티스토리 뷰
지난 11월 중순 Android 개발자인 Trevor Eckhart(트레버 에카르트)는 자신이 가지고 있던 HTC EVO 4G 스마트폰(Sprint 서비스 이용)이 자신도 모르게 단말기 사용정보가 이동통신사로 넘어가고 있다는 것을 발견했다.
Trevor Eckhart가 공개한 영상 중 한 장면
그가 가지고 있던 HTC 스마트폰에는 Carrier IQ(CIQ)라는 회사의 소프트웨어가 설치되어 있었으며, 자신의 휴대폰을 통한 각종 행위가 특정한 서버로 전송된다는 것을 알게 되었다. 또한 이와 관련된 Carrier IQ의 내부문서(교육용)도 확보했다고 Android 개발자 포럼인 XDA에 공개했다.
http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/
Carrier IQ 내부 교육용 문서는 최초엔 공개되어 있었으나 파문이 일자 비공개로 돌려졌으며, Eckhart는 이 문서를 다양한 파일 저장 공간에 공개하여 일반인들이 다운로드할 수 있도록 해놨다. 문서에는 Carrier IQ의 정보를 수집 분석하는 웹사이트 관련 이미지와 설명이 포함되어 있다.
Eckhart는 Carrier IQ의 소프트웨어는 이른바 rootkit 스파이웨어라고 단정지었다. 고객의 통화기록은 물론 문자메시지 수발신 기록, 방문 웹사이트 URL 기록, 위치 정보 등 기기를 통해 다양한 정보를 수집하고 있다는 의혹을 제기했다.
특히 사용자의 키입력(Keypress)을 모두 기록 전송하기 때문에 문자내용이나 다른 키입력 정보도 전송된다는 주장을 펼쳐 파문이 더 커졌다. 다시 말하면, 이 소프트웨어를 통해 이동통신사가 고객의 데이터 도청도 가능하다는 뜻이기 때문이다.
HTC 스마트폰 외에도 삼성전자 휴대폰 한 종류도 Carrier IQ 소프트웨어가 설치되어 있다고 주장했는데, HTC는 Carrier IQ 소프트웨어를 제어할 수 없는 형태지만 삼성전자 휴대폰은 동작을 제어할 수 있다고 한다.1
Android뿐만 아니라 공개된 교육용 문서에 따르면 BlackBerry와 Nokia폰에서도 Carrier IQ가 작동된다는 것도 함께 알려졌다. 또한 iOS에서도 작동된다는 것이 추가로 밝혀지면서 주요 스마트폰에서는 모두 작동 가능하다는 것이 알려졌다.
이에 대해 Carrier IQ 측은 소프트웨어의 존재를 인정하면서도 불법성은 없다는 점을 집중적으로 강조했다. 전세계 1억 4천만 대 가량의 휴대폰에 해당 소프트웨어가 설치되어 있으며, Sprint, AT&T, T-Mobile USA 등을 포함한 이통사들과 HTC, 삼성전자, RIM, BlackBerry, Apple 등의 제조사를 통해 설치되었지만, Eckhart의 주장처럼 키입력 가로채기를 통한 데이터 내용의 전송 등의 행위는 없었다고 주장했다.
이어 Trevor Eckhart를 고소할 예정이라고 밝혔다. 그가 주장한 내용들이 심각하게 왜곡되어 있으며, Carrier IQ의 대외비에 속하는 교육용 문서 등을 공개한 행위는 불법이라고 주장하면서 일종의 내용증명을 발송했다. 이를 즉시 시정 및 중단하고 사과하지 않으면 모든 민형사상의 손해배상을 요구할 것이라는 내용이었다.
Trevor Eckhart에 대한 압박이 가해지자 미국 전자프런티어재단(EFF)은 성명을 발표하고 Eckhart에 대한 지원을 약속하며, Carrier IQ 측을 오히려 법위반을 했다며 비난했다. EFF의 강력한 경고에 결국 Carrier IQ는 이를 즉각 수용하고 Trevor Eckhart에게 사과했다.2
http://www.carrieriq.com/company/PR.EckhartStatement.pdf
사과문에는 Carrier IQ 소프트웨어가 하는 일과 하지 않는 일을 명시했다. 여기에서 키스트로크(Keystroke)와 추적툴 기능은 제공하지 않으며, 이메일이나 문자 등의 내용을 엿보거나 전송하지 않으며, 실시간 전송을 하지 않는다고 강조했다. 물론 나머지 수집 정보에 대해서 제3자로의 전송도 없다고 주장했다.
대신 Carrier IQ는 통화 단절이나 서비스 불량에 대한 정보를 모으며, 배터리 수명을 단축시키는 관련 동작에 대한 정보, 기타 이동통신 서비스를 원활하게 하는데 필요한 정보들을 수집 및 전송한다고 밝혔다.
Carrier IQ의 이러한 해명에도 불구하고 논란의 여지는 계속 확산되었다. 미국의 4대 이동통신사 중에서 Verizon만 빼고 3개 업체는 모두 Carrier IQ를 사용하고 있었으며, 이들을 통해 제공된 거의 모든 주요 스마트폰들이 대상이었다는 점은 큰 충격으로 받아들여졌다.
Trevor Eckhart가 두 번째 공개한 Carrier IQ Part #2라는 동영상에는 키스트로크(문자 가로채기)가 가능한 듯한 시연 내용이 포함되면서 논란은 더욱 확산되는 분위기다. 만일 소프트웨어 운영 주체 측이 원하면 사용자들이 작성한 내용까지도 볼 수 있을 가능성이 있다는 뜻이기 때문이다.
