피싱 예방 앱 '시티즌코난' 물의..."경찰대학과 공동운영" 허위 안내
보이스피싱 예방 앱 '시티즌코난'이 경찰대학과 별도로 독자 운영되고 있는 것으로 나타났다. 그럼에도 시티즌코난은 앱 설명 등을 통해 경찰대학과 공동 운영 중이라고 안내하고 있다. 21일 본지 취재를 종합하면 구글 플레이스토어 내 시티즌코난 앱에 대한 설명에는 "경찰대학 치안정책연구소와 시티즌코난 개발사 인피니그루가 개발 및 공동 운영하는 앱"이라며 "국내 유일의 '보이스피싱 민(금융사)·관(경찰청) 공동대응망 서비스'"라고 소개됐다. 그러나 시티즌코난은 현재 경찰대학과 관련 없고, 개발사인 인피니그루가 독자 운영하고 있는 형태인 것으로 확인됐다. 시티즌코난은 누적 다운로드 수 900만명 이상을 기록한 악성 앱 탐지 기반 보이스피싱 예방 앱이다. 지난 2021년 한국지능정보사회진흥원(NIA)의 '디지털 공공서비스 혁신 프로젝트' 과제로 경찰대학 치안정책연구소의 'AI 기반 전화금융사기 대응 플랫폼 개발 사업'이 선정됐고, 이 사업 결과물 중 하나로 개발됐다. 경찰대학 치안정책연구소 관계자는 "시티즌코난은 NIA가 설정한 필수 운영 기간인 2021년부터 2023년까지 경찰대학 치안연구센터와 함께 운영됐다"면서 "하지만 현재는 필수 운영 기간이 종료된 상태이며, 인피니그루가 앱 운영을 담당하고 있다"고 설명했다. 즉 시티즌코난이 경찰대학 치안정책연구소와 함께 개발했고 3년간 공동 운영한 것은 사실이지만, 지난해부터 독자 운영 중인 앱이라는 것이다. 그럼에도 앱 안내와 광고 등에서는 경찰대학과 공동운영 중이라는 식으로 알려지고 있다. 공정거래위원회 관계자는 "경찰대학 등과 협업 관계가 끝났는데 마치 현재까지 계속되고 있는 것처럼 광고하고 있는 점은 허위 사실"이라면서 "특정 광고물에서도 이같이 오인할 만한 자료가 있다면 경우에 따라 표시광고법 위반 소지가 있을 수 있다"고 설명했다. 이같은 문제는 지난 8월에도 금융소비자연맹(금소연)이 지적한 바 있다. 지난 8월26일 금융소비자연맹은 "시티즌코난 이용 시 동의해야 하는 서비스 이용약관에 따르면 '경찰청 등과의 연계를 통해'라는 문구는 있어도 '경찰청과 운영' 등으로 유추되는 문구는 약관에 없다"며 "시티즌코난 앱 운영의 법적 주체는 경찰이 아니고 사실상 인피니그루"라고 지적했다. 금소연은 또 보이스피싱 방지를 위한 대국민 서비스를 제공하는 시티즌코난이 앱의 이용자가 실행 때마다 유료 광고에 무작위로 노출되고 있다고 지적했다. 금소연은 이같은 행위는 공익을 앞세운 사익 영업행위라고 비판했다. 실제로 시티즌코난 앱상에서 안티피싱 서비스 등 다른 유료 부가서비스 관련 광고들이 표시된다. 해당 광고를 클릭해 휴대전화 번호 등을 입력하면 유료 부가서비스에 가입되는 식이다. 가입된 유료 부가서비스는 매달 통신사 요금에서 일정 금액이 빠져나가는 식으로 결제된다. 금소연은 "'마케팅 정보 수신(선택)에 동의하지 않아도, 팝업창의 유료 광고, 시티즌코난 앱 화면 하단에 부가서비스 가입 광고를 계속해서 띄우고 있다"며 "구조를 잘 모르는 가입자는 광고 문구에 속아 악성 앱을 검사하기 위해 무심코 전화번호를 입력해 본인도 모르게 유료 서비스에 가입하게 된다"고 지적했다. 이에 앱 리뷰 등 일각에서는 경찰과 관련 있는 공익성이 짙은 앱으로 인식하고 가입했는데, 유료 광고에 속아 본인도 모르는 사이 부가서비스에 가입하게 되는 구조가 불합리하다는 지적이 제기됐다. 인피니그루의 매출은 최근 크게 늘었다. 2023년 인피니그루는 11억4000만원의 매출을 기록했는데, 1년 새 21억1000억원으로 두 배 가까이 성장했다. 지난해부터 광고가 도입된 것이 영향을 준 것으로 분석됐다. 필요 없는 IMSI·IMEI도 수집?…ISMS 인증도 미획득 시티즌코난의 개인정보처리방침 등 개인정보 수집과 처리도 미흡한 것으로 포착됐다. 시티즌코난 개인정보처리방침 등에 따르면 시티즌코난 앱은 서비스이용을 위해 휴대전화 번호, 생년월일, 성별 등을 수집한다. 이후 보이스피싱을 비롯한 금융사기 의심이 들면 보이스피싱과 관련성이 있다고 의심되는 정보와 더불어 단말기 식별 고유정보(휴대 단말기 모델, OS 등)를 수집해 협력 관계를 맺은 금융사나 경찰청 등에 제공하는 구조를 갖췄다. 이를 통해 보이스피싱으로 인한 금융 피해를 막는 것이 골자다. 