티끌 모아 태산: Android 앱 개발에서의 데이터 최소화 원칙에 관한 코드 중심 실증 연구

현대의 모바일 애플리케이션은 기능을 수행하기 위해 방대한 양의 데이터를 소비하며, 이는 심각한 개인정보 보호(Privacy) 우려와 규제적 과제를 야기합니다. 기존 연구들은 주로 정책 분석을 통해 준수 격차(Compliance gaps)를 탐지하는 데 집중해 왔으나, 개발자가 코드 수준에서 개인정보 보호 원칙을 구현할 수 있도록 돕는 실행 가능한 가이드는 여전히 부족한 실정입니다. 본 논문에서는 개발자가 실행 가능한 원칙으로서 데이터 최소화(Data minimization)에 초점을 맞추고, Android 애플리케이션에서의 구현 양상을 조사합니다. 우리는 1,114개의 오픈 소스 Android 앱을 대상으로 형성 연구(Formative study)를 수행하여, 5가지 데이터 처리 단계에 걸쳐 반복되는 10가지 데이터 최소화 시나리오를 식별했습니다. 이를 바탕으로 9,875개의 실제 APK에 대한 대규모 분석을 수행하였으며, 개인정보 보호 규정을 준수하는 개발을 지원하기 위한 31가지의 실행 가능한 코딩 가이드라인을 추출했습니다. 나아가 우리는 Android 개발에서의 LLM(Large Language Model) 기반 코드 생성(Code generation)을 조사하였으며, 최신 모델들이 데이터 최소화 측면에서 위험한 관행을 일관되게 재현한다는 사실을 발견했습니다. 이는 모델들이 실제 코드의 패턴을 상속하고 증폭시킨다는 것을 나타냅니다. 고무적이게도, 우리의 가이드라인을 통합했을 때 평가된 모든 모델에서 이러한 문제들이 제거되었습니다. 본 연구는 개인정보 보호 규제 요구사항에 대해 코드 수준의 근본 원인(Root causes)에서 대응하는 방향으로의 전환을 옹호하며, 이를 통해 인간과 AI 보조 프로그래밍 모두에서 더 나은 규제 준수를 가능하게 합니다.