삼성, WANA 지역 스마트폰에 IronSource 스파이웨어 AppCloud 강제 탑재

 (smex.org)
1P by GN⁺ 1일전 | ★ favorite | 댓글 1개
  • 삼성의 A 및 M 시리즈 스마트폰에 유저 동의 없이 AppCloud라는 블로트웨어가 선탑재됨
  • 해당 AppCloud는 ironSource(이스라엘 설립 회사, 현재 Unity 소유) 에서 개발되었으며, 민감 정보 수집 및 삭제 불가 특성으로 논란임
  • 개인정보 처리방침이 불투명하며, 사용자에게 데이터 수집 내용과 활용 내역이 고지되지 않음
  • 강제 설치 방식은 지역 데이터 보호 법률과 GDPR 위반 소지가 있음
  • SMEX 등 단체는 삼성에 투명성, 삭제옵션 제공, 향후 선탑재 중단을 촉구함

문제 제기: WANA 지역 삼성폰, 강제 블로트웨어 설치 논란

  • 최근 서아시아 및 북아프리카(WANA) 지역 사용자들로부터 삼성 스마트폰에 거의 알려지지 않은 intrusive 블로트웨어 AppCloud가 선탑재된 것에 대한 많은 제보가 수집됨
  • 사용자 동의나 사전 고지 없이 설치되며, 민감한 개인정보 수집, 삭제 불가, 개인정보 처리방침의 불투명성 등 중대한 우려가 제기됨

AppCloud와 ironSource

  • AppCloud는 ironSource(이스라엘 설립, 현 Unity 소유) 에서 개발되었고, 해당 기업의 성격 및 지역적 법적 제약 탓에 추가적인 법적·윤리적 논란이 발생함
  • 삼성은 AppCloud의 기능, 수집 데이터, 사용자 선택권 등에 대해 아무런 투명성도 제공하지 않고 있음

SMEX의 공개서한 요청사항

  • 삼성에 AppCloud의 프라이버시 정책, 데이터 처리 방식, 삭제/비활성화 방법 공개를 긴급히 요청함
  • 향후 기기 선탑재에 대해 개인정보 보호권을 고려할 것을 권고하며, 관련 사안 논의를 위한 미팅도 요구함

AppCloud 설치 실태 및 우려

  • 2022년 삼성과 ironSource의 협력 확대 이후, A 및 M 시리즈 신제품에 AppCloud가 기본으로 설치됨
  • SMEX 분석에 따르면, 이 소프트웨어는 운영체제(O/S)에 깊게 통합되어 있어 사용자 권한으로 삭제 불가능함
  • 루팅 없이는 제거 불가하고, 비활성화해도 시스템 업데이트 시 복구됨

개인정보처리방침의 불투명성

  • AppCloud의 프라이버시 정책이 존재하지 않거나, 정보 접근이 불가능
  • 어떤 데이터를 수집·활용하는지, 어떻게 보호하는지 투명하게 안내하지 않음
  • 민감한 사용자 데이터(생체정보, IP, 단말기 식별정보 등)까지 포함해 개인정보를 수집함

동의 없는 설치 및 법률 위반 소지

  • 사용자 동의 없이 AppCloud가 자동 설치되어 GDPR 및 WANA 국가 데이터 보호법 위반 가능성 존재
  • ironSource는 지역 법규상 일부 국가에서(예: 레바논 등) 영업이 금지된 점을 들어, 추가적인 법적·윤리적 문제 부각

삼성 이용약관의 문제점

  • 서비스 이용약관은 서드파티 앱만 포괄적으로 언급할 뿐, ironSource나 AppCloud 관련 구체 안내 없음
  • 대규모 데이터 접근 및 제어 권한을 가진 AppCloud에 대해 별도 고지가 없어 투명성 결여임

사용자 권리 침해 및 시장 영향

  • AppCloud 강제 설치는 사용자 프라이버시·보안권리 침해에 해당하며, 삼성의 압도적인 지역 시장 점유율을 고려할 때 심각한 사회적 파장 우려
  • 이런 상황에 대해 단체들은 다음을 요청함
    • AppCloud의 개인정보처리 및 데이터 활용 방식 전면 공개 및 접근성 보장
    • 옵트아웃 및 완전 삭제 방법 명확 안내 및 기기 안정성 저해 없이 가능하게 지원
    • WANA 지역 A, M 시리즈 기기에 선탑재 결정의 명확한 이유 설명
    • 추후 신제품 선탑재 전면 재고 및 개인정보권 보장(세계인권선언 12조 기준)
    • 사용자 프라이버시·데이터 보호 정책 관련 삼성 담당자와 구체적 논의 미팅
  • 사용자의 프라이버시와 보안을 위해 삼성의 신속한 답변 및 협력을 기대함
GN⁺ 1일전  [-]
Hacker News 의견

