰에 어떤 앱을 설치해 어떻게 쓸지도 잘 모르는 사람들은 앱을 추천해 주는 앱을 꽤 많이 이용하고 있어.

스마트폰에 덜 익숙한 사람들은 보통 어디에 있을까? 개발도상국이야. 이런 지역에 있는 사람들은 스마트폰 한 대 구입하는 걸 매우 부담스러워 해. 그래서 하나 구하더라도 중고 제품이나 중저가형을 구매하는 게 일반적이지. 이런 지역의 사람들 입장에서는 앱클라우드 같은 앱이 꽤나 훌륭한 사용설명서 역할을 해준다고 할 수 있어. 실제로 이번에 논란이 된 삼성 스마트폰이 뭔지 알아? A와 M 시리즈야. 중저가형이지. 우리가 한국에서 흔히 접하는 갤럭시 S는 고급형이라 비싼 것들이고, 갤럭시 A와 갤럭시 M은 그보다 한두 단계 아래에 있어 개발도상국에서 인기가 많아. 뭔가 그림이 겹치지? 개발도상국에 잘 팔리는 핸드폰에, 하필 개발도상국 사용자들이 잘 사용할 앱이 설치돼 있다는 게 말야.

이스라엘?

또 하나 참고할 만한 건 ‘이스라엘’이라는 키워드야. 인터내셔널사이버다이제스트에서 삼성 저가형 핸드폰에 설치된 앱클라우드를 두고 ‘삭제할 수 없는 이스라엘산 스파이웨어’라고 했지? 그리고 앱클라우드를 개발한 회사가 이스라엘 회사라는 것도 언급했고. 스파이웨어는 누군가를 몰래 감시하는 나쁜 소프트웨어라고 설명하기도 했었지.

그런데 이스라엘은 원래부터 스파이웨어를 잘 만드는 나라였어. 이스라엘은 덩치는 작은데 주변에 덩치가 훨씬 큰 적국들이 호시탐탐 공격의 기회를 엿보고 있기 때문에 수상한 움직임을 늘 주시하고 경계 태세를 유지해야 했지. 그러면서 이런 감시 기술이 발전한 것으로 보여. 우리나라도 휴전 국가라 국방 기술이 꽤나 발전해 있는데, 그것과 비슷하다고 보면 돼. 그러다가 이스라엘은 그 발전한 감시 기술을 ‘수출품’으로 만들어 세계 곳곳에 판매하기까지 했어. 그게 바로 스파이웨어야.

좀 이상하지? 저 위에서는 스파이웨어를 ‘나쁜 소프트웨어’라고 해놨는데, 이제는 그걸 ‘수출품’으로 만들어 판매한다니 말야. 그건 스파이웨어가 처음부터 나쁜 의도로 개발된 건 아니기 때문이야. 방금 이스라엘이 적국들을 주시하느라 감시 기술을 키웠다고 했지? ‘감시’라는 건 누가 어떤 목적으로 어떤 대상에게 하느냐에 따라 좋은 게 될 수도 있고 나쁜 게 될 수도 있어. 정부가 자국민을 지키기 위해 적 군대를 감시하는 건 좋은 감시지. 하지만 정부가 반대파들을 억제하기 위해 자국민을 감시한다면, 그건 꽤나 나쁜 감시가 될 수 있어.

스파이웨어를 이스라엘로부터 사가는 사람들은 모두 ‘좋은 이유’를 가지고 있어. 우리 국민들을 테러나 범죄로부터 보호하기 위해, 범죄 단체와 위험 인물들을 감시하겠다는 거야. 그런 좋은 목적을 제시하는데 이스라엘이 어떻게 팔지 않겠어? 하지만 실상은 달라. 구매자들은 테러 조직과 범죄 단체만이 아니라 자기들에게 반대하는 기자, 시민단체, 운동가, 반대 세력까지도 전부 감시하고 있어. 이스라엘은 ‘우리는 판매만 할 뿐이지 구매자가 스파이웨어를 어떻게 사용하는지까지 지시할 수 없다’며 자기 책임 아니라고 하는 상황인데, 여기에 딱히 반박하기가 힘들기도 해. 그래서 스파이웨어를 ‘회색 지대의 물건’이라고 표현하는 사람들도 있어. 좋고 나쁘고를 구분하기 힘든, 애매한 위치의 제품이라는 것이지.

