[샤오미] 브라우저의 개인정보 수집 관련

안녕하세요.

오늘은 요즘 보안에서 핫한 이슈인 샤오미 브라우져의 데이터 수집 관련하여 이야기 하고자 합니다.

인터넷 상에서 개인정보가 핫한 이슈가 된 다음부터, 각종 웹브라우저는 시크릿모드(프라이빗)를 제공하고 있습니다.

크롬을 예로 들면 아래와 같고 자세한 정보는 아래에서 볼 수 있습니다.

https://support.google.com/chrome/answer/7440301?visit_id=637241557252576605-357904989&p=incognito&rd=1#incognito

 

Chrome에서 시크릿 브라우징이 작동하는 방식 - Android - Google Chrome 고객센터

도움이 되었나요? 어떻게 하면 개선할 수 있을까요? 예아니요

support.google.com

 그런데 이번 샤오미 브라우저의 경우 포브스 기사와 같이, Private 모드에서도 

데이터를 수집(Recoding)하고 있어서 문제가 되었죠.

 일반적으로 개인화된 광고, 접속기록 등을 관리하기 위해 최근에는 브라우저에서 개인정보를 수집하는 것은 일상화 되었는데요. 이를 방지하기 위한 모드가 시크릿모드인데 이게 말뿐이었던 거죠.

(포브스 원문 : https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/#74ae847d1b2a)

그리고 이글을 기즈모 차이나에서 정리한 것인데요.

전체본은 하단에 있고

요약하자만 아래와 같습니다.

1. 샤오미 브라우저는 시크릿 모드 상태에서도 검색 기록 수집한다
2. 이 기록은 샤오미가 만든 랜덤 아이디(=UUID)로 개별적으로 관리되고 있다. 
3. 그 아이디는 적어도 하루동안은 바뀌지 않는다

 최근 들어 중국의 개인정보 이슈가 터지는데요.

하웨이 ZTE의 백도어 이슈 및 이번 샤오미까지 터져서

과연 중국제 핸드폰을 믿고 쓸수 있는지에 대한 의문이 많이 듭니다.

더보기


● [문제점 1]

포브스 기사에서 최초로 관련 문제를 발견하고 설명한 Gabriel Cîrlig 은 샤오미 Mi 브라우저와 민트 브라우저가 구글과 덕덕고에서 검색한 내용을 포함해 방문한 모든 사이트를 추적하는 것을 발견했습니다. 사생활 보호 모드 상태에서도 추적은 계속해서 이뤄졌습니다. 사용 정보도 역시 샤오미 서버로 전송되었습니다.

[샤오미 입장]

- 샤오미는 '시스템 정보, 유저 인터페이스 사용 통계, 반응성, 메모리 사용량, 충돌 현상 보고' 등 유저 정보를 수집한다고 인정했습니다.
- '검색어'에 대해서는 언급하지 않았지만 URL를 수집한다고도 밝혔습니다. 이 URL 정보는 어떤 사이트가 느리게 로딩되는지 확인하기 위해서라고 하며 전반적인 브라우징 경험을 향상시키기 위한 정보라고 밝혔습니다.
- 샤오미는 Mi 계정으로 로그인해 동기화를 켠 경우에만 브라우징 정보를 수집한다고도 덧붙였습니다.
- 블로그뿐만 아니라 인도지사 CEO가 직접 등장해 '사생활 보호 모드에서 수집된 정보는 암호화되고 익명화되어 처리된다'는 설명 영상을 올리기도 했습니다. (힌디어와 영어로 설명)

● [문제점 2]

사용자 데이터가 베이징에서 등록된 도메인 주소에, 서버는 싱가포르나 러시아 같은 다른 나라에 있는 곳으로 전송된다는 지적입니다.

[샤오미 입장]

- 업계에서 일반적이고 잘 알려진 퍼블릭 클라우드 인프라에서 데이터를 호스팅하고 있다고 밝혔습니다.
- 현지 사용자 개인정보보호법과 관련 규정을 엄격히 준수하며 규정에 맞는 다양한 해외 서버에 저장된다고 설명했습니다.
- 인도 CEO는 앞서 영상에서 인도 유저는 인도 안에서만 저장된다고 밝히기도 했습니다.


● [문제점 3]

서버로 전송되는 유저 데이터가 쉽게 해독할 수 있는 base64로 인코딩되어 전송된다는 주장입니다.

[샤오미 입장]

이 부분에 대해서는 샤오미가 언급하지 않았고, 다만 TLS 1.2로 전송된다고 밝혔습니다. 이 말은 전송 과정에서 적어도 다른 사람이 볼 수는 없다는 뜻입니다. 즉 단말에서 base64로 인코딩하는 이유에 대해서는 아직 공식 입장이 없습니다.

[연구자 반박]
Andrew씨는 TLS로 전송했는지 여부가 논쟁할 주제가 아니라면서, 동의받지 않은 데이터 전송부터가 문제라는 입장입니다. [#]

● [문제점 4]

수집된 데이터가 익명이 아니고 UUID로 할당되어 있기 때문에 이것만으로 잠재적으로 개인 식별이 가능하다는 주장입니다.

[샤오미 입장]

해당 부분 소스코드 이미지를 공개하여 UUID가 사용량 통계를 내는 데 이용될 뿐 개인을 식별할 수 없다고 했습니다.

[연구자 반박]

Andrew씨는 위 '문제점 1' 부분 영상에서 볼 수 있듯 최소 24시간동안 같은 UUID로 데이터가 전송된다는 것을 확인할 수 있고, 샤오미가 공개한 이미지가 이미 난독화 처리된 코드라는 점도 지적했습니다(원래 소스가 아니라는 의미)
그리고 UUID를 익명화한다는 것이 개인을 익명 처리한다고 생각하지 않는다고도 했습니다. [#]

● 기즈모차이나의 결론

- 크롬과 파이어폭스 같은 브라우저에서도 데이터 수집을 하지만 샤오미처럼 사생활 보호 모드에서도 수집하는 것은 일반적인 경우라고 보기 어려움
- Andrew씨 영상에서는 사생활 보호 모드에서도 URL과 검색어가 샤오미 서버로 전송되는 것을 볼 수 있는데, 수집 프로세스에 대해 다시 명확하게 설명해야 함
- 샤오미는 단순히 '가짜 뉴스'라고 반박할 것이 아니라 연구자 두 명의 발견 내용을 적극적으로 반박해야 함. 이것을 할 수 없으면 그 이유를 설명하고 데이터 수집 정책을 수정해야 할 것

얼마전 파산에 가깝께 처리된 ZTE에 이어서, 샤오미는 이번 사태를 잘 이겨낼 수 있을지

 사실 이제 스마트폰을 통한 많은 일들을 하고 있는 상황에서,

이런 보안 이슈는 제조사에게 엄청난 타격을 줄듯 합니다.

 각종 페이로 간편한 결제와 위치 정보, 나의 검색기록이 중국이 마음만 먹으면 볼 수 있다니..

섬뜩해지는 하루네요.

728x90

해당 블로그에서 발행되는 콘텐츠 중 일부 글에는 제휴 및 홍보 관련 링크가 포함될 수 있으며, 파트너스 활동의 일환으로 일정액의 수수료를 받을 수 있습니다.