현재는 개인정보 수집 사항에서 제외됐지만, 지난해까지만 해도 시티즌코난은 개인정보처리방침에 단말기 고유 식별번호(IMEI), 가입자 식별번호(IMSI), 유심(U-SIM) 식별번호 등도 수집해 제공한다는 내용을 포함해 사용자의 동의를 받았다. IMEI와 IMSI는 지난 SK텔레콤 해킹 사태 당시 문제가 됐던 민감정보로, 유출 시 복제폰 우려가 나올 수 있어 민감한 개인정보로 분류돼 반드시 정보주체로부터 수집 동의를 받아야 한다. 또한 이같은 정보를 제3자, 즉 시티즌코난의 경우에는 금융사나 경찰청에 제공할 경우에는 또 별도의 동의를 받아야 한다. 개인정보보호위원회 관계자는 "IMEI와 IMSI를 수집하는 것 자체는 불법이 아니다"면서 "서비스 사용에 필수적이라면 개인정보처리방침 및 약관 등을 통해 서비스 이용자에게 수집 동의를 구해야 한다"고 설명했다. 문제는 사용자들에게 동의는 받았지만 IMEI, IMSI 등이 보이스피싱 예방 앱 서비스상 필요하지 않은 민감정보라는 점이다. 보안업계 관계자는 "IMSI나 IMEI를 수집하지 않아도 휴대폰 번호 만으로 보이스피싱 예방 서비스에 가입한 사용자를 충분히 식별할 수 있다"면서 "보이스피싱 예방 서비스를 제공하면서 민감정보를 왜 과도하게 수집하려 했는지 이해하기 어렵다"고 말했다. 다만 시티즌코난은 IMEI, IMSI 등 민감 정보 수집 약관과 관련해서는 실제 수집하지 않았고, 올해 약관을 수정해 이 부분을 삭제한 것으로 확인됐다. 유 대표는 "구글 정책이 바뀌면서 2020년경부터 IMEI 등 민감정보를 수집하지 못한다"면서 "이에 따라 IMSI, IMEI는 수집할 수도, 제3자에게 제공할 수도 없다. 회사 운영이 어렵다보니 약관을 제대로 반영하거나 업데이트를 제대로 하지 못해 실제 민감정보를 수집하지 않는데도 이를 약관에 반영하지 못했다. 약관 수정에 소홀한 점은 반성하고 있다"고 말했다. 이 외에도 인피니그루의 피싱 방지 앱(시티즌 코난 포함) 이용자 수가 900만명이 넘는 만큼 한국인터넷진흥원(KISA)로부터 정보보호관리체계(ISMS) 인증을 받아야 하지만 시티즌코난은 해당 인증을 획득하지 않은 것으로 나타났다. KISA 관계자 설명에 따르면 전년도 일일평균 정보통신서비스 이용자 수가 100만명 이상인 사업자는 ISMS 인증 의무 대상자로 분류된다. 소프트웨어, 앱 등 여러가지 정보통신서비스를 제공할 경우에는 해당 서비스의 이용자 수를 모두 합산해 계산한다. 의무대상자가 돼 인증을 최초로 신청하는 경우 이듬해 8월 31일까지 인증을 취득해야 한다. 이 규정을 어기면 과태료 3천만원이 부과된다. "회사 운영상 광고 도입…민감정보 수집은 약관 수정 못해 벌어진 일" 인피니그루 측은 시티즌코난을 둘러싼 문제와 관련해 각각 바로잡아야 할 점이 있다고 밝혔다. 우선 경찰대학과 공동으로 운영되고 있다고 오인되고 있는 점과 관련해서는 향후 운영 방향과 관련해 경찰대학 측으로부터 확답을 받지 못한 상황이라고 해명했다. 유경식 인피니그루 대표는 "2021년부터 2023년까지 3년간 공동 운영하고 있다가 그 이후에는 어떻게 할 것인지에 대해 (경찰대학으로부터)확답을 받지 못한 상황"이라며 "답변을 기다리는 상태"라고 밝혔다. 또 광고와 관련해서는 "시티즌코난에 표시되는 광고는 인피니그루 광고주의 광고 화면이며, 광고의 특성상 자극적인 문구가 포함된 것은 사실이다. 그러나 시티즌코난의 유료 서비스는 아니다"라면서 "공익적 성격의 앱이지만 회사 운영을 위해 광고 및 후원을 도입했고 실제 회사에 큰 도움이 됐다. 매출이 늘어난 것도 광고 덕분이며, 향후 광고를 줄여나갈 계획"이라고 설명했다. ISMS 인증 미획득과 관련해서는 "회사가 ISMS 인증을 획득할 만큼 형편이 여유롭지 않다. ISMS 인증을 획득하려면 컨설팅 등 추가적인 비용이 발생하는데 이를 소화할 여력이 없다"면서 "대신에 인피니그루는 금융사들을 협력사로 두고 있는데, 금융사에서 요구하는 보안 규정이 있다. 이런 보안 규정을 충족하지 못하면 거래 자체가 불가능한데, 망분리 등 보안 규정은 모두 통과한 상태"라고 밝혔다. 유 대표는 회사가 어려운 상황에도 뛰어난 보이스피싱 예방 실적을 달성한 점에 주목해달라고 당부했다. 그는 "사비를 들여서라도 보이스피싱 예방을 위해 회사를 운영해 왔는데 실제 성과도 두드러지게 나타나고 있다"면서 "2022년 기준 보이스피싱 피해를 사전에 예방한 금액을 추산하면 6조7000억원 규모"라고 말했다.
