백악관 앱, 개인 정보 수집 논란: 위치 추적, 서드파티 코드 로딩

분석 결과, 백악관 앱은 위치 정보(Location Data)를 수집하여 OneSignal 서버로 전송하는 기능을 포함하고 있음이 밝혀졌다. 특히, 앱이 백그라운드에서 실행될 때에도 9.5분 간격으로 위치 정보를 수집하며, 사용자의 정확한 위치(Precise Location), 정확도(Accuracy), 타임스탬프(Timestamp) 등의 데이터를 기록한다. 이러한 데이터는 OneSignal의 프로퍼티 모델(PropertiesModel)을 통해 수집되며, 사용자 프로파일링에 활용될 수 있다는 점에서 개인 정보 보호(Privacy)에 대한 우려를 낳고 있다.

앱은 YouTube 임베드를 위해 개인 GitHub Pages 사이트에서 JavaScript 코드를 로드하며, Elfsight를 통해 소셜 미디어 위젯을 표시한다. 이러한 서드파티 코드(Third-party Code)는 앱 내 웹뷰(WebView)에서 실행되므로, 해당 사이트가 악성 코드로 변경될 경우 앱 사용자에게 심각한 보안 위협이 될 수 있다. 또한, SSL 인증서 고정(Certificate Pinning)이 적용되지 않아, 중간자 공격(MITM)에 취약하다는 점도 지적된다.

앱은 웹뷰(WebView)에서 로드되는 웹사이트의 쿠키 배너(Cookie Banner), GDPR 배너(GDPR Banner), 로그인 게이트(Login Gate) 등을 제거하는 JavaScript 코드를 주입한다. 이는 사용자 경험을 개선하는 긍정적인 측면이 있지만, 웹사이트의 이용 약관(Terms of Service)에 대한 동의를 우회하는 결과를 초래할 수 있다. GDPR 규정 준수(GDPR Compliance) 측면에서 논란의 여지가 있으며, 법적 책임(Legal Liability) 문제로 이어질 수 있다.

분석 결과, 백악관 앱의 프로덕션 빌드에 개발 관련 아티팩트(Development Artifacts)가 포함되어 있는 것으로 나타났다. 구체적으로, localhost URL, 개발자 IP 주소, Expo 개발 클라이언트(Expo Dev Client), 그리고 Compose PreviewActivity 등이 포함되어 있다. 이러한 정보는 잠재적인 공격자에게 앱의 내부 구조에 대한 단서를 제공할 수 있으며, 공격 표면(Attack Surface)을 증가시키는 요인으로 작용할 수 있다.