[MT리포트]허울 뿐인 '약관·권한 동의'…"내가 언제 동의?"

[당신의 정보는 안녕하십니까③]복잡한 이용약관·유명무실 권한 동의…실효성 높여야

# “앱이 기기의 휴대전화 기능에 접근할 수 있도록 허용합니다. 전화번호 및 기기의 ID, 활성통화인지 여부, 통화가 연결된 원격 번호 등을 확인할 수 있습니다.” 모든 스마트폰 앱의 전화 접근권한을 클릭하면 공통적으로 보여지는 설명 내용이다. 이용약관에 동의는 했지만 대체 어느 정보까지 수집하는 지 알 수 있는 사람이 몇이나 될까.

◇보기만 해도 눈이 빙글…뭘 어떻게 쓰겠다고요?=구글과 페이스북 등 글로벌 서비스는 물론 국내 모바일 서비스들은 모두 회원 가입 시 이용자들로부터 이용약관 동의를 받아야 한다. 문제는 약관 내용이 너무 방대하고 용어도 어려워 이용자가 어떤 정보를 수집하는 지 여부를 명확히 파악하기 힘들다는 점이다. 특히 포괄적 동의 방식이어서 이용자가 일부 원치 않는 정보 수집을 거부할 수도 없다. 실제 페이스북은 가입 시 이용자에게 ‘데이터 정책’, ‘권리 및 책임에 관한 정책’, ‘위치 기반 기능 정책’ 3가지 파트로 나눠 동의를 받고 있다. 사용자는 이 약관에 동의하지 않으면 가입을 할 수 없다. 그러나 약관은 이용자 편이 아니다. 길고 복잡하다. 페이스북의 약관은 한 때 미국 헌법보다 어렵다는 조롱을 받았을 정도다.

수집하는 데이터 범위도 방대하다. 약관에는 GPS, 블루투스 또는 와이파이 신호를 통한 구체적인 지리적 위치나 내가 올린 사진의 촬영 시기, 위치 등도 수집하도록 돼 있다. 이동통신사 이름이나 브라우저 유형, 언어 및 시간대, 휴대폰 번호와 IP 주소 등의 연결 정보도 수집된다.

구글도 다르지 않다. 이용 약관 동의를 통해 사용자의 하드웨어 모델이나 고유 기기 식별자, 전화번호 등 기기 정보를 수집한다. 심지어 전화번호나 발신자 번호, 통화 시간 등 전화 로그 정보, 브라우저를 통한 쿠키 정보도 수집하고 있다.
이 모든 정보들을 수집·저장하지 못하지만 향후 신서비스나 수익모델을 대비해 포괄적 정보수집 동의를 받고 있는 셈이다. 이들은 이용자의 ‘동의’를 받았기 때문에 법적인 문제가 없다는 입장이다. 그러나 페이스북의 경우 동의하지 않으면 가입 자체가 불가능하다. 안드로이드OS를 사용하는 폰 역시 구글 계정이 사실상 필수이기 때문에 사용자들이 구글의 약관동의를 거부할 수 없다.

◇‘필수·선택적 권한 명시’ 안내서까지 내놨지만…=지난해 3월부터 방송통신위원회는 사업자들에게 앱 핵심 기능상 꼭 필요한 필수 접근권한과 나머지 기능에 대한 선택적 접근권한을 구분해 명시하고 동의를 받도록 의무화했다. 이용약관 규정이 과거보다 강화된 것은 맞지만 복잡한 약관과 사업자마다 제각각인 개인정보지침, 접근 권한 등으로 여전히 규제의 실효성을 담보하지 못하고 있다는 지적이다.

가령, 필수 접근권한의 범위에 대한 기준 자체가 불명확하다 보니 사업자들이 임의로 과도하게 접근권한을 설정할 수 있다. 지난해 방통위 국정감사 자료에 따르면, 스마트폰 앱을 내려 받을 때 이용자에게 요구하는 ‘접근권한’ 종류는 평균 18개에 달하는 것으로 나타났다. 앱 하나를 설치할 때 18개의 개인정보·기능 접근을 허용하게 되는 셈이다. 이 가운데서는 주소록, 전화 기록 등 민감정보 수준의 권한 요구도 평균 9.4개나 됐다.

앱 이용약관 위반 행위에 대한 마땅한 규제 방법이 없는 것도 문제다. 현행법상 이용약관에 대한 시정명령 등 규제가 가능한 대상은 약관을 신고토록 돼 있는 기간통신사업자 등에 제한돼 있다. 약관 규제법이 있지만 행정력의 문제로 앱 사업자 하나하나 적용하기는 현실적으로 무리다.


[☞ 읽어주는 MT리포트]