샤오미 백도어 삭제 - syaomi baegdo-eo sagje

안녕하세요. 외계인의 IT 플래닛입니다.

​

국내에서 꽤 인기있는 중국 IT 대기업 중 하나인 샤오미 스마트폰에서 백도어가 발견되어 논란이 일고 있습니다. 샤오미 스마트폰은 기본적으로 안드로이드 기반의 'MIUI' 시스템을 탑재되어 출고되는데 여기에서 보안 문제가 발견된 것입니다.

포브스(Forbes)에 따르면 가비 실리그(Gabi Cirlig)는 샤오미 홍미노트 8을 구매해 사용하고 하던 중, 인터넷에 연결된 홍미노트 8이 어떤 작업을 수행하는지 궁금해 모니터링을 했습니다. 그 결과, 스마트폰 내의 데이터가 알리바바(Alibaba)가 호스팅하는 원격 서버로 실시간 전송되고 있었습니다.

​

샤오미의 사이버 보안 취약점 '백도어' 또 발견

사이버 보안 선임 연구원은 그의 모든 행동이 추적되고 기록되고 있다는 것을 발견했으며, 다양한 종류의 기기 데이터/사용자의 신원/프라이버시(사생활)이 중국 기업으로부터 노출되고 있어 경악했다고 합니다.

​

기본 샤오미 브라우저 앱을 사용할 때, 방문한 모든 웹 사이트/구글 서비스 사용 내역/개인 정보 보호에 초점을 맞춘 DuckDuckGo 검색 엔진 쿼리/샤오미 소프트웨어의 뉴스 피드 뿐만 아니라 기기에 데이터를 기록하지 않는 '시크릿 모드'까지도 수집하는 것으로 확인되었습니다.

​

​

MIUI 기본 브라우저 앱 외에도 샤오미가 만든 브라우저는 모두 해당

샤오미가 플레이스토어에 출시한 인터넷 브라우저 앱

구글 플레이스토어에는 샤오미에 의해 개발 및 제공되는 미 브라우저 프로/민트 브라우저도 위와 같은 데이터를 수집하고 있음을 확인했다고 밝혔습니다. 사용자가 열었던 폴더는 물론이며, 상태표시줄(빠른 설정)/설정 창을 사용한 내용을 그대로 녹화하여 기록하고 있었습니다. 모든 데이터는 압축되어 싱가포르 및 러시아의 원격 서버로 전송되었지만, 호스팅하는 웹 도메인은 중국 베이징에 등록되어 있었습니다.

​

​

암호화 된 데이터를 base64로 복호화하는데 몇 초도 안걸려

그는 잠재적으로 수 백만 명의 샤오미 앱 이용자가 심각한 개인 정보 보호 문제에 노출되어 있을 가능성이 높고, 샤오미가 최근 출시한 스마트폰(미10, 미믹스3, 홍미K20) 펌웨어에서도 동일한 브라우저 코드를 발견했습니다.

​

그리고 샤오미는 데이터를 서버로 전송하는 방법에 대해서도 문제가 있음을 확인했습니다. 샤오미는 개인정보를 보호하기 위해서 데이터를 암호화한다고 하지만, base64를 통해 암호화 된 데이터를 복호화하는데 그저 몇 초 밖에 걸리지 않았습니다.

​

보안 연구원들은 샤오미의 이러한 행동이 구글 크롬이나 애플 사파리와 같은 타사 기본 탑재 브라우저보다 더 치밀하게 설계되었다고 말했습니다. 특히 "URL을 포함한 브라우저 행동을 명시적인 동의 없이 개인정보 보호 브라우징 모드(시크릿 모드)에서 무단으로 수집하는 것은 굉장히 나쁘다"라고 비판했습니다.

​

​

사뭇 다른 샤오미의 입장, "주장은 전부 거짓이며, 보안 문제 절대 없다"

샤오미 본사

하지만 샤오미의 반응은 완전히 달랐습니다. 샤오미는 "위의 보안 취약점 주장은 절대 사실이 아니며, 사용자 보안에는 전혀 어떤 문제점도 없다"고 언급했습니다. 더불어 "사용자 데이터 개인 정보 보호 문제에 대한 현지 법률 및 규정을 엄격히 준수하고 있다"고 강조했습니다.

​

그리고 브라우저 앱 내 '시크릿 모드'에서 사용자의 브라우징 기록을 수집하는 것에 대해서는 "익명 브라우저 데이터의 수집은 비 개인 식별 정보를 분석하여 전반적인 브라우저 제품 경험을 개선하기 위해 채택된 가장 일반적인 솔루션 중 하나"라고 덧붙여 설명했습니다.

​

​

4년 전에도 개인정보 무단 수집으로 백도어 논란 일던 샤오미

2016년 2차례 발견된 샤오미 백도어(Analytics.apk)

샤오미의 이러한 백도어 논란은 이번이 처음이 아니며 지금으로부터 4년 전인 2016년에 2차례 백도어 문제가 발견되기도 했습니다. 당시에는 사용자의 경험을 개선한다는 명목으로 분석 앱(Analytics.apk)을 통해 사용자 개인정보를 무단 수집한 바 있습니다.

​

지난 화웨이가 미국으로부터 블랙리스트 처분을 받고 구글 앱을 탑재하지 못하는 조치를 받은 것도 사용자의 데이터를 무단으로 수집하여 보안에 엄청난 문제가 되었기 때문입니다. 이러한 보안 취약점 논란으로 인해 앞으로 샤오미의 행보와 조치가 어떻게 될지 기대되는 바입니다.

​

#샤오미 #백도어 #개인정보 #보안 #취약점 #논란

#무단 #수집 #base64 #암호화 #복호화 #사이버보안

​

​

[공감, 그리고 다양한 의견 부탁드려요]

잠깐! 다른 포스팅도 둘러보고 가시는 건 어떠세요?