스마트폰을 사용하지 않는 순간에도 기기는 쉬지 않는다. 백그라운드 앱이 데이터를 동기화하고, 위치 정보가 수집되며, 마이크와 카메라가 특정 조건에서 활성화된다.
지난 2월 SBS ‘미운 우리 새끼’에 출연한 해커 박세준은 “칩이 들어간 전자기기는 모두 해킹이 가능하다. TV, 홈캠, CCTV, 자동차까지 전부 해킹 가능하다”라고 경고했다. 같은 방송에서 모델 한혜진은 샤워 중 스마트폰을 세워두고 음악을 듣는다고 밝혔고, 박세준은 “해킹당할 수 있다”라며 자제를 권고했다. 지금 이 순간, 내 스마트폰도 예외가 아닐 수 있다.
스마트폰은 왜 계속 데이터를 수집할까?
현대 스마트폰은 음성 비서 기능을 위해 마이크를 상시 대기 상태로 유지한다. “헤이 시리”나 “오케이 구글” 같은 호출어를 감지하기 위해서다. allaboutcookies.org 조사에 따르면, 설문 응답자의 70%가 직접 검색하지 않고 대화로만 언급한 내용과 관련된 타깃 광고를 경험했다고 답했다. 광고 플랫폼이 원시 음성 데이터를 직접 수신하는 것은 아니다. 하지만 검색 기록, 앱 사용 패턴, 위치 데이터, 구매 이력이 결합되면 광고는 마치 대화를 들은 것처럼 정교해진다. 호출어 감지 중 우연히 활성화되는 경우도 있으며, 이때 녹음된 짧은 클립이 서버로 전송돼 AI 학습에 활용될 수 있다.
BBC Bitesize에 따르면 젊은 층은 하루 평균 4시간 37분을 스마트폰에 사용한다. 그 시간 내내 기기는 사용자 데이터를 쌓고 있다.
사이버보안 전문가 Madu Melo는 “앱이 마이크, 카메라, 위치, 연락처 권한을 요청할 때 많은 사용자가 이용약관을 읽지 않고 동의한다”라고 지적했다. 실제로 관련 조사에서 응답자의 37%가 앱 서비스 약관을 한 번도 읽지 않은 것으로 나타났다. ‘동의’ 버튼을 누르는 순간, 사용자는 법적으로 민감한 기기 자원에 대한 접근을 허용하게 된다. 과도한 데이터 수집은 단순한 광고 불편을 넘어 금융 사기, 피싱, 개인정보 도용으로 이어질 수 있다. Melo는 “안전해 보이는 광고도 결국 지갑을 노릴 수 있다”라고 경고했다.
권한 허용이 문제
앱 권한은 스마트폰 추적의 핵심 통로다. BBC Bitesize가 영국 정부 과학혁신기술부(DSIT)에 확인한 내용에 따르면, 앱과 소셜미디어는 사용자가 허용한 권한에만 접근할 수 있으며 반드시 사전에 이유를 설명하고 동의를 구해야 한다. 문제는 앱이 몰래 접근하는 것이 아니라, 사용자가 무심코 허용한 권한에 있다. 마이크, 카메라, 위치 정보는 앱의 핵심 기능과 무관하게 요청되는 경우가 많고, 수집된 데이터는 광고 알고리즘을 정교하게 만드는 데 활용된다. Instagram 수장 Adam Mosseri도 인스타그램이 사용자 대화를 청취하지 않는다고 해명했지만, 광고주로부터 받은 사용자 행동 데이터를 콘텐츠 노출에 활용한다는 사실은 인정했다. 스마트폰이 대화를 직접 듣지 않아도 행동 패턴만으로 충분히 정밀한 타깃팅이 가능하다. 특히 공용 Wi-Fi 환경에서는 암호화되지 않은 데이터가 그대로 노출되는 만큼, 무료 VPN 다운로드 후 트래픽을 암호화하는 것이 개인정보 보호에 효과적이다.
추적을 줄이는 실용적인 방법
스마트폰의 데이터 수집을 완전히 차단하기는 어렵다. 하지만 노출을 줄이는 방법은 분명히 있다.
앱 권한부터 점검한다.
설정 메뉴에서 마이크, 카메라, 위치 정보 접근을 허용한 앱 목록을 확인하고, 불필요한 권한은 즉시 해제한다. 앱을 처음 설치할 때도 권한 요청을 꼼꼼히 확인하는 습관이 중요하다. 핵심 기능과 무관한 권한을 요구하는 앱은 설치 자체를 재고할 필요가 있다.
음성 비서를 끈다.
Siri나 Google 어시스턴트를 비활성화하면 상시 마이크 감지를 차단할 수 있다. allaboutcookies.org에 따르면 음성 비서를 비활성화한 사용자는 전체의 32%에 불과하다. 설정에서 간단히 끌 수 있지만 실천하는 사람은 여전히 소수다. 음성 비서가 꼭 필요하지 않다면 지금 바로 끄는 것이 좋다.
쓰지 않는 앱은 바로 지운다.
오래된 앱은 백그라운드에서 계속 데이터를 수집할 수 있다. 마지막으로 사용한 지 몇 달이 지난 앱은 과감히 삭제하자. 공식 스토어에서 검증된 앱만 설치하는 것도 악성코드 감염을 막는 기본 원칙이다.
음성 기록을 주기적으로 삭제한다.
구글 계정 활동 관리 페이지에서 웹 및 앱 활동, 위치 기록을 자동 삭제로 설정할 수 있다. Siri 기록도 설정에서 직접 삭제가 가능하다. 정기적인 기록 삭제만으로도 데이터 노출 범위를 줄일 수 있다.
소프트웨어는 항상 최신으로 유지한다.
업데이트에는 보안 취약점 패치가 포함된다. 업데이트를 미루는 것은 해킹의 빌미를 제공하는 것과 같다. 이중 인증(2FA)을 함께 설정해 두면 계정 탈취 시도를 한 번 더 막을 수 있다.
VPN을 사용한다.
신뢰할 수 있는 최고의 VPN은 노-로그(no-log) 정책을 증명할 수 있어, VPN 자체가 또 다른 추적 서비스가 되는 문제를 방지한다. 위치 추적 차단 효과까지 더해져 스마트폰 프라이버시 보호에 실질적인 도움이 된다.
스마트폰이 무엇을 수집하는지 아는 것이 디지털 프라이버시의 출발점이다. 모든 추적을 막을 수는 없지만, 권한 관리와 보안 습관만으로도 노출을 크게 줄일 수 있다. 어떤 앱이 내 마이크와 위치에 접근하고 있는지, 지금 바로 확인해 보면 어떨까?
