SSAID와 UUID는 개인정보에 해당될까? 최신 개인정보보호법 기준 분석

요즘 앱 개발하거나 서비스 기획하다 보면 SSAID나 UUID를 활용해서 사용자 기기를 식별하곤 하죠?
그런데 이게 개인정보냐 아니냐에 따라 처리 방식이 완전히 달라져요.
특히, 2025년 3월 13일부터 시행된 개정 개인정보보호법 기준으로 한 번 깔끔하게 정리해볼게요.

---

📱 SSAID / UUID가 뭐야?

• SSAID는 Android에서 사용하는 기기 고유 식별자예요.
• UUID는 범용 고유 식별자로, 앱에서 사용자 구분할 때 자주 쓰여요.

이 둘 다 직접 이름이나 전화번호처럼 사람을 바로 식별하진 않지만,
다른 정보와 결합하면 특정 개인을 알아볼 수 있는 경우가 많아요.

---

🧑‍⚖️ 법적으로는 어떻게 판단할까?

2025년 개정 개인정보보호법에서는 이런 정보도 개인정보로 포함될 수 있다고 명시돼 있어요.

제2조 제1항
"개인정보란 살아 있는 개인에 관한 정보로서, 다른 정보와 쉽게 결합하여 개인을 알아볼 수 있는 정보를 포함한다."

즉, SSAID나 UUID 단독으로는 괜찮을 수 있지만,
✔️ 특정 사용자에게 귀속되거나
✔️ 다른 데이터(예: 로그인 정보, 위치 등)와 결합되면
명백히 개인정보에 해당돼요!

---

🔒 해시 처리하면 괜찮을까?

"그럼 해시 처리해서 저장하면 괜찮은 거 아냐?"
라고 생각하실 수도 있는데요, NOPE! 🙅‍♂️

• 해시된 정보라도 원본으로 복원 가능하거나
• 다른 정보와 조합하면 개인 식별이 되면
  👉 여전히 개인정보로 봐요.

그래서 해시 처리된 SSAID/UUID도 무조건 안전한 건 아니에요.

---

💡 실무에서 이렇게 하세요!

✔️ SSAID나 UUID를 사용할 땐,
→ 개인정보 수집에 대한 안내와 동의를 꼭 받기!

✔️ 활용 목적이 있다면,
→ 명확히 고지하고 필요한 범위 내에서만 사용하기!

✔️ 필요 없는 경우엔
→ 비식별 조치 또는 사용 자체를 피하는 게 좋아요.

---

UUID는 단순한 식별자일 뿐? 🤔

UUID(Universally Unique Identifier)는 이름 그대로 전 세계적으로 고유한 값을 가지는 식별자입니다.
흔히 앱 내 사용자 식별, 디바이스 고유 식별, 세션 관리 등에 사용되며,
대표적으로 Android의 SSAID(Android Secure ID)도 UUID 형식입니다.

UUID는 단순한 랜덤 문자 조합처럼 보이기 때문에 "이게 유출된다고 뭐가 큰일 나?"라고 생각할 수도 있지만,
실제로는 그렇지 않습니다. UUID는 그 자체로 개인을 특정할 수 있는 개인정보로 간주될 수 있으며,
유출 시 다양한 보안 위협에 노출될 수 있습니다.

---

UUID 유출로 발생할 수 있는 보안 위협 🚨

1. 사용자 추적 및 프로파일링 🧠

UUID는 앱 설치 시 고정되거나 기기 단위로 할당되는 경우가 많습니다.
따라서 한 번 수집된 UUID를 통해 사용자 활동을 장기간 추적할 수 있어요.
예를 들어 광고 SDK나 제3자 서비스가 앱 내 UUID를 수집하면, 해당 사용자의 앱 사용 패턴,
광고 클릭 기록, 위치 등을 파악해 정밀한 프로파일링이 가능합니다.

만약 악의적인 광고 네트워크가 UUID를 중심으로 여러 앱에서 사용자를 추적한다면,
사용자의 관심사, 위치, 행동 패턴이 모두 노출될 수 있는 것이죠.

---

2. API 토큰 및 인증 우회 📲

일부 앱이나 시스템에서는 UUID를 사용자 인증이나 토큰 생성의 일부로 사용하기도 합니다.
이 경우 UUID가 유출되면 공격자가 해당 값을 통해 API 요청을 위조하거나, 정상 사용자로 가장할 수 있어요.

예시:

• 인증 없이 UUID 기반으로 사용자 정보를 조회하는 API가 존재한다면?
• 공격자가 다른 사용자의 UUID를 알고 있다면, 해당 사용자의 데이터에 접근할 수 있습니다.

---

3. 디바이스 스푸핑 및 세션 탈취 📡

UUID는 종종 디바이스 식별 목적으로도 사용됩니다.
예를 들어, 특정 기기에만 접근 권한이 부여된 시스템이 있다면,
공격자가 해당 UUID를 스푸핑하여 인증 절차를 우회할 수 있어요.

또한 일부 시스템에서는 UUID를 세션 식별자로 사용하는 경우도 있는데,
이 경우 세션 탈취(Session Hijacking) 위험도 존재합니다.

---

4. 결합 정보로 인한 개인정보 식별 가능성 🧬

UUID 자체는 익명성이 보장된 듯 보이지만, 다른 정보와 결합되면 특정인을 식별할 수 있는 결합정보로 바뀔 수 있습니다. 예를 들어, UUID + 위치정보 + 시간정보 조합으로는 특정 사용자임을 유추할 수 있죠. 이런 경우 개인정보 보호법상 '개인정보'로 분류되며, 관련 보호 조치가 필요합니다.

---

UUID 보호를 위한 실천 가이드 ✍️

✅ UUID를 로그나 전송 시 반드시 암호화하거나 마스킹 처리하세요.
✅ API 설계 시 UUID 단독으로 사용자 정보나 세션에 접근하지 않도록 하세요.
✅ 앱 내 UUID 접근 권한을 최소화하고, SDK 사용 시 제3자 접근을 제한하세요.
✅ 개인정보 처리방침에 UUID 수집 및 사용 목적을 명시하세요.
✅ UUID를 포함한 민감 정보는 주기적으로 변경하거나 무작위화하는 것도 고려해보세요.

---

맺으며 🧩

UUID는 고유성과 편리함 때문에 다양한 분야에서 널리 사용되고 있지만, 그만큼 악용될 가능성도 높은 정보입니다.
특히 SSAID처럼 시스템적으로 고정된 UUID는 사실상 '디지털 지문'처럼 사용자를 추적할 수 있게 만들죠.
최근 개인정보보호법(2025. 3. 13 개정)에서도 UUID를 '개인을 알아볼 수 있는 정보'로 간주할 수 있기 때문에,
유출이나 오남용 방지를 위한 기술적·관리적 조치가 매우 중요합니다.

단순한 식별자도, 보호하지 않으면 심각한 위협이 될 수 있어요.
UUID도 개인정보라는 인식으로 보안 체계를 강화해 나가야 할 때입니다. 🔐💡