  • 나는 기업의 광고 목적으로 하는 대규모 감시와 국가 정보 기관의 감시가 최근 이란 고위 핵 과학자와 군 장교들이 집에서 표적이 된 사건과 밀접한 관련이 있다고 의심함. 어느 나라든, 어느 편이든, 요즘은 “반공개적” 데이터(기업이 판매하는 고객 정보나 스파이 기능 탑재 앱 등)만으로도 한 사람에 대해 너무 많은 정보를 추론할 수 있다는 점에 모두 동의할 것. 이제 정보 기관들이 정보 수집을 시장에 아웃소싱할 수 있어서 전통적 방식보다 훨씬 저렴하고 편리해진 상황. 오랫동안 “프라이버시는 인권”이라는 외침은 무시됐지만, 곧 정치인들도 프라이버시가 국가 안보 문제라는 점을 깨달았으면 하는 바람

    • 진실은 Overton Window(사회적·정치적으로 인정되는 대화의 범위) 바깥에 있는 현실. 드론 시대에서 프라이버시는 민간 방어의 문제임에도 불구하고, 현존 국가들은 대규모 PII(개인식별정보) 데이터베이스 구조 자체가 바로 그 취약점을 내포하고 있음. 반란 세력이 이런 데이터베이스를 탈취해 표적 삼을 수 있으니, 국가들은 결국 구식의 영토 통제 환상만 부여잡을 뿐임. 예전에 비해 통제는 몇 개의 요새화된 비밀 시설로 축소될 것이고, 앞으로 상황은 매우 예측 불가능하면서도 극도로 폭력적으로 치달을 거라는 예감

    • 우리는 종종 누군가가 핵시설에 방문한 사람들을 스마트폰 해킹으로 몰래 추적하는 첩보 영화 같은 작전을 상상하지만, 훨씬 더 논리적인 설명은 MEAF(이란 에너지청) 저급 직원에게 접근해서 정부 조직도 및 급여 기록이 담긴 USB를 건네받고, 그 대가로 그 직원의 자녀가 유명 외국 대학에 장학금을 받도록 해주는 식의 현실적 시나리오라는 생각

    • 이란의 셀룰러 통신망 시스템은 대부분 처음에 한국 기업이 설치했고, 이후 일부는 중국 브랜드로 바뀌었지만, 여전히 문제 있는 한국산 장비가 남아있다는 얘기를 들은 바

    • 이런 고가치 표적(이란의 장군/과학자 등)은 한 번만 찾아내면 위성으로 지속적으로 추적 가능. 정밀한 위치까지 필요 없고, 그냥 어떤 건물을 폭격할지 정도의 정보면 충분

    • 날씨 앱이 위치 정보를 브로커에게 공유하는 최악의 범인 중 하나. 오늘 날씨 확인하면 내일 폭격 위험해지는 시대

  • 원본 링크(https://web.archive.org/web/20250506145643/…)가 다운이라 공유함. AppCloud가 뭔지 기사에서 제대로 설명해주지 않지만, 본질적으로 삼성의 비플래그십 기기 사용자로부터 수익을 창출하기 위한 방법이고, 알림창 광고 삽입이나 앱을 몰래 설치할 수 있음. 만약 내 기기에서 이런 걸 발견하면, 더 이상 참지 않고 Apple 제품으로 넘어갈 마음

    • 그냥 Samsung을 안 사버리면 되지 않나 하는 생각. 물론 내 폰 브랜드도 비슷한 일을 할 수 있겠지만 아직 뉴스에 뜬 적 없어서 상대적으로 안심

    • 플래그십 모델, 특히 통신사 버전도 똑같은 일 당함을 본 경험에서 말해줌. 한 번도 본 적 없는 앱에서 알림이 계속 오고, 최근엔 삼성에서 Galaxy AI를 강제 탑재하면서(브라우저 텍스트 선택 시 절대 안 사라짐)나 인터페이스 불만 때문에, 날마다 내 선택을 후회