삼성의 의도?

이런 정보들만 조합해도 대강 그림이 나오지. ‘삼성전자는 중저가 스마트폰을 주로 사용하는 사람들이 많은 시장에, 중저가 스마트폰 사용자들이 즐겨 사용할 만한 앱을 미리 설치해 두었다, 그런데 그 앱에 감시 기능이 있다.’ 이 정도로 정리가 가능해. 

사실 여기까지만 보면 삼성이 특별히 잘못한 건 없어. 오히려 사용자들의 편의를 세심하게 살폈다고까지 해석할 수 있지. 삼성 외에도 많은 중저가형 스마트폰 제조사들이 비슷한 전략을 취하기도 해. 여러 앱 개발사로부터 대가를 받아 일부 앱을 미리 설치한 채로 사용자들에게 판매함으로써, 제품의 저렴한 가격을 충당하는 것이지. 

그러니까 소비자들은 스마트폰을 비교적 저렴하게 사는 대신, 원하지 않는 앱을 스마트폰에 설치하는 것이고, 그러므로 이 원치 않는 앱들은 지불의 또 다른 방법이 되기도 해. 이렇게 기업들이 말하는 ‘저렴하다’는 것은 사실 현금만을 이야기하는 것이고, 대부분의 경우 우리는 우리가 모르는 형태로 값을 지불하고 있단다. 요즘은 개인정보를 제공한다거나 광고를 시청하게 되는 경우가 가장 흔해. 

이렇게 사용자가 원하지 않지만, 핸드폰 제조사가 미리 설치해 둔 앱들을 블로트웨어(bloatware)라고 해. 광범위한 용어이지. 블로트웨어 안에 스파이웨어도 있고(왜냐하면 사용자가 원해서 스파이웨어를 심고 스스로를 감시하도록 두는 경우는 없으니까), 각종 광고가 시도 때도 없이 뜨게 하는 애드웨어(adware)도 있어. 그래서인지 ‘블로트웨어’가 ‘스파이웨어’와 동의어로 사용되는 경우도 점점 빈번해지고 있어.

삼성 입장에서는 스마트폰 초보자들을 위해 앱클라우드를 선탑재 했다고 주장할 수 있어. 우리는 고객을 배려했을 뿐이다. 그게 스파이웨어 기능을 가지고 있는지 우리는 몰랐다. 이스라엘 개발사인 아이언소스에 가서 물어라, 등등. 이미 블로트웨어를 설치해 논란이 된 전적이 있는 아이언소스니까, 삼성이 화살을 돌리기에 더 좋기도 하겠지. 그런데 전적을 가진 게 아이언소스만일까?

삼성의 과거

시간을 올해 5월로 돌려보자. 디지털 인권 단체인 스멕스(SMEX)가 삼성에 공개 서한을 보낸 때야. “삼성전자가 갤럭시 A, M 시리즈에 앱클라우드라는 블로트웨어를 설치했다”는 내용이 담겨져 있었어. 스파이웨어라고 쓰면 어감이 너무 강해지니까 조금 약화시켜 블로트웨어라는 표현을 채택한 것으로 보여. 아까 블로트웨어를 스파이웨어와 동의어로 사용하는 경우가 많아진다고 했지? 이게 좋은 사례야. 비판적인 어조를 약간 누그러트리고 싶을 때, 스파이웨어 대신 블로트웨어를 쓰는 경향이 생겨나고 있어.

스멕스의 이런 의중은 어떻게 아느냐고? 스멕스가 앱클라우드에 대해 설명한 내용이 같은 서한에 포함돼 있기 때문이야. 스멕스는 “앱클라우드가 생체 정보와 IP 주소를 포함한 민감 정보를 수집하고 있다”고 고발했거든. 단순 블로트웨어라면 이런 정보를 사용자에게 알리지 않고 몰래 수집할 필요가 없지. 스파이웨어이니까 이런 정보를 빼앗아 가는 거야. 스멕스가 앱클라우드를 사실상 스파이웨어라고 봤다는 건 확실하지.

