• 2 Stories

샤오미 백도어 논란

2014년 7월 홍콩의 개발자그룹 ‘IMA모바일’ 소속 사용자가 자신의 샤오미 홍미노트(130달러 대의 저가형 스마트폰)를 분석했습니다. 결과는 놀라웠습니다. 스마트폰에 저장된 데이터가 사용자 동의 없이 중국에 위치한 서버로 전송되고 있었던 것입니다.

by World Leaks, flickr (CC BY)

샤오미 부사장, 백도어 논란 해명

핀란드의 보안업체 ‘F-Secure’는 자체 테스트를 통해 샤오미의 저가 스마트폰 기종 ‘홍미1S’가 단말에 저장된 모바일기기식별코드(IMEI), 전화번호부, 문자메시지 발신자 번호 등을 수집하고 이를 샤오미의 서버로 전송하고 있다고 밝혔습니다. 테스트는 포장을 바로 뜯은 새 제품을 통해서 이뤄졌으며, 샤오미의 클라우드 서비스인 ‘미 클라우드’(Mi Cloud) 또한 꺼져있는 상태에서 이뤄졌다고 합니다. 클라우드 서비스에 접속한 이후에는 단말기가 자신의 전화번호도 수집하고 전송했다고 합니다.

샤오미 휴고 바라 부사장은 최근 불거지고 있는 "사용자 정보 무단 전송” 논란을 본인의 구글 플러스 계정을 통해 해명했습니다. 그가 밝힌 사용자 정보 전송의 이유는 인스턴트 메신저를 사용하기 위해서라고 합니다. 샤오미의 자체 인스턴트 메시징 기능인 ‘클라우드 메시징 서비스’에 가입한 사용자인지 식별하기 위해 SIM 카드 정보, 발신자 전화번호, IMEI 등을 전송하고, 메시지를 주고받는 상대방 사용자의 ‘클라우드 메시징 서비스’ 가입 여부를 판별하기 위해 전화번호부를 사용한다고 밝혔습니다. 휴고 바라 부사장은 이 정보들은 모두 암호화해서 전송되며, 서버 어디에서 저장되지 않는다고 못 박아 이야기했습니다.

"메시지를 보낼 때 인터넷에 연결돼 있다면 클라우드 메시징 시스템은 먼저 인터넷을 통해 메시지를 상대방에게 전송합니다. 받는 쪽에서도 샤오미의 스마트폰을 쓰고 인터넷에 연결된다면 클라우드 메시지로, 오프라인이라면 통신사의 문자메시지로 전환합니다."

휴고 바라 샤오미 부사장, 구글 플러스를 통한 해명문 중

샤오미 스마트폰, 사진, SMS 등 개인정보 유출 정황 포착

샤오미의 저가형 스마트폰 ‘홍미노트’를 통해 사용자의 개인정보가 유출된 사실이 밝혀지면서 논란이 일고 있습니다. 데이터 전송에 대한 동의도 없었을뿐더러, 전송된 데이터는 사진과 문자메시지(SMS) 등 개인의 가장 비밀스러운 것들입니다. 데이터 전송은 사용자의 스마트폰이 무선랜에 접속되어 있을 때 이뤄졌습니다. 펌웨어 설치, 루팅(운영체제 관리자 권한의 강제 획득) 등을 통해서도 중지되지 않았다고 하는데요. "샤오미의 클라우드 서비스인 미클라우드(Micloud) 때문이지 않을까?" 생각하시는 분이 있으시겠지만, 당시 사용자는 샤오미 클라우드 서비스를 꺼놨다고 합니다.

사용자의 데이터가 흘러들어가는 IP주소를 추적한 결과, 소재지는 중국의 베이징, IP 보유자는 ‘포레스트 이터널 커뮤니케이션 테크놀로지’라는 중국 기업이었습니다. 이 기업의 웹사이트 주소는 ‘www.cnnic.cn’라고 기재되어 있는데요. 무서운 점은 이 주소가 중국 베이징 중관춘 과학기술단지에 위치한 중국인터넷정보센터(CNNIC)의 웹사이트 주소였다는 점입니다. 아직 근거가 부족하므로 중국 정부가 의도적으로 사용자 정보를 수집했다고 확신할 수는 없습니다. 하지만 사용자 허락 없이 개인정보가 몰래 빠져나가고 있었다는 점은 분명 문제가 있어 보입니다.

샤오미 부사장, 백도어 논란 해명

핀란드의 보안업체 ‘F-Secure’는 자체 테스트를 통해 샤오미의 저가 스마트폰 기종 ‘홍미1S’가 단말에 저장된 모바일기기식별코드(IMEI), 전화번호부, 문자메시지 발신자 번호 등을 수집하고 이를 샤오미의 서버로 전송하고 있다고 밝혔습니다. 테스트는 포장을 바로 뜯은 새 제품을 통해서 이뤄졌으며, 샤오미의 클라우드 서비스인 ‘미 클라우드’(Mi Cloud) 또한 꺼져있는 상태에서 이뤄졌다고 합니다. 클라우드 서비스에 접속한 이후에는 단말기가 자신의 전화번호도 수집하고 전송했다고 합니다.

샤오미 휴고 바라 부사장은 최근 불거지고 있는 "사용자 정보 무단 전송” 논란을 본인의 구글 플러스 계정을 통해 해명했습니다. 그가 밝힌 사용자 정보 전송의 이유는 인스턴트 메신저를 사용하기 위해서라고 합니다. 샤오미의 자체 인스턴트 메시징 기능인 ‘클라우드 메시징 서비스’에 가입한 사용자인지 식별하기 위해 SIM 카드 정보, 발신자 전화번호, IMEI 등을 전송하고, 메시지를 주고받는 상대방 사용자의 ‘클라우드 메시징 서비스’ 가입 여부를 판별하기 위해 전화번호부를 사용한다고 밝혔습니다. 휴고 바라 부사장은 이 정보들은 모두 암호화해서 전송되며, 서버 어디에서 저장되지 않는다고 못 박아 이야기했습니다.

"메시지를 보낼 때 인터넷에 연결돼 있다면 클라우드 메시징 시스템은 먼저 인터넷을 통해 메시지를 상대방에게 전송합니다. 받는 쪽에서도 샤오미의 스마트폰을 쓰고 인터넷에 연결된다면 클라우드 메시지로, 오프라인이라면 통신사의 문자메시지로 전환합니다."

휴고 바라 샤오미 부사장, 구글 플러스를 통한 해명문 중