    • 5년 지난 iPhone을 중고로 사면 값은 저렴하고, 지원 기간도 길며, 싸구려폰보다 성능도 좋음. 나는 XS에서 새 모델로 갈아탔지만, 16도 크게 다르지 않고 그것마저 중고가 너무 낮아져 놀람. 옛날 iPhone이 웬만한 안드로이드 중급기보다 훨씬 쾌적

    • 안드로이드 버릴 필요 없음. Fairphone(https://fairphone.com)도 있음. 기본 안드로이드 괜찮고, 프라이버시 원하면 e/OS/ 설치도 초간단. 아직도 삼성 기기를 구입할 만한 가치가 있다고 결론내는 게 도무지 이해 불가

  • “삭제 불가능”이란 부분은 정확치 않음. 완전히 삭제는 안 되지만 시스템 파티션에 있기 때문에 adb 명령어로 비활성화는 대부분 가능. 아래 명령으로 Galaxy Store도 껐던 경험 있음

    adb shell pm uninstall --user 0 com.package.name

    • “unremovable” 하지만 “완전히 지울 수 없다”면, 그게 바로 삭제 불가(definition of unremovable)라 생각

    • 이 방법이 모든 폰에 적용되는 건 아님. Motorola 같은 제조사는 ‘nodisable’ 기능을 써서 APK 비활성화 자체를 막음. 내 2025년식 Motorola RAZR 5G엔, /product/etc/nondisable 경로에 통신사‧금융업체용 앱 이름을 명시한 XML 파일들이 있음

    • 나도 삼성 폰에서 똑같이 adb 명령으로 삭제하고, 그 방법(https://harigovind.org/notes/removing-samsung-android-bloatware/)을 정리해둠. 하지만 이런 앱들은 시스템 업데이트할 때마다 다시 살아나서, 결국 삼성폰은 버리고 bloatware 적은 Moto로 옮겼음

    • 삼성은 사실을 미화하는 데에 PR팀을 두고 돈을 쓸 텐데, 최소한 이런걸 커버해주면 너도 돈을 받아야 하지 않을까 싶음. 네가 직접 지울 수 없다는 걸 인정했고, 셸 명령까지 써서 꺼야 한다면, 결국 업데이트 때마다 다시 살아나는 구조

    • 단어의 의미가 반드시 기술적, 문자 그대로만 통용되는 건 아님. 일반 사용자들이 쉽고 직관적으로 앱을 삭제할 수 없다면, 사실상 "삭제 불가"한 것과 다름없음. adb 명령은 PC와 케이블, adb 설치, 디버깅 모드 등 일반인이 접근하기엔 사실상 서비스센터급 난이도라서, 자동차의 칩튜닝과도 비슷한 영역

  • 이 글이 생각보다 더 빨리 퍼지고 있어서 추가 설명함. MENA(중동·북아프리카) 지역 전반에서 비슷한 사례가 목격됨. SMEX 글은 WANA(서아시아·북아프리카) 위주이지만, MENA 쪽에는 “AppCloud” 대신 “Aura”라는 이름으로도 알려짐. 관련 기사(https://moroccoworldnews.com/2025/06/…) 있음

    • SMEX는 레바논 기반 단체고, (S)WANA란 말은 MENA 지명을 대체하는 요즘 신조어라는 설명

    • WANA와 MENA는 사실상 같은 지역

    • 나는 기업용 모바일 기기 관리를 했었음. 이 AppCloud는 유럽 오픈마켓 기기도 포함해 광범위하게 설치됐었음. 특히 엔터프라이즈 기기엔 절대 들어가선 안 됨(엔터프라이즈 MDM, E-FOTA 관리 기기 포함). 삼성 측과 이 일로 어색한 대화도 나눈 적 있음

    • 오스트레일리아에서 구입한 내 기기에도 설치되어 있었음

  • AppCloud는 논란 많은 이스라엘 스타트업 ironSource가 개발했으며, 최근 미국 회사 Unity가 인수함

    • 그래서 이제 Unity가 malware에 연관됐다는 농담도 가능

    • 가장 이상한 합병은 Unity가 ironSource를 44억 달러나 주고 인수했다는 점

  • 삼성만이 150불 이하의 비중국계 스마트폰(스파이웨어 논란 없는) 중 유일하다 생각해서 구매 고려했지만, 이제 남은 선택지가 애매함. 오픈소스 펌웨어 설치 가능한 폰이 있다면 그걸 고려. 난 내 폰을 신뢰하지 않기 때문에 중요한 정보는 전혀 저장 안 하며, 로그인이나 앱 설치도 하지 않는 중. 리눅스를 안 돌리는 기기는 그냥 신뢰 불가

