트렌드

샤오미 개인정보 유출 논란, 다시 수면 위로

2014.08.11

지난 주 샤오미의 스마트폰 ‘홍미노트’가 개인정보를 북경에 있는 샤오미 서버로 전송한다는 의혹이 제기됐다. 이른바 ‘백도어’ 논란이다. 지난 7월말 홍콩의 한 이용자는 홍미노트가 무선랜에 접속해 있는 상태에서 스스로 사진과 문자메시지를 외부로 전송하는 것을 발견했다. 그 목적지는 중국에 있는 샤오미의 서버였다.

먼저 의심해볼 만한 부분은 샤오미의 클라우드 서비스인 ‘미클라우드’로 데이터 백업이 이뤄지는 것이었다. 하지만 이 홍미노트는 미클라우드 서비스를 쓰지도 않았다. 운영체제도 루팅하지 않았고, 다른 운영체제를 심지도 않은 순정 상태였다.

여러 정황상 샤오미는 개인 정보를 빼돌린다는 백도어 의혹을 받기에 충분했지만 다른 한편으로 이렇게 드러내놓고 전송하는 백도어가 어디 있냐는 의견도 나왔다.

xiaomi_redmi

중국 시장점유율 1위를 차지하며 한창 주가를 올리고 있는 샤오미로서는 백도어와 ‘감시’라는 이미지가 부담스러울 수밖에 없다. 휴고 바라 샤오미 부사장은 OTA 업데이트와 메시지 앱이 서버에 접속하는 것이라고 해명하긴 했지만 의혹이 쉽게 사그라들진 않았다.

F시큐어는 홍미노트가 전송하는 패킷을 다시 분석했다. 포장을 뜯고 바로 꺼낸 새 제품에 계정 설정도 하지 않았고, 클라우드 서비스도 껐다. 그 상태에서 제품에 USIM을 꽂고 무선랜에 연결했다. GPS 설정은 허용했다. 새 기기에 연락처 정보를 몇 개 추가한 뒤 그 번호로 SMS와 MMS 메시지를 보냈고, 전화를 걸고 받았다.

그 사이에 홍미노트는 ‘api.account.xiaomi.com’와 지속적으로 통신을 했다. 통신사 이름을 전송했고, 기기를 식별할 수 있는 IMEI와 전화번호도 전송했다. 연락처에 들어 있는 전화번호와 문자메시지 내용도 클라우드로 흘러들어갔다. F시큐어는 이어 홍미노트를 미클라우드에 접속해 똑같은 과정을 거쳤다. 이때는 기존 IMEI와 전화번호에 IMSI 정보까지 더해서 전송했다.

xiaomi_data

이에 샤오미는 다시 반박문을 냈다. 구글에서 안드로이드를 맡다가 샤오미로 자리를 옮긴 휴고 바라 수석부사장은 구글플러스를 통해 백도어를 부정하고 나섰다. 기기를 체크하는 이유는 인터넷을 통한 메시지 전송을 위해서라는 이야기다.

단말기가 켜지면 인스턴트 메신저를 쓰기 위해 기기를 식별하는 코드가 샤오미 서버에 전송된다는 것이다. 샤오미는 이를 ‘클라우드 메시징 서비스’라고 부르는데, 이를 위해 기기를 식별할 수 있는 SIM카드 정보와 기기를 인식하는 전화번호, IMEI 등을 통신한다는 것이다. 주소록의 번호도 마찬가지로 메시지를 주고받는 상대방의 가입 여부를 식별하기 위한 것으로 보인다. 휴고바라 부사장은 기술 설명에서 이를 강조한다.

“메시지를 보낼 때 인터넷에 연결돼 있다면 클라우드 메시징 시스템은 먼저 인터넷을 통해 메시지를 상대방에게 전송합니다. 받는 쪽에서도 샤오미의 스마트폰을 쓰고 인터넷에 연결된다면 클라우드 메시지로, 오프라인이라면 통신사의 문자메시지로 전환합니다.”

그 과정에서 전화번호를 가져올 수밖에 없다는 것이다. 전화번호와 메시지를 클라우드로 보낸 뒤 전송이 안 되면 통신사 문자메시지를 보내는 방식이 오해를 불러일으켰다는 것이다.

휴고 바라 부사장은 “메시지는 암호화해서 전송되고 어디에도 저장되지 않으며 전송을 확인하는 것 외의 용도로는 쓰지 않는다”고 밝혔다.

다만 보안에 대한 우려를 사고 있는 만큼 제품을 켜면 기본적으로 이 기능을 활성화하는 것에서 방식을 바꿔 기본적으로 끄고, 이용자가 필요에 따라서 켤 수 있도록 하겠다고 밝혔다. 또한 이를 반영한 MiUi를 다음 운영체제 업데이트에 반영한다는 이야기도 덧붙였다.

allove@bloter.net

모바일 컴퓨팅에 대해 어떤 것이든 이야기 나누고 싶습니다. e메일 allove@bloter.net