미국의 대형 이동통신업체들이 휴대폰 사용시 발생하는 모든 정보를 털어가는 루트킷을 휴대폰에 몰래 심어 두고 정보를 수집해 오다가 들통났다.
미 3위의 이통사 스프린트는 캐리어IQ라는 회사의 SW를 고객들의 스마트폰에 심어 고객들도 모르는 새 사용자의 웹접속, 언제,어디서,어떻게 전화를 사용했는지 등을 샅샅이 조회해 모아오고 있었음이 드러났다. 명백한 프라이버시 침해다.
더 놀라운 사실은 스프린트사의 발표문에 있다. 이 회사대변인은 해명 발표문에서 이 루트킷 SW가 자사뿐만 아니라 다른 이통사들에게도 제공되고 있었음을 밝히고 있어 논란은 일파만파로 불거질 전망이다.
씨넷은 20일(현지시간) 최근 자신이 사용중인 여러대의 HTC 에보 단말기로 통화할 때 모든 통화와 관련된 정보가 이동통신업체로 곧바로 전달되는 것을 발견한 안드로이드 개발자 트레버 에카르트가 처음 이같은 사실을 밝혔다며 그와의 인터뷰내용을 보도했다. 에카르트 개발자는 이같은 스프린트의 프라이버시 침해행위 사례를 보고서로 펴냈다.
루트킷SW는 정상적인 운영체제나 애플리케이션 기능을 방해해 시스운영자에게 자신의 존재를 숨기면서 컴퓨팅단말기에서 지속적으로 특별한 접속을 수행할 수 있도록 해주는 SW를 의미한다.
■휴대폰에 해킹SW심어 샅샅이 털어왔다
휴대폰 속에는 캐리어IQ라는 회사가 제공하는 SW, 흔히 루트킷을 볼리는 사용자 해킹SW가 들어있었다. 이 루트킷은 휴대폰의 위치추적은 물론 어떤 휴대폰 버튼을 눌렀는지, 어느 웹페이지를 방문했는지, 언제 전화를 걸었는지, 그리고 언제,어떻게 휴대폰이 사용됐는지까지 알려주도록 되어 있었다.
에카르트는 캐리어IQ가 사용자 휴대폰에 설치돼 있음을 보여주거나 숨겨져 있게 할 수 도 있음을 확인했다. 물론 그는 이것인 HTC휴대폰의 경우였다. 그는 또 이통사가 원격포털을 통해 가입자ID와 장비ID로 표시되는 단말기 고객들의 사용정보를 볼수 있는 이른바 '유출되는 훈련 문서'도 찾아냈다.
에카르트는 지난 주 발표한 자신의 보고서에서 캐리어IQ를 지우는 유일한 방법은 첨단 기술을 사용하는 것 뿐이라고 지적했다.
그는 만일 당신의 인증(warranty)을 공백으로 만들고 부트로더를 풀면 캐리어ID를 지울수 있다고 밝혔다.
에카르트는 당사자인 스프린트가 그들이 사용하는 데이터에 대한 프라이버시 정책, 유지정책, 또는 공공정보에 대한 정책이 없다고 말했다.
■스프린트사, HTC, 삼성 단말기에서
HTC안드로이드폰은 캐리어IQ사용시 온오프스위치를 가지고 있지 않다. 반면 삼성전자단말기에는 이 기능이 있다. 하지만 에카르트는 이는 일반 사용자들이 손쉽게 접근하기 어려운 기능이라고 덧붙였다.
에카르트는 고객들은 이 데이터수집에 대한 명시적인 허락을 주지않고 있으며 이 SW가 자신의 휴대폰에 들어가 있는줄도 모르기 때문이며 이 SW를 오프트아웃방식으로 거부할 방법도 없다고 지적했다.
그는 이것은 명백한 사생활 침해라며 캐리어 IQ는 맬웨어와 같다고 지적했다.
해커들은 통상 SW의 약점을 이용하거나 훔친 패스워드를 사용해 공격목표가 되는 시스템에 루트킷을 설치해 시스템을 공격한다. 흔히 루트킷을 사용할 경우 악의적인 데이터절도나 떳떳지 못한 목적으로 사용하ㄷ는 것으로 알려지고 있다.
이번에 들통한 스프린트사의 루트킷은 프라이버시에 조바심내는 일반 휴대폰사용자들에게 경각심을 일으켜주고 있다고 보도는 전했다.
캐리어IQ라는 회사는 자사의 SW를 모바일서비스인텔레전트 솔루션으로 웹사이트에 소개하고 있다.
이에따르면 우리는 무선이통사와 휴대폰 제조업체들에게 그들 고객들의 모바일 경험에 대한 전례없는 통찰력을 제공하고 있습니다라고 마케팅하고 있다.
■이통사의 변명은?
이같은 사실이 드러난 가운데 스프린트 대변인은 발표문을 통해 캐리어IQ는 스프린트와 다른 이통사에게 우리의 네트워크 성능을 분석하고 우리가 어느 지역에서 서비스를 향상시켜야 하는지에 대한 정보를 제공하고 있다고 두둔하고 나섰다. 그는 또 우리는 또한 단말기 성능을 이해하고 어떤 문제가 발생하는지 알아내 이를 향상시키기 위해 수집된 데이터를 사용했다고 해명했다.
하지만 이에 대해 에카르트는 만일 이것이 네트워크성능을 위한 것이라면 그들이 왜 사용자들에게 선택권을 주지 않았겠는가?라고 말했다. 그는 이 정도 개인정보를 수집하기 위한 것이라면 사용자가 합의해야만 하는 오프트인 방식으로 이뤄져야 하는 게 아니냐고 반문했다.
스프린트 대변인은 캐리어IQ의 사용에 대한 일반적인 내용의 발표문을 냈지만 '고객들이 이 회사가 캐리어IQ를 사용해 데이터를 수집하고 있는 것을 알고 있었는지'' 왜 그들이 이를 거부할 방법(오프트아웃)을 제공하지 않았는지' 등에 대해서는 밝히지 않았다.
관련기사
- 남은 내 모니터 못본다…프라이버시 안경2011.11.20
- 페이스북 새 기능 프라이버시 논란…뭐길래?2011.11.20
- 구글, "프라이버시에 대한 신뢰가 성공열쇠"2011.11.20
- "안드로이드, 프라이버시 침해 없을 것"2011.11.20
스프린트는 우리는 우리 네트워크 상에서 어떤 통신망 연결문제를 겪고 있는지 알아내고자 고객의 경험을 알수 있는 충분한 정보를 모아왔다며 그러나 우리는 메시지,사진,비디오 등의 고객 콘텐츠를 볼 수도 없고 보지도 않았다고 주장했다.
