포브스, "샤오미, 자체 브라우저에 백도어 심었을 가능성 높아"

 

작년 한 해만 해도 1억 2,550만 대를 팔아치운, 세계 4위의 스마트폰 제조업체죠. 샤오미(Xiaomi)가 스마트폰에 백도어를 심었다는 의혹을 받고 있습니다. ZTE와 화웨이(HUAWEI)가 스마트폰에 백도어를 심는다는 의혹을 받아 미국 내 판매가 금지된 이후, 다시 수면 위로 올라온 메이저 스마트폰 업체의 백도어 의혹입니다. 주된 내용은 샤오미 스마트폰 내 웹브라우저에서 베이징에 등록된 서버로 사용자 데이터를 전송한다는 겁니다.

 

샤오미는 중국의 '애플'이 되기 위해 노력했지만, 이제는 백도어로 사용자 정보를 탈취하는 업체라는 이야기를 듣고 있네요. 꽤 신빙성이 있는 정보들입니다. 미국 포브스(Forbes)에 따르면, Gabi Cirlig이라는 사이버 보안 전문가가 샤오미 홍미노트 8에서 이상한 행동을 발견했다고 합니다. 샤오미의 기본 브라우저가 자신이 방문한 모든 웹사이트를 기록하고 있음을 알아냈다고 하는데요. 그는 프라이버시 검색 엔진인 DuckDuck Go 및 시크릿 모드에서 방문한 웹사이트조차 브라우저에서 추적하고 있었음을 밝혀냈습니다. 해당 정보는 중국의 웹 도메인을 사용하는 싱가포르와 러시아 서버로 이어지고 있었으며, 이 서버들은 샤오미가 사용하고 있는 것이었다고 합니다. 

 

다른 전문가들도 구글 플레이 스토어, 미 브라우저 프로(Mi Browser Pro) 및 민트 브라우저(Mint Browser)에서 비슷한 알고리즘을 사용하고 있다고 언급했습니다. 두 브라우저 모두 전 세계에서 1,500만 회 이상 설치된 애플리케이션입니다. Cirlig는 샤오미 미 10(Mi 10), 홍미 K20(Redmi K20), 미 믹스 3(Mi Mix 3)를 포함한 다른 샤오미 스마트폰에서도 동일한 브라우저 코드를 찾아냈습니다. 그는 홍미노트 8과 동일한 개인 정보 보호 문제가 있다고 생각하고 있습니다.

 

샤오미 측은 포브스와 Cirlig의 주장을 반박했습니다. 서버로 보내는 데이터가 암호화되었다는 겁니다. 그러나 Cirlig은 몇 초 만에 코드를 해독할 수 있다며, 샤오미의 의견을 재반박했습니다. 그는 '이 데이터에는 고유 ID 번호 및 실행되는 안드로이드 버전, 특정 장치와 관련된 메타 데이터가 포함되어 있다'며, 이 정보가 샤오미의 다른 이용자와 연결해 해석할 여지도 충분하다고 말했습니다.

 

샤오미는 Cirlig의 주장이 사실이 아니라며, 회사가 "사용자 데이터 개인 정보 보호 문제에 대한 현지 법률 및 규정을 엄격하게 준수"한다고 발표했습니다. 그러나 샤오미는 특정 개인과 연결되지 않도록 익명으로 처리된 데이터를 수집하고 있는 것은 사실이라고 인정했습니다. 포브스가 Cirlig가 제시한 관련 영상 증거들을 샤오미에게 보냈을 때도, "이 영상은 익명 브라우징 데이터 모음을 나타내고 있습니다. 이는 샤오미 뿐만 아니라 주요 브라우저 제조사가 해당 애플리케이션을 전체적으로 개선하기 위해 채택하는 가장 일반적인 솔루션 중 하나입니다. 개인 식별이 불가능한 정보를 분석하여 브라우저의 제품 경험을 향상시키는 데 활용하는 겁니다."라는 의견을 보내왔다고 합니다.

 

 

샤오미는 최근 블로그에 '운영체제와 애플리케이션 사이에서의 호환성을 확인하기 위해 데이터를 수집한다'는 내용의 게시물을 업로드했습니다. 또한, 해당 정보가 사용자의 허락과 동의에 의해 수집되고, 익명이며, 암호화되어 있다고 주장하기도 했습니다. "집계된 사용 통계 데이터의 수집은 내부적으로 애플리케이션을 분석하는 용도로만 사용하며, 개인 식별 정보는 이 데이터에 포함되어 있지 않습니다." 샤오미의 주장입니다.

 

샤오미는 이 문제를 진화시키기 위해 노력하고 있는 것처럼 보입니다. 사용자가 자신의 브라우저 이용 정보를 샤오미의 서버를 통해 전송되는 것을 막을 수 있도록 브라우저 업데이트를 진행할 예정이라고 합니다. 시크릿 모드에는 데이터 수집을 켜거나 끄는 옵션을 추가합니다. 샤오미는 "이 기능을 통해 샤오미가 활용 가능한 정보를 개인 데이터를 식별할 수 없는 상태로 수집하는 '법적 요구 사항을 충족한' 접근 방식을 넘어서서 사용자 개인 정보 보호에 대한 회사의 노력을 보여줍니다."라고 밝혔습니다.

 

과연 어느 쪽의 주장이 맞을까요. 개인이 브라우저를 이용하며 생성되는 여러 정보를 스마트폰 제조사가, 그것도 중국의 스마트폰 제조사가 수집한다는 게 꺼림칙하게 느껴지는 건 사실입니다. 화웨이와 ZTE가 이미 같은 혐의로 전 세계 판매가 어려워진 상황에서, 샤오미마저 같은 노선을 타게 된다면, 이 업계에서 중국 업체들의 입지는 더욱더 좁아질 전망입니다.