또한 초기에는 Android폰에만 설치되어 있는 것처럼 알려졌으나 iOS를 탑재한 iPhone에도 설치되어 있다는 것도 큰 이슈로 부각되었다. 다만 iPhone의 경우 사용자가 수집 정보의 전송 여부를 결정할 수 있도록 되어 있다는 점3에서 우려의 수위는 조금 낮아졌다. Apple측은 차기 버전 업그레이드(아마도 iOS 5.1이 될 것으로 예상됨)를 통해 Carrier IQ 소프트웨어를 완전히 빼겠다고 약속했다.
파문이 확산되자 자신의 스마트폰에 Carrier IQ 소프트웨어가 설치되어 있는지 여부를 확인하려는 사람들이 많아졌고, Android Market에는 Carrier IQ 소프트웨어 설치여부를 알아내는 소프트웨어들이 속속 등록되었다.
갤럭시 S2 (KT향) 단말기에서 Voodoo CarrierIQ Detector를 통해 검사한 결과
Voodoo Carrier IQ detector, Bitdefender Carrier IQ Finder, Carrier IQ Detector, Kinetoo Carrier IQ Detector, Carrier IQ Checker 등 유료와 무료 소프트웨어들이 쏟아져 나왔다.
파문이 일자 국내 이동통신 3사는 빠르게 설치 여부를 공개했는데, 미국의 이동통신사들과 달리 국내 이동통신 3사는 모두 Carrier IQ를 설치하지 않은 것으로 알려졌다.
Carrier IQ 소프트웨어가 주요 이동통신사를 통해 판매된 스마트폰에 설치되어 있다는 사실이 밝혀지자 미국 소비자들은 소송에 들어갔다. 향후 집단 소송의 형태가 계속해서 터져나올 것으로 보이는데, 현재 알려진 소송은 HTC와 삼성전자, Apple, AT&T, Sprint, T-Mobile USA 등을 상대로 델라웨어, 일리노이, 미조리, 산호세 등 4곳에서 제기되었다. 모두 미국 연방 도청법을 근거로 소송을 제기한 것으로 알려지고 있다.
Carrier IQ 사태의 핵심은?
이번 Carrier IQ 소프트웨어 사태의 핵심은 휴대폰 사용자의 프라이버시 침해에 대한 부분이다. 미국인 성인 대부분은 휴대폰을 가지고 있으며, 점점 스마트폰으로 바뀌고 있는데, 미국 이동통신 사용자 상당수가 가지고 있는 스마트폰의 사용 정보가 이동통신사측으로 흘러갔다는 정황이 포착되었다.
휴대폰 사용 정보에 전화 착발신 시간과 문자메시지 착발신 및 위치 정보, 웹페이지 접속 기록 등의 데이터 서비스 이용 정보, 각종 애플리케이션 사용 정보 등이 고스란히 이동통신사 서버로 흘러갔다는 정황이 알려진 것이다.
해당 문제 소프트웨어 개발사와 이동통신사는 네트워크 품질을 위한 조사라고 강변하고 있지만, 수집 데이터의 범위와 저장 방법 및 활용에 대한 정확한 언급이 없는 것이 큰 문제다.
이메일이나 문자 메시지 내용 등은 볼 수 없다고 주장하고 있지만, 최초 이 문제 제기자인 Eckhart에 의하면 Carrier IQ 측의 반박은 근거가 약한 면이 있다. 전화번호 및 문자 메시지의 가로채기 가능성과 HTTPS 연결에서도 데이터가 읽혀지는 문제점 등은 반드시 해명되어야 할 부분이다.
무엇보다 이러한 민감한 개인정보를 사용자 동의없이 수집한 이동통신사는 분명한 해명이 따라야 할 것 같다. 네트워크 품질 향상이 목적이라고 하지만 이는 명백히 사생활 침해에 해당하는 부분이기 때문이다.
통화와 문자 메시지 수발신, 웹서핑 등에 대한 정보, 애플리케이션 구동 정보는 사용자의 스마트폰 사용행태를 수집하기 위한 것으로 보인다. 이를 통해 더 정교한 고객 마케팅이나 애플리케이션, 서비스 개발 등에 활용할 목적으로 예상된다.
문제점이 드러나자 해당 소프트웨어 설치 및 사용 사실을 인정한 부분이나 여전히 확실하게 공개되지 않은 데이터 수집 범위와 활용처 등은 불신을 양산하고 있는 주범이다.
단말기 제조사 역시 이 문제에서 자유로울 수는 없을 것 같다. 비록 이동통신사 요구에 의한 설치이긴 하지만, 제조사는 전혀 관련이 없는지, 수집된 정보를 제조사가 활용할 여지는 없는지도 정확한 조사를 통해 공개되어야 한다. 현재까지는 제조사 자발적으로 설치한 경우는 없다고 밝히고 있다.
현재 휴대폰은 개인에게 있어서 아주 중요한 정보를 포함하고 있는 기기다. 위치가 추적될 수 있고, 어떤 정보에 접근했는지, 누구와 연락하는지, 무슨 행동을 하려는 것인지를 알아낼 수 있는 중요한 정보를 가진 기기다. 더군다나 의혹의 핵심 중 하나인 문자 메시지나 이메일 내용 등의 사용자 콘텐츠가 열람 가능하다면 이는 인권의 문제로 확대될 수 있는 부분이다.
미국에서 시작된 Carrier IQ 사태는 전세계로 퍼지고 있는 상황이다. 아마도 곧 미국 행정부의 조사가 시작될 것 같은데, 철저한 조사가 요구되는 중대한 사안이다. 수집된 개인 정보가 어떻게 사용될지는 아무도 모르며, 악용될 경우 끔찍한 상황이 발생할 수 있다.
* 사건의 추이를 잘 정리한 CNET 기사
http://news.cnet.com/8301-1009_3-57335031-83/carrier-iq-how-big-a-threat-is-it/
