삼성 갤럭시 A·M 시리즈 ‘앱클라우드’ 사전 설치 논란과 프라이버시 위험

삼성 갤럭시 A·M 시리즈 ‘앱클라우드’ 사전 설치 논란과 프라이버시 위험

삼성전자가 중저가 스마트폰 라인업인 갤럭시 A·M 시리즈 일부 모델에 사용자가 쉽게 제거할 수 없는 소프트웨어를 사전 설치해 판매해 왔다는 비판이 제기됐다. 해당 앱은 이스라엘 모바일 분석 기업 아이언소스(IronSource)가 개발한 ‘앱클라우드(AppCloud)’로, 보안 커뮤니티에서는 “사전 설치된 스파이웨어”에 가깝다는 지적까지 나오고 있다.

쟁점은 두 가지다. ① 사용자가 제거할 수 없을 정도로 깊이 통합된 구조와 ② 명시적 동의 없이 위치·사용 패턴 등의 데이터를 지속적으로 수집한다는 의혹이다. 특히 중동·북아프리카(MENA) 지역과 같이 정부 감시 우려가 큰 국가에서 판매된 모델에 집중 탑재됐다는 점이 논란을 키우고 있다.

1. 논란의 핵심: AppCloud와 갤럭시 A·M 시리즈

보안 전문 매체 보도에 따르면, 문제의 소프트웨어는 아이언소스가 통신사·모바일 제조사를 위해 개발한 ‘앱클라우드(AppCloud)’ 솔루션으로, 주로 중동 및 북아프리카 지역에 공급된 갤럭시 A·M 시리즈에 사전 설치된 것으로 전해졌다.

삼성전자는 2022년, 이 지역 50개 이상 국가에 출시되는 중저가 모델에 대해 아이언소스와 파트너십을 맺고 AppCloud 기반 솔루션을 적용하기로 한 바 있다. 이 솔루션은 통신사·제조사 입장에서는 앱 추천·마케팅·분석 도구로 활용되지만, 사용자 입장에서는 통제하기 어려운 감시 채널이 될 수 있다는 우려가 제기된다.

2. AppCloud의 데이터 수집과 ‘삭제 불가’ 구조

보안 연구자들과 프라이버시 옹호 단체들은 AppCloud가 다음과 같은 정보를 장기간 수집해 왔다고 지적한다.

• 사용자의 위치 정보
• 설치·사용 중인 앱 목록 및 사용 패턴
• 단말기 정보, 네트워크 환경 등 기기 메타데이터

특히 이 앱은 삼성 One UI 운영체제에 깊게 통합되어 있어, 일반적인 방식으로는 앱을 완전히 제거하기 어렵다는 보고가 잇따르고 있다. 사용자들이 비활성화 또는 삭제를 시도해도 소프트웨어 업데이트나 공장 초기화 이후 AppCloud가 자동으로 재활성화된다는 사례가 공유되면서 “사실상 삭제 불가능한 앱”이라는 평가까지 나온다.

2-1. 일반 사용자가 통제할 수 없는 사전 설치 앱

문제는 이러한 동작 방식이 명시적인 동의와 통제를 전제로 하는 현대 프라이버시 원칙과 정면으로 배치된다는 점이다. 사용자는:

• 앱 설치를 직접 선택하지 않았고,
• 데이터 수집에 대한 구체적인 안내와 세부 동의 과정을 거치지 않았으며,
• 설치 이후에도 앱을 완전히 삭제하거나 추적을 차단하기 어렵다.

이 때문에 시민단체와 보안 연구자들은 AppCloud를 단순한 블로트웨어(bloatware)가 아니라 “디바이스에 내장된 감시 도우미”에 가깝다고 비판한다.

3. 디지털 인권 단체 SMEX의 조사와 감시 위험

논란은 레바논 디지털 인권 단체 ‘스멕스(SMEX)’가 중동·북아프리카(MENA) 지역 프라이버시를 조사하면서 본격적으로 수면 위로 떠올랐다. SMEX는 보고서에서 다음과 같은 우려를 제기했다.

• AppCloud는 단말기 초기 설정 이후에도 장기간 살아남으며,
• 제3자에게 사용자 데이터를 지속적으로 전송할 수 있는 구조를 가지고 있고,
• 정부의 권한 남용이 우려되는 지역에서는 심각한 감시 인프라로 악용될 소지가 있다.

SMEX 대변인은 AppCloud를 “단순한 번들 앱이 아니라, 하드웨어에 내장된 감시 도구”라고 규정하며, 삼성에 다음과 같은 조치를 요구했다.

• 전 세계 모델을 대상으로 하는 글로벌 패치 배포
• 아이언소스와 공유되는 데이터 항목 전체 목록 공개
• 사용자가 AppCloud를 완전히 제거·차단할 수 있는 기술적 옵션 제공

4. 삼성·규제기관의 입장

한편, 삼성과 미국 연방통신위원회(FCC) 등 주요 규제 기관들은 “관련 소프트웨어가 금지 조치를 받았다”는 루머는 사실이 아니라고 선을 그었다. FCC 차원의 별도 제재는 없으며, 삼성 역시 사용자 프라이버시 기준을 준수한다는 기존 입장을 재확인했다.

다만 삼성은 SMEX가 제기한 구체적 의혹(데이터 항목, 삭제 불가 구조 등)에 대해서는 직접적인 답변을 내놓지 않아 논란은 계속 이어지는 모양새다. 프라이버시 커뮤니티에서는 “규제기관의 공식 제재 여부와 별개로, 사용자가 통제할 수 없는 데이터 수집 구조가 맞는지 여부를 기술적으로 투명하게 설명해야 한다”는 요구가 나온다.

5. 중저가 스마트폰, 왜 더 취약한가

중저가 스마트폰은 통신사·제조사·광고 플랫폼의 이해관계가 복잡하게 얽혀 있어, 사전 설치 앱과 데이터 수집 기능이 다수 포함되는 경우가 많다. 특히:

• 출고가를 낮추기 위한 광고·제휴 수익 모델이 적극 활용되고,
• 소비자가 기기 선택 시 상세 사양보다 가격을 우선시하는 경향이 강하고,
• 프리미엄 라인업보다 투명한 정보 공개·프로모션이 부족한 경우가 많다.

이러한 구조에서 사전 설치 앱은 쉽게 늘어나지만, 사용자가 정확히 어떤 데이터를 누구에게 제공하는지 명확하게 알기 어려운 문제가 반복된다.

6. 앞으로 필요한 조치와 과제

AppCloud 논란은 특정 앱 하나의 문제가 아니라, 사전 설치 앱 전체에 대한 투명성·통제권의 문제로 볼 수 있다. 전문가들은 다음과 같은 과제를 제시한다.

• 사용자가 원치 않을 경우 사전 설치 앱을 완전히 제거할 수 있는 권리 보장
• 통신사·제조사·3rd 파티 간 데이터 공유 구조 공개
• MENA 등 고위험 지역을 대상으로 한 감시·감청 악용 가능성에 대한 독립적 조사
• 프라이버시 정책과 실제 앱 동작 간 정합성 검증을 위한 정기 감사 제도

실제로 AppCloud가 어느 수준까지 데이터를 수집·전송해 왔는지, 그리고 사용자가 이를 통제할 수 있는 실질적인 수단이 존재하는지는 앞으로도 중요한 논쟁거리로 남을 전망이다.