애플과 구글이 공동으로 코로나19 농후 접촉자 알림 API를 발표했을 당시 수집된 정보는 사용자가 직접 공유하지 않는 한 단말기를 벗어날 수 없으며 개인 정보는 완전히 지켜질 것이라고 약속했다. 하지만 안드로이드 장치의 경우 기밀 데이터가 유출될 가능성이 있는 결함이 발견됐지만 구글이 곧바로 대응하지 않았다는 보도가 나오고 있다.
기술이 사회에 미치는 영향을 다루는 비영리조직인 마크업(The Markup)에 따르면 이 문제는 시스템 로그에 기록된 기밀 정보를 사전 설치된 다른 앱을 읽을 수 있다는 것이다. 다시 말해 응용 프로그램을 개발한 기업 서버에 정보가 보내질 수 있던 것이다.
코로나19 접촉 알림 앱의 경우 시스템 로그에 양성 반응이 나온 사람과 접촉했는지 여부 데이터와 단말기 명, 맥 주소, 다른 앱 광고 식별자 등이 포함되어 있을 수 있다는 것. 삼성전자나 모토로라, 화웨이 등 스마트폰에 사전 설치된 400개 이상 앱이 충돌 보고서나 분석 목적으로 이 시스템 로그를 읽을 수 있는 권한을 얻고 있는 게 발견됐다고 전해지고 있다.
이 결함을 발견한 개인정보분석기업 앱센서스(AppCensus)는 올해 2월 구글에 경고했음에도 불구하고 당시는 거들떠 보지도 않았다고 한다. 앱센서스는 미국토안보부와 계약 일환으로 테스트했지만 아이폰 프레임워크에 비슷한 문제가 없었다고 보고하고 있다.
구글 측이 마크업에 이메일로 보낸 성명에 따르면 블루투스 식별자가 디버깅 목적으로 특정 시스템 레벨 응용 프로그램에서 일시적으로 액세스할 수 있는 문제에 대해 보고를 받은 즉시 수정 프로그램 배포를 시작했다고 밝혔다. 안드로이드 단말에 대한 업데이트는 롤 형식으로 몇 주 전부터 시작되어 며칠 뒤 완료될 예정이라고 덧붙였다.
구글 측은 또 유출 가능성이 있는 블루투스 식별자는 사용자 위치 정보와 기타 식별 정보는 포함되지 않고 어떻게든 악용된 흔적도 없다고 답하고 있다. 관련 내용은 이곳에서 확인할 수 있다.