이야기를 좀 더 과거로 돌려볼까? 2015년의 일이야. 삼성 스마트TV 제품 일부에서 문제가 발견됐지. TV 구매자들이 거실에 TV를 설치해 놓고 여러 가지 일과 활동을 하잖아? 가족들끼리 대화도 하겠고. 그 때 삼성 스마트TV가 그 대화 내용을 녹음해 다른 사람들에게 보내고 있다는 사실이 적발됐어. 물론 삼성도 할 말이 있지. 스마트TV가 사용자 음성을 인식하기 때문에, 사용자들이 하는 말을 늘 듣고 있어야만 한다는 거였어. 기능상 어쩔 수 없다는 의미야.

그래, 음성을 듣고 인식하는 건 어쩔 수 없다고 쳐. 그걸 저장했다가 다른 사람에게 보내는 건 또 다른 문제지? 그 부분에 대해서 “모든 대화 내용을 듣고 저장해 외부로 전송하는 건 아니”라고 해명했고, “다른 사람이나 단체에 판매하지 않는다”고 주장했어. 그러면서 사용자가 원하지 않는다면 TV가 음성을 늘 듣고 있지 않도록 조정하는 옵션을 추가했어. 대신 TV의 음성 인식률이 떨어질 수 있다고 경고하면서 말야. 삼성이 얼마나 많은 소비자들로부터 어떤 정보를 수집해 어떻게 처리했는지, 혹 누구에게 판매했는지 등은 명확히 밝혀지지 않았지만, 고개를 갸웃거릴만한 일이긴 하지.

삼성 저가형 모델들에서 블로트웨어가 발견된 게 이번이 처음 있는 일도 아니야. 2020년 미국 라이프라인(Lifeline)에서 삼성 저가폰에 문제가 있다고 주장한 적이 있어. 라이프라인은 저소득층 가정에 통신 서비스를 지원해주는 정부 제도야. 즉, 미국 정부 기관과 연계돼 있는 곳에서 정식으로 삼성 폰에 문제를 제기한 것이지. 물론 당시 라이프라인은 삼성만이 아니라 저가 폰 제조사 전반을 겨냥해 이런 주장을 했기 때문에 삼성만 범인인 건 아니었어. 잘못된 관행을 가진 수많은 기업들 중 하나로 이름을 올린 건데, 이것 역시 삼성의 의문스러운 과거 중 하나이긴 하지. 이번 인터내셔널사이버다이제스트 측의 주장에 ‘설마 삼성이 그랬겠어?’라는 반응보다 ‘또?’라는 외마디 말이 먼저 튀어나오는 건 선입견 때문만은 아닐 거야.

사라지지 않을 문제, 대처법은?

아직 삼성전자 측에서는 이 주장에 대해 딱히 반응하고 있지 않아. 가장 바람직한 건 앱클라우드를 삭제한 채 폰을 판매하거나, 적어도 삭제가 쉽도록 한 채로 설정을 바꿔주는 것이겠지. 블로트웨어를 탑재하는 건 기업의 수익과 관련이 있기 때문에 ‘앞으로 블로트웨어를 일절 설치하지 않는다’고 결단을 내리기는 쉽지 않을 거야. 그렇게 한다면 폰의 가격이 올라갈 수밖에 없겠고, 그건 소비자들이 원하는 답이 아닐 수도 있어. 

그러므로 가장 현실적인 건 후자, 삭제가 용이한 블로트웨어만 설치하는 것이 되겠지. 하지만 이 ‘삭제의 용이성’도 상대적 개념이고, 앱 개발사와 폰 제조사들이 어떤 계약을 맺고 있는지 알 수 없기 때문에 이런 방향에서의 변화도 쉽게 기대하기는 힘들어. 즉 어떤 형태로든 가격이 낮은 스마트폰을 구매하면 블로트웨어와 같이 살아갈 가능성이 높다는 거지. 너희들이 자라서 어른이 될 때에도 아마 상황은 크게 다르지 않을 거야.

그러면 어떻게 해야 할까? 블로트웨어가 없다고 알려진 고가 휴대폰을 구매하는 게 최선이겠지. 하지만 이건 모두가 취할 수 있는 답은 아냐. 당장 이 편지를 쓰고 있는 아빠만 하더라도 고가 핸드폰을 써본 적이 없으니까 말야. 그렇더라도 스마트폰이나 태블릿, 스마트TV 등 전자 기기를 구매할 때 ‘나는 돈 대신 다른 걸 지불하고 있지 않은가?’ 정도는 확인할 수는 있어. ‘가진 돈이 없으니까 에라 모르겠다 싼 거 사자’가 아니라, 그 싼 것들 중에서도 블로트웨어가 가장 적은 것이나 스파이웨어 관련 혐의가 가장 덜한 것을 고를 수 있어야 한다는 거야.

