"문제가 될지 알고는 있었지만 수익금을 나눠준다고 해서…." 지난 27일 스마트폰 사용자 80만여명의 위치 정보 등을 무단 유출한 혐의로 경찰에 적발된 애플리케이션(앱 · 응용 프로그램)의 한 개발자는 덤덤했다. 죄의식을 찾아보기 어려웠다. 이번 사건으로 이스트애드,퓨처스트림네트웍스,라이브포인트 등 광고대행사 3곳의 대표 3명이 불구속 입건됐다. 불법으로 개인 정보를 수집하고 이용해 위치정보의 보호 및 이용 등에 관한 법률을 위반했다는 혐의에서다.

하지만 3사가 정보를 수집하는 데 이용했던 앱 개발자들은 처벌 대상에서 제외됐다. 이들이 직접 정보를 수집하지 않았기 때문에 관련 법을 적용할 수 없다는 게 경찰의 설명이었다. 위치정보를 수집할 수 있는 기능이 탑재된 '소프트웨어 개발도구(SDK · Software Development Kit)'를 업체들로부터 제공받아 앱 개발에 활용했을 뿐이라는 것이다. 경찰 설명대로 이들은 자신이 개발한 앱에 문제의 SDK로 만든 광고 배너만 띄웠고,업체들은 이를 통해 수집한 개인정보를 서버로 전송시켰다.

문제는 1m 오차 범위 안의 세세한 위치 정보까지 유출될 수 있다는 사실을 앱 개발자들이 사전에 알고 있었을 가능성이 높다는 점이다. 지금까지 경찰에 적발된 앱의 수는 1451개에 이르며,이를 만든 개발자는 470명이 넘는다. 이들 대부분은 자신이 개발한 앱에 광고가 실리면 수익금의 일부를 나눠주겠다는 업체들의 꼬임에 넘어갔다.

정보 수집이 불법적인 방식으로 이뤄지는 대목에는 눈을 감다시피 했다. 28일 기자가 만난 또 다른 앱 개발자는 "유료 앱을 출시하면 사용자들이 다운로드를 잘 받지 않기 때문에 '무료 앱-광고 수입'이 최근 앱의 대세"라며 "개발자들은 입김이 세진 광고 대행사들의 지시를 어쩔 수 없이 따르는 경우가 많다"고 말했다.

대형 보안사고는 미세한 허점에서 비롯되는 경우가 많다. 해커들은 보안 실무자들이 미처 인지하지 못하는 바늘만한 빈틈을 찾아내 글로벌 기업이나 대형 금융회사들의 철벽 보안망을 뚫는다. 농협이나 소니가 충격적인 보안사고를 당하고도 아직 정확한 원인조차 파악하지 못하는 이유다. 도덕성이 실종된 스마트 엔지니어링은 축복이 아니라 재앙이다.

김주완 IT모바일부 기자 kjwan@hankyung.com