  • 유럽과 북미도 똑같이 삼성 폰에서 AppCloud가 깔려있음. 초기 상태, 시스템 업데이트, 심지어 보안 업데이트 후에도 설치됨(역설적!). 통신사 락 여부와 무관하고, 설정에서 “시스템 앱 보기”를 켜야만 나타나기도. Galaxy S 시리즈 포함해 많은 사용자가 이를 보고 있음. AppCloud 논란이 도무지 말도 안된다고 느낌

  • 공급망 문제가 현대 보안에서 가장 ‘사이버펑크’적인 현실. 이는 수학적인 게 아니라 신뢰, 권력, 돈에 달림. 고객도 안전할 수 있는 형태로 공급망에 암호학적 검증을 도입할 가능성이 남았는지, 아니면 이미 늦어서 사이버펑크 디스토피아 미래만 남은 건지 궁금. 수학이 이 구도를 바꿀 수 있을지 고민

  • “루트 권한 없이 삭제 불가능, 루팅하면 워런티 무효+보안 위험” 주장은 우리를 이런 어이없는 상황에 몰아넣은 기업 프로파간다 그대로의 프레이즈임. 내가 기기 소유자라면 루트 권한도 당연한 권리여야 진짜 소유권 인정

    • 법적으로 모든 제삼자 소프트웨어 실행 가능한 하드웨어는 범용 컴퓨팅 장치로 간주되고, 사용자 실행 소프트웨어에 대한 암호적 혹은 기타 제한(예: 시큐어 부트, 리모트 어테스테이션 등) 금지가 필요. 이는 기기의 모든 부품에도 적용. 또한 사업자가 리모트 어테스테이션 실패를 이유로 서비스 거부(서비스 프로바이더 자기 보호 목적 차원)하는 행위도 금지해야 함. 이런 제한들은 결국 사용자 대신 광고업체(예: 비디오 플레이어 개조로 광고 건너뛰기 차단 등)에만 이익

    • 지금 구조에선 루팅을 하면 보안 손실이 불가피해진 현실. Verified Boot를 못 쓰는 점도, attestation이 회사에 귀속된 점도 모두 구조의 문제

    • 최근엔 “하드웨어 사용 라이선스”식으로 바뀌어, 내 소유의 기기를 자유롭게 쓸 자유조차 박탈당함. 특히 미국/유럽 외 지역, 예를 들면 아프리카에선 프라이버시·소비자 권리 개념도 미약

    • 현재 법적 현실은 기업 프로파간다의 결과이면서 동시에 실체적 현실임. “root access voids warranty(루트 권한은 워런티 소멸)”은 이미 많은 지역에서 실제 사실. 프로파간다 반복이 아니라 현실 설명에 가까움

    • “루팅은 워런티 무효이고 보안 위험”이라는 문장에 틀린 점은 없지만, 현실 사실 자체와 가치판단을 동일시해버리면 복잡한 문제임. 예컨대 “불에 데일 수 있다”는 경고가, 실제로 많은 사람들이 불에 의존해 음식이나 난방을 하는 것과 똑같이, 너무 단순화되는 문제임

  • 이쪽 분야는 아니지만, 만약 성능을 희생하더라도 보안(폐쇄적 서방 하드웨어 배제)만 추구한다면, 최고급 하드웨어·소프트웨어 인력이 힘 합쳐서 완전한 보안 스마트폰 만드는 게 어느 정도 가능할지 궁금. 예를 들어, 검증된 마이크로커널, 기본 전체 암호 메시징, 암호화 메모리, 프로세스 간 통신 암호화, 모뎀·주변기기·배터리용 하드웨어 스위치 등만 갖춰도 꽤 유의미해질 듯

    • 하지만 기술적 가능성 여부 따위는 자본의 힘 앞에선 의미 없음. 자본은 자체적으로 통제 불가능한 장치는 절대 허용 안 할 것. 진짜 보안 기기는 결국 꿈에 불과함

    • 생산 단계에서 쓰일 수준의 검증 마이크로커널은 엄청난 엔지니어링 과업임을 짚고 싶음

답변달기