ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 샤오미의 클라우드 메시징 서비스를 통한 개인정보 유출 논란, 그리고 서비스의 사용자 식별과 사용자 동의에 대해서..
    Security 2014. 8. 12. 10:10
    반응형

    어제자 뉴스(2014년 8월 10~11일)로 터진 샤오미의 스마트폰 개인정보 유출 논란에 대해서 이런저런 말들이 많은거 같다. 최근 핫하게 떠오르고 있는 기업인 샤오미에 대한 이야기이기도 하지만 또 눈에 번쩍 뜨일 수 있는 개인정보 관련 논란이기에 말이다. 또한 샤오미가 중국 회사이기 때문에 전세계적으로 이런 논란은 좀 심해지는거 같다. 최근에 중국이 많이 발전되었기는 했지만 여전히 믿을 수 없는 국가라는 인식이 강하기 때문이 아닐까 싶다.


    일단 논란을 지핀 F-Secure의 발표 내용을 보면 샤오미의 스마트폰이 몇가지 개인정보를 밖에 있는 서버로 전송한다고 적어놨다. 이들이 테스트한 내용을 살펴보면 fresh out of the box라는 테스트를 한거 같은데 심카드를 넣고 WiFi에 접속하고 GPS 연결 서비스를 허가하고 폰북에 새로운 연락처를 추가하여 SMS, MMS 메시지를 주고 받으며 전화를 걸고 받는 테스트를 했다고 한다. 그리고 샤오미에서 제공하는 Mi 클라우드(애플의 iCloud와 비슷한 서비스)에 로그인하고 같은 작업을 반복했다고 한다. 이 때 api.account.xiaomi.com를 통해서 IMSI(International Mobile Subscriber Identity, 가입자 식별자)가 보내어지는 것을 확인했다고 한다. IMEI와 전화번호와 같은 정보도 함께 말이다.
    api.account.xiaomi.com는 아마도 샤오미의 서비스 서버인거 같은데 국내에서도 민감한 저 정보가 중국의 샤오미 서비스 서버로 날라간다고 하니 화들짝 놀랄 수 밖에 없는 일이다.


    이 논란이 나오자 샤오미의 부사장인 휴고 바라는 구글+를 통해서 논란에 대해서 해명을 했다. 샤오미는 사용자들의 개인정보 취급을 최상위로 생각하고 있으며 서버에 저장하거나 그렇게 하지 않는다고 말이다. 그리고 F-Secure에서 진행한 테스트는 MIUI 클라우드 메시징에 대한 부분 같은데 샤오미는 MI 클라우드 메시징을 사용하는 사용자들끼리 무료로 메시징 서비스를 하기 위해 식별자로 IMSI, IMEI, 폰번호를 사용하고 있는데 이는 유명한 메시징 서비스에서 대부분 채택하고 있는 방식이라 문제가 되지 않는다라고 말이다. 클라우드 메시징 서비스는 IP 기반에서 돌아가지만 식별을 위해서 IMSI, IMEI, 폰번호를 사용했다는 것이다. 문제는 이 서비스가 기본 서비스로 되어 있기 때문에 문제가 된 듯 싶은데 10일 이후로 옵트인 방식으로 전환하여 제공하겠다고 한다. 참고로 옵트인 방식은 사용자의 선택에 의해 설치가 되고 그 후에 서비스가 되는 방식을 뜻한다. 서비스 자체는 원래 제공이 되지만 서비스를 받기 위해서는 사용자가 해당 앱을 설치해야 한다는 것이다. 따로 가입을 할 필요는 없지만 말이다. 일단 이렇게 해명을 했지만 여전히 논란은 계속되고 있는 듯 싶다.


