해커들에게 있어 24시간 켜져 있는 스마트폰은 사용자 개인 정보의 보고라고 해도 과언이 아니다. 스마트폰을 들여다보면 그 사용자가 어떤 사람들을 알고 있는지, 언제 누구와 통화했는지, 어떤 메시지를 주고받았는지는 물론이고 위치 정보까지도 파악할 수 있다.
그런데 스마트폰에 주인도 모르게 주요 정보를 수시로 빼가는 '뒷문'이 있다면 이를 묵과할 사용자는 없을 것이다. 이러한 기능을 하는 소프트웨어를 '백도어(Backdoor)'라고 한다. 올해 초 애플이 미 연방수사국(FBI)과 아이폰의 잠금해제를 두고 대립각을 세운 것도 수사기관이 스마트폰 사용자 정보를 쉽게 들여다볼 수 있도록 백도어를 설치해 달라고 했기 때문이다.
이 회사는 전세계 7억대의 스마트폰과 자동차, 스마트 기기에 이 소프트웨어를 공급했다. 스마트폰 제조사로는 화웨이, ZTE 등이 이 회사의 주요 고객이다. 미국에 본사를 둔 블루프로덕츠란 저가 안드로이드 제조사도 피해를 입었다. 블루프로덕츠는 약 12만대의 자사 스마트폰에 해당 백도어가 설치된 사실을 확인하고, 즉각 삭제하는 조치를 취해야 했다.
이에 앞서 올해 9월에는 샤오미도 백도어로 의심되는 앱을 선탑재한 것이 발견돼 논란의 중심에 섰다. '애널리틱스 코어(AnalyticsCore)'라는 이름의 이 앱은 백그라운드에서 24시간 내내 작동하면서 샤오미 서버와 통신하는 것으로 분석됐다. 이 앱은 심지어 수동으로 삭제해도 자동으로 다시 생성됐다.
애널리틱스 코어는 매 24시간마다 새로운 업데이트가 있는지 확인하는 동시에 샤오미 서버로 해당 기기의 식별번호(IMEI), 모델명, MAC 주소와 같은 정보를 함께 전송한다. 전송되는 정보는 샤오미가 해당 기기의 유효성을 검증하기 위한 것으로 분석된다. 문제는 업데이트가 있을 경우 설치 파일에 대한 검증 과정을 생략하고 자동으로 업데이트를 진행한다는 점이다.
해커가 이를 악용하면 애널리틱스 코어 업데이트로 위장한 악성 앱을 사용자 스마트폰에 설치할 수 있다. 혹은 샤오미가 임의의 앱을 애널리틱스 코어라는 이름으로 서버에 올려두면 사용자 스마트폰은 자동으로 업데이트하는 것도 가능하다. 사용자 몰래 어떤 앱이든 설치할 수 있게 되는 것이다. 애널리틱스 코어가 백도어라는 의심을 받는 이유도 이 때문이다.
당시 샤오미는 해당 앱이 사용자 데이터를 분석해 더 나은 서비스를 제공하기 위한 것이며, 악의적인 공격자에게 이용될 가능성이 없다고 해명했다. 하지만 샤오미가 왜 수백만 사용자의 스마트폰에 사전 고지 없이 이러한 앱을 선탑재했는지에 대해서는 충분한 설명이 되기에는 부족했다. 애널리틱스 코어의 활동을 막기 위해서는 방화벽을 이용해 샤오미 서버와의 통신을 강제로 막는 방법밖에 없다.
샤오미의 변명은 스마트폰 백도어 논란의 본질과 맞닿아있다. 제조사가 사용자의 정보를 더 많이 확보할수록 각각의 사용자에 최적화된 개인화 서비스가 가능해진다. 하지만 어떤 정보를 얼마나 제공할 것인지 사용자가 선택할 수 있는 권리는 없다. 이는 프라이버시 관점에서 침해 소지가 다분하다. 조금이라도 더 가지려는 제조사와 덜 주려는 사용자의 이해관계가 충돌하는 지점이다.
개인화 서비스는 분명 유용하다. 최근 러시아의 한 포렌식 업체는 애플이 사용자의 통화 기록을 아이클라우드 서버에 최장 4개월간 자동으로 저장되도록 했다는 주장을 제기했다. 저장되는 통화 기록은 통화 상대방 번호와 통화 일시, 통화 길이 등이다. 애플은 이에 대해 고객의 편의를 위해 제공하는 통화기록 동기화 기능의 일환이라고 밝혔다. 실제로 사용자가 새 애플 기기를 구입하고, 아이클라우드 계정을 입력하면 통화 기록은 물론 세부적인 설정 등도 고스란히 동기화된다. 분명 편리한 기능이지만, 사용자 개인정보를 수시로 제공해야 구현 가능한 기능이기도 하다.