소비자는 단순히 돈을 쓰는 사람이 아니야. 여러 가지 사고의 흐름을 거쳐 갖가지 결정을 내리는 사람이지. ‘A가 100만원을 썼다’는 정보만 중요한 게 아냐. ‘A가 어떤 사고와 과정을 거쳐 어떤 결정을 내렸다’가 더 중요해. 즉 A가 어떤 브랜드를 어떤 매장에서 샀으며, 어떤 다른 브랜드와 같이 비교했고, 결국 구매를 결정했다면 왜 그랬는지, 안 사기로 했으면 또 왜 그랬는지를 종합적으로 본인 스스로가 이해해야 해. 그래야 스스로 구매의 논리를 수립할 수 있고, 이를 바탕으로 그 다음에 이어질 여러 가지 소비를 점점 더 현명하고 안전하게 할 수 있어. 요즘 유행하는 ‘감성 템’이라는 건, 때론 위험해질 소지가 다분해. 감성으로만 소비하려니, 카푸어 같은 사람들이 생기는 거야.

소비자가 감성이 아니라 논리로 구매를 하기 시작하면 소비자 개인에게만 좋은 게 아냐. 시장 전체에도 좋은 영향을 줘. 소비자들이 대체적으로 ‘감성 템’만 산다고 상상해봐. 그러면 기업들은 겉모양에만 신경을 쓰게 돼 있어. 그 ‘감성’이라는 게 대부분 외적인 것(디자인이나 마감 등)에 좌지우지 되기 때문이야. 더 중요한 내부의 기능은 조금씩 뒷전으로 밀려나지. 시장에 겉만 화려한 것들이 가득 차게 된다는 거야. 하지만 소비자가 내부에 숨겨져 있는 것들을 따지기 시작하면 제조사들은 안까지 충실한 제품들을 만들기 시작하겠지. 소비자가 진짜 소비자가 되는 건 모두에게 이로운 일이야.

앱클라우드 제거법

하지만 ‘현명한 소비자가 되는 법’은 장기적 대응법이야. 스마트폰이 즉시 필요한데 지갑 사정이 넉넉하지 못할 때는 어떻게 해야 할까? 기술을 익혀야 해. 앱클라우드나, 그에 준하는 여러 블로트웨어를 삭제하는 법을 익힌다면 블로트웨어도 무섭지 않겠지. 

위에서 앱클라우드가 ‘삭제 불가능한 스파이웨어’라고 했는데, 삭제법을 익히라는 무슨 말인가 싶을 거야. 사실 앱클라우드는 삭제가 가능해. 그 방법이 너무 어려워 사실상 대다수 사람들에게 불가능에 가까울 뿐이지. 게다가 그 어려운 방법을 어설프게 실행했다가 실수하면 폰이 벽돌로 변할 수도 있어. 사실상 폰을 잃을 각오로 제거 작업을 진행해야 한다는 거야. 가혹하지. 

그런 리스크를 줄이면서 앱클라우드의 영향력을 최소화 하려면 먼저 설정 앱으로 들어가 앱(Apps) 메뉴를 찾아야 해. 거기서 ‘시스템 앱 표시(Show system apps)’로 들어가 목록에서 AppCloud를 찾아봐. AppCloud를 선택하면 ‘사용 안 함(Disable)’ 버튼이 나타날 건데, 이걸 눌러. 이렇게 되면 앱클라우드가 기능을 발휘하지 않게 될 거야. 하지만 삭제되는 건 아니고, 시스템이나 앱 업데이트 이후 자동으로 다시 활성화 되기도 해. 그래서 주기적으로 이 과정을 반복해 비활성화시켜야만 해.