    샤오미에서 제공되는 폰 자체에서 IMSI나 IMEI와 같은 정보를 샤오미 서버로 보내는지, 아니면 클라우드 메시징 서비스에만 국한되는지는 모르겠지만 어찌되었던 논란의 소지가 있었던 것은 분명해보인다. 점점 개인정보보호에 대해서 관심이 높고 기업에서 이 개인정보에 대해서 다루는 것에 민감하게 반응하는 사용자들이 많아지면서 이에 대한 논란은 계속되고 있는 듯 싶다. 특히나 보안을 하는 입장에서 이런 부분은 중요한 이슈가 된다. 보호해야 할 대상이기 때문이다. IMEI나 IMSI, 폰번호와 같이 직접적으로 식별할 수 있는 요소들이 아닌 PC의 맥주소나 고유정보를 수집하는 것도 문제시되는 세상이니 오죽이나 그럴까 싶다. 1~2년전에 카카오톡의 PC 버전이 나왔을 때 PC의 맥주소를 수집한다는 이유 때문에 꽤나 곤욕을 치룬 것은 잘 알려진 사실이다.


    서비스를 제공하는 입장에서 사용자의 식별을 어떻게 할 것인가는 무척이나 중요하다. 사용자의 중복 사용이나 이중 사용을 막아야 해당 서비스가 범죄에 악용될 소지를 미연에 방지할 수 있기 때문이며 유료 서비스의 경우 과금에 문제가 되지 않기 때문이다. 그렇기 때문에 어떻게 사용자 식별을 정확하게 할 수 있는지에 대해서 많이 연구를 한다.


    가장 기본적인 ID, 패스워드 방식은 전통적인 방식이며 여전히 많이 사용하고 있는 방식이지만 패스워드의 경우 노출되기 쉽고 여러 디바이스에서 접속할 수 있기 때문에 하나의 ID로 여러명이 사용할 수 있는 가능성이 높다. 그래서 그 뒤에 사용자의 사용할 수 있는 디바이스를 제한하기 위해 다양한 방식의 기기 인증을 진행하는데 가장 많이 사용하는 방법이 IP, 맥주소이며 스마트폰이나 태블릿PC와 같은 경우에는 IMEI, IMSI, 폰번호 등을 사용하기도 한다. 물론 수집되기 전에 사용자들의 동의를 먼저 받고 시작하는 것이 우선이며 이번에 논란이 된 샤오미의 경우에도 약관에 수집한다고 명시가 되어 있다(다만 동의를 받는 절차는 없었던거 같다). 구글의 경우에는 구글 스트리트뷰를 촬영할 때 주변의 무선 AP 정보를 수집하면서 그 안의 쿠키정보나 사용자의 사용 이력을 무단으로 함께 수집하는 것으로 인해 논란이 된 적도 있는데 동의없이 수집되는 개인정보로 인해 서비스 사용에 논란이 되는 경우는 수없이 많은 듯 싶다.


    이번 샤오미의 경우에는 어떻게 보면 해프닝으로 끝날 수도 있고 아니면 이것으로 인해 그동안 잘 쌓아오던 샤오미의 성장세에 치명타를 입을 수도 있을 듯 싶다. 물론 성능이 우수하면서도 가격이 저렴하기 때문에 샤오미의 성장세는 계속될 것으로 보이지만 개인정보에 나름 민감하게 반응하는 사용자들이 많아지는 요즘의 추세로 봤을 때에는 그렇게 낙관적으로만 볼 수는 없을 듯 싶다. 일단 지금의 논란이 이대로 가라앉으면 좋겠지만 계속 커지게 되면 샤오미의 다음 대응에 따라서 샤오미의 이미지가 달라질 것으로 보인다. 뭐 예상은 아마도 이대로 조용히 가라앉지 않을까 싶지만 말이다.


    샤오미 뿐만이 아니다. 서비스를 위해 개인정보를 어느정도 사용해야 하는 경우가 많을텐데 사용자에 대한 동의가 없이 무단으로 사용했다가 서비스를 접게 되는 경우도 많을테니 세심한 주의가 필요하지 않을까 싶다.



    반응형

    댓글

Designed by Tistory.