애플은 비공개 API를 사용하여 마음대로 사용자의 개인 정보를 수집하고 있던 256개의 App을 App Store에서 삭제했다고 밝혔다.
- 중국 모바일 광고 업체 Youmi가 범인
현지 시간 18일, 코드 분석 플랫폼 Source DNA가 App Store에 있는 많은 앱이 개인 API를 사용하여 사용자의 이메일 주소와 단말 ID 등의 데이터를 마음대로 수집하고 있다는 사실을 발견했다.
SourceDNA가 조사한 결과, 중국의 모바일 광고 업체 Youmi가 개발 한 타사 광고 SDK(소프트웨어 개발 키트)가 마음대로 이러한 데이터를 저장, 회사의 서버에 전송하는 것을 밝혀 냈다는 것. 이 SDK는 App Store에서 256개나 되는 애플리케이션에 사용되고 있었으며, 이러한 응용 프로그램은 누계 100만회 이상 다운로드 되어 있었다.
비공개 API를 이용한 사용자 데이터 수집은 App Store의 규약 위반이된다.
Apple은 SourceDNA의 보고가 올바른지 확이한 후, 이 250개 이상의 응용 프로그램을 삭제하고, 같은 수법을 사용하지 못하게 앱 승인 프로세스를 수정했다.
- 그 밖에 더 있을지도? 데이터 도용 SDK
SDK는 다양한 기술과 API를 사용하여 일반적으로 수집할 수 없는 개인 정보를 수집 할 수 있다. 이러한 정보에는 일련 번호, 주변 장치 일련 번호, 설치된 앱 목록, 사용자의 Apple ID, 이메일 주소 등이 포함된다. SourceDNA는 Youmi가 2년전부터 이 SDK를 사용하여 조금씩 수집하는 데이터의 종류를 늘린것 같다고 추정하고 있다.
또한 SourceDNA는 이번 건이 Apple 앱 리뷰 프로세스를 빠져나가 몇 개월이나 방치되어 있었으므로, 그 밖에도 같은 사례가 더 있지 않을까 하고 우려를 나타내고 있다.