이런 어정쩡한 방법이 마음에 들지 않는다면 조금 더 고급 기술을 알려줄게. 다만 이걸 잘못 하다가는 폰이 완전히 마비될 수 있으니까, 함부로 하지는 말아. 잘 된다 하더라도 제조사에서 제공하는 보증이 끝나버릴 수도 있어. 즉 무료 A/S 기간을 단축시킬 가능성이 높다는 거야. 버려도 되는 폰이 있으면, 그걸로 미리 연습을 해보는 것도 좋을 수 있어. 주변에 IT 기술에 능한 사람이 있다면, 같이 해보는 것도 괜찮아. 이런 작업이 처음이고, 여분의 핸드폰도 없는데, 혼자서 다짜고짜 시작하지는 말아. 제발.

먼저 컴퓨터, 데이터 전송이 가능한 USB 케이블, ADB도구를 준비해. ADB는 여기(https://developer.android.com/tools/releases/platform-tools)서 다운로드 받을 수 있어. 윈도, 맥OS, 리눅스에 따라 잘 골라서 다운로드 받아야 해. 

준비물을 다 마련했다면 스마트폰에서 개발자 옵션을 활성화 해. 보통 설정 앱에서 휴대전화 정보 메뉴를 찾아들어가면 소프트웨어 정보가 있거든? 거기서 빌드 번호라고 쓰여 있는 곳을 여러 번 탭하면 돼. 개발자 옵션이 나타나면 USB 디버깅을 켜. 그 상태에서 컴퓨터와 폰을 USB 케이블로 연결해. 여기서 컴퓨터는 ADB 도구가 설치된 컴퓨터를 말해.

두 장비가 연결됐다면 컴퓨터에서 터미널이나 명령 프롬프트를 실행시켜. 그 다음 아래 명령을 타이핑해.

<adb shell pm uninstall –user 0 com.ironsource.appcloud>

폰마다 패키지 이름(com.ironsource.appcloud에 해당하는 부분)이 다를 수도 있다고 해. 그럴 때는 추가의 조사를 통해 패키지 이름을 파악해야 해. 여태까지 사용자들이 보고한 바에 따르면 패키지 이름이 com.aura.oobe.samsung, com.aura.oobe.samsung.gl, com.ironsource.aura.oobe, com.sec.android.app.something라고 해. 번갈아 대입해보면 될 거야.

삼성이나 여러 다른 저가 폰 제조사들이 블로트웨어를 없애주지 않는다고 해서, 그 블로트웨어에 스파이웨어가 섞여 있다고 해서 그들만 욕해서는 아무 것도 얻을 수 없어. 누군가는 그런 비판의 목소리를 내야 하지만, 나머지 사람들은 그들이 그런 환경을 조성해 있을 동안 좀 더 현명한 소비자가 되는 법을 훈련하는 게 나은 선택지가 되겠지.

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• Samsung Users Report 'Unremovable' Israeli Bloatware AppCloud on Devices, Middle East Eye, 2024년
• Samsung's AppCloud Bloatware Sparks Privacy Concerns, BigGo News, 2024년
• Invasive Israeli-founded Bloatware is Harvesting Data from Samsung Users in WANA, SMEX, 2024년
• Privacy Concerns Over Israeli AppCloud on Galaxy Devices, Rewterz, 2024년

또 다시 촉발된 암호화 기술 논쟁, 60개 단체는 “암호화 절대 지지”

💡Editor’s Pick for Youngsters - 유럽서 60개 단체가 암호화 약화에 반대한다는 서신 발표 - 서신 수신지는 세계의 정부 기관들 - 언제 결판이 날까 싶은 암호화 논쟁...그런 시기를 지날 때 기억해야 할 것들 Youngsters! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지야. 테크 분야에 유독 민감한 주제가 하나 있어. 바로 ‘암호화’

The Tech Edge문가용 기자

인공지능으로 시험 보는 대학생들, 막을 수 있나?

💡Editor’s Pick for Youngsters - 여러 대학들에서 속속 나오는 시험 부정 행위 사례들 - 인공지능으로 쓴 글, 100% 식별하는 건 불가능 - 교육과 학교 운영 방침, 학습의 목표 등 기본기 부실이 부른 일 Youngsters! 테크를 가장 날카롭고 가치 있게 읽어주는 더테크엣지야. 요즘 대학생 언니 오빠들이 여기 저기서 인공지능 때문에 골치가

The Tech Edge문가용 기자