샤오미 브라우저 데이터 수집 논란 정리

며칠 전 포브스에서는 샤오미가 방문한 URL를 포함해 브라우저 데이터를 수집한다는 기사를 냈습니다. 오늘날 대부분 브라우저에서 데이터를 수집하는 것이 일반적 관행이기는 하지만, 기사에서는 사생활 보호 모드에서도 검색어와 URL이 수집한다는 점을 지적했습니다.

- Forbes 기사 (영어) 참조

샤오미도 여기에 대응해 블로그에 해명을 올렸습니다. 샤오미 공식 입장은 아래 링크에서 읽을 수 있습니다.

- 샤오미 블로그 링크 (영어)

상황을 좀 더 잘 이해하기 위해 문제를 제기한 보안 연구자 주장과 샤오미의 해명, 그리고 연구자가 다시 반박한 내용을 해외 매체 '기즈모차이나'에서 정리했습니다.

● [문제점 1]

포브스 기사에서 최초로 관련 문제를 발견하고 설명한 Gabriel Cîrlig 은 샤오미 Mi 브라우저와 민트 브라우저가 구글과 덕덕고에서 검색한 내용을 포함해 방문한 모든 사이트를 추적하는 것을 발견했습니다. 사생활 보호 모드 상태에서도 추적은 계속해서 이뤄졌습니다. 사용 정보도 역시 샤오미 서버로 전송되었습니다.

[샤오미 입장]

- 샤오미는 '시스템 정보, 유저 인터페이스 사용 통계, 반응성, 메모리 사용량, 충돌 현상 보고' 등 유저 정보를 수집한다고 인정했습니다.

- '검색어'에 대해서는 언급하지 않았지만 URL를 수집한다고도 밝혔습니다. 이 URL 정보는 어떤 사이트가 느리게 로딩되는지 확인하기 위해서라고 하며 전반적인 브라우징 경험을 향상시키기 위한 정보라고 밝혔습니다.

- 샤오미는 Mi 계정으로 로그인해 동기화를 켠 경우에만 브라우징 정보를 수집한다고도 덧붙였습니다.

- 블로그뿐만 아니라 인도지사 CEO가 직접 등장해 '사생활 보호 모드에서 수집된 정보는 암호화되고 익명화되어 처리된다'는 설명 영상을 올리기도 했습니다. (힌디어와 영어로 설명)

[연구자 반박]

샤오미 설명이 나오자 Andrew Tierney라는 다른 연구자가 직접 영상을 올렸습니다.

민트 브라우저가 사생활 보호 모드에서도 중요 유저 데이터를 수집하는 방법을 보여주는 영상입니다. 여기서 수집 데이터에 최소 24시간동안 변경되지 않는 UUID(고유식별자)가 있다고 하는 것입니다. 따라서 서버로 전송된 데이터는 개인을 추적하는 데 이용할 수 있다는 설명입니다.

● [문제점 2]

사용자 데이터가 베이징에서 등록된 도메인 주소에, 서버는 싱가포르나 러시아 같은 다른 나라에 있는 곳으로 전송된다는 지적입니다.

[샤오미 입장]

- 업계에서 일반적이고 잘 알려진 퍼블릭 클라우드 인프라에서 데이터를 호스팅하고 있다고 밝혔습니다.

- 현지 사용자 개인정보보호법과 관련 규정을 엄격히 준수하며 규정에 맞는 다양한 해외 서버에 저장된다고 설명했습니다.

- 인도 CEO는 앞서 영상에서 인도 유저는 인도 안에서만 저장된다고 밝히기도 했습니다.

● [문제점 3]

서버로 전송되는 유저 데이터가 쉽게 해독할 수 있는 base64로 인코딩되어 전송된다는 주장입니다.

[샤오미 입장]

이 부분에 대해서는 샤오미가 언급하지 않았고, 다만 TLS 1.2로 전송된다고 밝혔습니다. 이 말은 전송 과정에서 적어도 다른 사람이 볼 수는 없다는 뜻입니다. 즉 단말에서 base64로 인코딩하는 이유에 대해서는 아직 공식 입장이 없습니다.

[연구자 반박]

Andrew씨는 TLS로 전송했는지 여부가 논쟁할 주제가 아니라면서, 동의받지 않은 데이터 전송부터가 문제라는 입장입니다. [#]