[해외보안동향] 샤오미, 개인정보 무단수집 의혹 받아

샤오미, 개인정보 무단수집 의혹 받아

최근 전성기를 맞고있는 샤오미 그룹이 개인정보 무단수집 의혹으로 곤욕을 치르고 있습니다. 

2014년 8월 11일, 

핀란드 보안업체 에프시큐어는 자사 공식블로그(http://www.f-secure.com/weblog/archives/00002731.html)를 통해 샤오미의 ‘홍미1S’가 사용자 동의 없이 사용자의 정보를 중국에 위치한 서버로 전송하고 있다고 밝혔습니다.

에프시큐어는 테스트 결과, 홍미1S로부터 사용자의 개인식별번호(IMEI), 전화번호 및 최신업데이트사항, 수신 문자메세지 발신자 번호 등이 샤오미 서버로 전송되고 있는 것을 확인했습니다.

샤오미의 개인정보 무단수집 의혹은 지난 7월, 홍콩의 한 개발자가 샤오미의 홍미노트에서 자신의 사진과 문자를 무단으로 수집하여 자신들의 서버로 전송하는 기능을 발견하였다고 주장하며 논란이 되었습니다. 이와 관련하여 샤오미는 홍콩 페이스북 페이지를 통해 공식 입장을 밝히기도 했습니다. 

(참고 : https://www.facebook.com/Xiaomihongkong/posts/799059896795602)

해당 논란이 일어난 지 한 달이 채 지나지 않아, 이번에는 샤오미의 ‘홍미1S’가 개인정보를 무단으로 수집한다는 의혹이 제기된 것입니다. 이에 샤오미 측은 다시 한 번 자사의 페이스북 페이지에 해당 의혹과 관련하여 공식 해명과 입장을 발표했습니다.

아래는 ‘홍미1S’ 개인정보 무단전송에 관해 샤오미 그룹이 밝힌 공식입장입니다. 

(참고 : https://www.facebook.com/xiaomichina)

※ 'MI클라우드메세지'에 관한 긴급 성명

Xiaomi(이하 샤오미)는 높은 품질의 휴대폰과 인터넷서비스를 제공하는 회사로, 사용자들의 개인정보를 매우 중요하게 생각합니다. 샤오미가 제공하는 모든 인터넷 서비스들은 샤오미의 개인정보 기준에 부합합니다 : 사용자의 동의를 받지 않고 의도적으로 사용자들의 개인정보 및 각종 자료들을 전송하지 않습니다.

그러나 최근 대만매체에 따르면, 일부 사용자들이 MI클라우드메세지가 자동으로 실행된 후 개인정보들을 전송한다는 의혹이 제기되었으며, 이에 대하여 샤오미 측 역시 매우 심각하게 생각했습니다. 그래서 샤오미의 직원들은 밤낮으로 열심히 일하여, 8월 10일, OTA 업그레이드 버전을 발표했습니다. 

 

해당 버전에는 MI클라우드메세지의 자동실행기능을 꺼놓았으며, 업그레이드 후 새로운 사용자 혹은 이전 휴대폰에서 설정되어있던 사용자들의 정보들은 '설정 ▶ Xiaomi클라우드 서비스 ▶ 무료 MI클라우드메세지'를 클릭해야만 해당 서비스를 사용할 수 있도록 수정하였습니다. 

샤오미는 사용자들에게 우려를 끼쳐드린 점에 대하여 매우 죄송하게 생각하고 있습니다. 또한 많은 매체들과 사용자들이 가장 중요한 때에 저희에게 이러한 문제를 제기하고, 수정할 수 있는 기회를 주셔서 샤오미로 하여금 더 넓은 세계로 나아가 사용자들에게 더 좋은 품질의 서비스와 더 안전한 인터넷 서비스를 제공할 수 있도록 해주신 것에 대해 감사의 말씀을 드립니다. 

Xiaomi 일동

2014년 8월 10일

※ 별첨 : MI클라우드메세지 서비스 원리에 대한 상세설명 :

Q : 샤오미의 'MI클라우드메세지' 서비스는 무엇인가요?

A : 'MI클라우드메세지'는 MIUI의 기능 중 하나로, 전통적인 메시지는 통신사의 SMS 게이트웨이를 통해 메시지를 발송했습니다. 그러나 MIUI의 'MI클라우드 메세지'는 IP전송규약에 따라 메시지를 전송하여, 사용자들이 무료로 메시지 서비스를 이용할 수 있도록 지원합니다. 

Q:'MI클라우드 메세지'는 어떻게 동작하나요? 개인정보들을 저장하나요?

A: 샤오미 휴대폰을 킨 후 서버와 IP통신을 통해 자동으로 'MI클라우드메세지' 서비스가 활성화 되어, 사용자들에게 무료 메시지 서비스를 제공합니다. MIUI의 'MI클라우드메세지'는 휴대폰의 유일한 식별번호(전화번호, IMSI 및 IMEI)를 사용하여 휴대폰을 식별한 후에 자료들을 주고받는 원리를 갖고 있습니다. 해당원리는 다른 메신저들과 동일합니다. 또한 사용자의 전화번호, 통신기록 등을 포함한 개인정보들은 'MI클라우드메세지' 서버에 저장되지 않습니다. 해당 정보들은 암호화되어 전송되며, MI 서버에도 저장되지 않습니다. 

