샤오미, 핀란드 보안업체 '백도어' 확인에…"사실 아냐" 해명

[아시아경제 권용민 기자] 앞서 개인정보 보안성 문제로 논란이 됐던 중국 스마트폰 제조업체 샤오미가 또다시 '개인정보 무단 전송' 의혹에 휩싸였다. 핀란드의 한 보안업체가 샤오미의 '홍미 노트'에서 전화번호 등 개인정보의 임의 전송을 확인했다고 밝히면서다. 하지만 휴고 바라 샤오미 부사장이 이를 강하게 부정하고 있어 관심이 쏠리고 있다.

11일 핀란드 보안업체 'F-시큐어'에 따르면 회사(http://www.f-secure.com/weblog/archives/00002731.html)는 샤오미의 스마트폰에서 전화번호 등의 개인정보 임의 전송이 확인됐다.

F-시큐어는 "여러 보고서를 통해 샤오미의 스마트폰이 사용자의 데이터를 비밀리에 중국에 위치한 서버로 전송하고 있다는 소식을 접했다"면서 "이 같은 주장이 사실인지 샤오미 홍미 1s로 확인해봤다"고 테스트 이유를 밝혔다.

실험은 박스에서 새로 개봉한 새 제품으로, 계정이나 클라우드 서비스에 연결하지 않은 채 진행됐다. 우선 심(SIM)카드를 넣고 와이파이에 연결한 후 위성항법장치(GPS) 활성화, 주소록에 전화번호 등록, SMS와 MMS 메시지를 발신·수신, 전화 송·수신의 절차로 진행됐다.

그 결과 국제단말기인증번호(IMEI), 사용자 전화번호, 수신 SMS의 발신자 번호 등이 샤오미 서버(api.account.xiaomi.com)로 전송된 것을 확인했다. 샤오미 클라우드 사용 설정 시에는 추가로 SIM IMSI(국제 이동국 가입자 식별 번호)까지 전송됐다.

휴고 바라 샤오미 부사장은 이 같은 보안 논란에 대해 전면 반박했다. 그는 자신의 구글 플러스 계정(https://plus.google.com/+HugoBarra/posts#+HugoBarra/posts)을 통해 "샤오미는 고품질 제품 및 쉬운 인터넷 서비스를 제공하는 모바일 인터넷 회사"라며 "사용자 데이터와 개인 정보를 보호하는 것을 최우선으로 하고 있다"고 밝혔다. 사용자의 허가 없이 개인 정보 또는 데이터를 업로드하거나 저장하지 않는다는 설명이다.

그는 F-시큐어의 실험과 관련해 "이런 사항은 MIUI 클라우드 메시징 서비스에 관계됐다"면서 "MIUI 클라우드 메시징을 옵트-인 서비스로 전환하고 자동 활성화시키지 않기로 결정했다"고 말했다.

MIUI 클라우드 메시징은 MIUI 운영체제의 일부로, 샤오미는 무료로 클라우드 메시징을 제공하고 있다. 서비스를 이용해 통신사 SMS 게이트웨이 대신 IP를 통해 MIUI 사용자 간에 SMS 요금 없이 무료로 메시지를 전송할 수 있다. 샤오미는 10일 시스템 업데이트를 통해 이 기능의 작동여부를 설정할 수 있게했다.

바라 부사장은 "무료 문자 메시지 기능을 제공하기 위해 클라우드 메시징 서비스가 샤오미 서버와 IP 통신 프로토콜로 통신해 자동 활성화된다"면서 "MIUI 클라우드 메시징은 SIM카드 및 장치 인식자 (전화번호·IMSI 및 IMEI)를 사용해 다른 메시지 서비스와 같이 두 사용자 간에 메시지를 교환한다"고 설명했다. 이어 "사용자의 전화번호부 또는 소셜 활동 정보는 클라우드 메시지 서버에 저장되지 않는다"고 해명했다.

한편 지난달에도 샤오미의 홍미노트에서 사진과 문자를 사용자 몰래 임의의 서버로 보내는 기능이 발견돼 논란이 된 바 있다. 홍미노트의 실행 프로그램을 분석해 보니 와이파이에 연결한 상황에서 특정한 IP주소로 미디어 스토리지에 저장된 문자메시지(SMS)와 사진 데이터를 전송하고 있었으며, 펌웨어를 새로 설치하거나 루팅(운영체제의 관리자 권한을 강제로 획득하는 것)을 해도 이 기능은 계속 유지됐다.

해당 IP주소를 조회한 결과 소재지는 중국 베이징이었으며, IP주소 보유자는 '포레스트 이터널 커뮤니케이션 테크놀로지'란 이름의 중국 기업체였다. 이 업체의 웹사이트 주소는 'www.cnnic.cn'으로 베이징 중관춘 과학기술단지에 위치한 중국인터넷정보센터(CNNIC)를 나타냈다.

권용민 기자 festym@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>