Q : 위에서 언급한 내용과 사용자의 개인정보를 탈취한다는 것과는 무슨 관계가 있나요? 샤오미는 어떻게 대처하고 있나요?

A : 최근 대만의 매체는 F-secure의 테스트 보고서를 인용하여, 샤오미 휴대폰이 휴대폰에 저장된 전화번호를  샤오미의 서버로 보낸다고 주장했습니다. 해당 보고서에서 말하는 서비스는 'Mi클라우드메세지' 서비스를 뜻하는 것입니다. 샤오미는 개인정보 보호에 대하여 매우 중요하게 생각하고 있으며, 샤오미의 직원들이 불철주야하여 8월 10일 OTA 업그레이드 패키지를 출시하였습니다. 해당 업그레이드 패키지는 'Mi클라우드메세지'의 자동실행기능을 껐으며, 업데이트 후에 자동으로 동기화되지 않게 설정해 두었습니다. 'Mi클라우드메세지'를 사용하려면, '설정 ▶ Xiaomi클라우드서비스 ▶ 무료Mi클라우드메세지'를 설정해야 합니다. 

Q : Mi클라우드서비스는 사용자들의 전화번호를 어떻게 처리하고 있습니까?

A : 'Mi클라우드메세지'는 주로 전화번호를 이용하여 서비스를 제공합니다. 해당 전화번호는 사용자들간에 정보를 주고받는 식별번호로 이용되며, 동시에 IMEI, IMSI를 이용하여 휴대폰의 상태를 확인합니다. 사용자가 메시지를 발송할 경우, 휴대폰이 인터넷에 연결되어 있는 상태라면 'Mi클라우드메세지'는 IP를 이용하여 메시지를 전달합니다. 만약 휴대폰이 인터넷에 연결되어 있지 않으면, IP를 통하여 메시지를 보낼 수 없습니다. 

사용자가 메시지를 작성하거나 확인하고 있을 때 한 명의 친구가 말을 건다면, 휴대폰은 'Mi클라우드 서버'에서 해당 사용자의 온라인 상태를 확인합니다. 사용자의 온라인에 접속되어있으면 파란색으로 표시하고, 연결되어 있지 않거나 Mi클라우드메세지를 이용하는 사용자가 아니라면 회색으로 표시하게 됩니다. 해당 서비스는 사용자들이 메시지를 무료로 전송할 것인지 유료로 전송할 것인지와 관련하여 이해를 돕기 위해 제공하는 서비스 입니다. 

위와 같은 과정에서 수신자의 전화번호는 사용자의 온라인 상태를 확인하는 용도로 사용되며, 메시지 전송방법을 판단하기 위해 사용됩니다.(IP를 이용하여 무료로 전송할 것인지 아니면 통신사의 SMS서비스를 이용하여 전송할 것인지). 어떤 사용자의 전화번호 및 전화번호부 등의 개인정보들은 Mi클라우드 서버에 저장되지 않습니다. 

샤오미는 오늘(8월 10일) OTA 업그레이드 팩키지를 발표하였으며, 동시에 'Mi클라우드메세지'에서 사용자를 식별하기 위해 사용하는 전화번호를 전송하는 과정에 암호화기능을 추가하여 보안을 한층 더 업그레이드 시켰습니다. 또한 우리는 지속적으로 'Mi클라우드메세지'의 기능을 업그레이드하여, 사용자들에게 더 높은 품질과 더 안전한 서비스를 제공할 것입니다. 

샤오미측은 사용자의 휴대폰 식별정보인 전화번호, IMSI, IMEI를 이용하여 사용자의 신원 및 상태를 식별하기는 하나, 사용자의 정보를 저장하지는 않는다고 해명했습니다. 또한 사용자의 전화번호를 전송할 때 평문으로 전송한 점에 대하여는 자신들의 잘못을 시인했습니다. 

이번 논란에 대하여 샤오미측은 'Mi클라우드메세지'의 기본설정을 ON에서 OFF로 수정한 OTA 패키지 업그레이드 버전을 발표했고, 사용자 전화번호를 전송할 때 반드시 암호화하겠다며 관련 논란을 일축하였습니다. 

7월, 한차례 개인정보 무단수집 의혹이 붉어졌을 당시 샤오미가 발표하였던 조치 내용을 보면, 이제부터 '샤오미 클라우드 서비스'의 기본값을 활성화에서 비활성화로 수정하여 생산하겠다고 밝힌 것과 상당히 유사합니다. 

이러한 두 차례 의혹의 중심에는 '사용자의 동의'가 있었습니다. 

민감한 개인정보라도 사용자에게 수집관련 동의를 받았다면 그것은 합법입니다. 그러나 아무리 사소한 사용자의 정보라도 사용자의 동의 없이 무단으로 수집하는 것은, 저장 여부와 상관없이 명백한 불법임을 잊지 말아야 합니다.

제조사는 이러한 정보를 무단으로 수집하는 기능에는 반드시 사용자의 동의를 받아야 할 것이며, 사용자의 정보를 서버로 전송할 때에는 평문이 아닌 암호문으로 전송해야 합니다. 또한 사용자는 모든 어플리케이션을 설치할 때, 어플리케이션이 요구하는 권한들을 꼼꼼히 체크하는 습관을 길러야 할 것입니다. 

참고 : 

샤오미 개인정보 정책 : https://i.mi.com/privacy_en.htm