2017.11.29

칼럼 | '못 믿을 구글,애플...' 스마트폰을 더 이상 신뢰할 수 없는 이유

Mike Elgan | Computerworld
사용자를 취약한 상태로 내모는 비밀스러운 ‘기능’이 스마트폰에 포함될 수 있다. 해커에게 악용될 수 있는 우발적인 설계 결함을 말하는 것이 아니다.

보안 문제는 항상 존재했다. 보안 문제는 스마트폰 보안을 뚫으려 하는 악의적인 세력, 그리고 휴대폰을 해커의 위협에 노출시키는 우발적 취약점을 찾아 수졍하려는 스마트폰 업계 사이의 고양이와 쥐 게임이다. 늘 있는 일이다.

여기서 말하고자 하는 것은 지난 몇 주 사이에 드러난 스마트폰 제조사들의 새로운 움직임이다. 휴대폰이 사용자 등 뒤에서 보이지 않게 어떤 행동을 하고 그로 인해 보안성을 떨어뜨리는, 스마트폰 제조업체들이 의도적으로 내린 의사 결정에 관한 이야기다.

구글, 애플, 원플러스가 누구도 의심하지 못할 방법으로 휴대폰에 의도적으로 취약점을 숨겨뒀다는 사실이 최근 드러났다. 이 세 기업이 설치한 소프트웨어를 실행하는 휴대폰은 잠재적으로 위험에 노출될 수 있다. 더 심각한 문제는 사용자가 의식적으로 기능을 꺼도 계속 동작한다는 점이다.

스마트폰 업계의 동기가 부분적으로 선의에서 비롯된 것은 맞다. 그 목적이 성능 개선 또는 사용 편의성에 있기 때문이다. 그러나 사용자에게 명확하게 알리지 않고 이런 작업을 실행하도록 결정했다는 것은 고객을 무시하는 행태다.

지난 몇 주 사이에 드러난 사실을 정리해 보자.



구글 안드로이드 셀 ID 소동
이번 주 쿼츠(Quartz)는 안드로이드 폰에서 사용자가 위치 서비스를 끄고 아무런 앱도 사용하지 않고, SIM 카드를 빼놓더라도 안드로이드가 지난 11개월 동안 사용자 위치 데이터를 구글에 전송했다고 폭로했다.

지난 1월 필자가 인터뷰했을 당시 구글 대변인은 구글이 “메시지 전송 속도와 성능을 개선하기 위한 추가 신호로 셀 ID 코드를 사용하는 방법을 살펴보는 중”이라고 말했다.

구글은 이 데이터를 사용하거나 저장한 적이 없으며, 이 데이터는 위치 서비스, 표적 광고 또는 다른 기능과 관계도 없었다. 구글은 나중에 성능 향상에 쓸모가 있을지도 모른다는 생각으로 이 기능을 켜두었다.

구글은 이번 논란에 따라, 다음 달 원격으로 모든 사용자의 휴대폰에서 이 위치 전송 기능을 종료할 예정이다. 소프트웨어 패치나 다운로드는 필요 없다.

구글은 이러한 계획을 공개적으로 발표하지는 않았다. 나중에 범용적으로 또는 사용자 옵션을 통해 메시징 속도를 높이는 방편으로 이 기능을 사용할 생각이었을 가능성은 있다.

셀 ID가 메시징 속도 향상에 효과가 있는지 확인하기 위한 실험 자체는 정당하다. 그러나 모든 위치 서비스가 꺼진 상태에서도 위치 데이터가 전송된다는 사실을 사용자에게 고지하지 않은 채 모든 안드로이드 폰에서 셀 ID를 구현한 것은 잘못된 행동이다.

애플 iOS 11 제어 센터의 무선 연결 설정의 당혹감
iOS 설정 앱은 항상 사용자가 와이파이와 블루투스를 직접 켜거나 끌 수 있도록 했다. 설정에서 와이파이와 블루투스를 끄면 iOS는 휴대폰이 연결된 와이파이 네트워크 또는 블루투스 기기에서 연결을 끊고, 휴대폰에 내장된 와이파이와 블루투스 무선 장치를 꺼서 와이파이 또는 블루투스 사용을 원천 차단한다. 당연히 와이파이와 블루투스는 사용자가 다시 켤 때까지 꺼진 상태로 유지된다.

이것이 사용자가 기대하는 작동 방식이고 실제로도 그렇게 작동한다.

애플은 4년 전 iOS 7에 편의 기능으로 제어 센터를 도입했다. 휴대폰 화면을 아래에서 위로 밀어 올리면 열리는(유일한 예외는 신형 아이폰 X으로, 화면 오른쪽을 아래로 밀어 내려야 제어 센터가 열림) 제어 센터를 통해 사용자는 더 신속하게 와이파이와 블루투스를 켜고 끄는 등 여러 가지 작업을 편리하게 할 수 있게 됐다.

애플이 제어 센터에 무선 켜고 끄기를 집어 넣은 이유는 무선 기능을 빈번하게, 신속히 꺼야 하는 경우가 실제로 많기 때문이다. 예를 들어, 배터리를 아껴야 하는 경우 와이파이와 블루투스를 끈다.

문제는 제어 센터에서 조작할 경우 와이파이 네트워크 및 블루투스 기기와의 연결은 끊어지지만, 와이파이 또는 블루투스 기능 자체가 꺼지지는 않는다는 것이다.

제어 센터에서 와이파이 또는 블루투스를 끄더라도 새 핫스팟 또는 블루투스 기기가 범위 내에 들어오거나 휴대폰을 재시작하면 iOS 11이 자동으로 다시 핫스팟 또는 블루투스 기기와 연결된다. 또한, 오전 5시에도 다시 연결된다. 사용자가 의식적으로 연결을 끊은 와이파이와 블루투스 리소스에 새벽 5시만 되면 자동으로 다시 연결되는 것이다.

설정에서 와이파이와 블루투스를 끄면 완전히, 영구적으로 꺼진다. 그러나 제어 센터에서 와이파이와 블루투스를 ‘끄는 것’은 환상에 불과하다. 와이파이와 블루투스는 계속 켜진 채로 작동한다.

이와 관련해 애플은 공식적인 설명을 하지 않고 있다.

사용자는 세어 센터에서 와이파이와 블루투스를 켜고 끄는 것이 설정 앱에서 켜고 끄는 것과 동일하다고 여기지만, 사실은 전혀 다르다. 애플은 모호한 도움말 페이지에서만 이 차이를 사용자에게 알린다. 대다수 아이폰 사용자가 도움말 페이지를 절대 보지 않으며, 그 존재조차 모른다는 점을 애플은 잘 알고 있다.

이 같은 제어 센터 동작의 목적은 네트워크 및 리소스에 다시 연결되는 속도를 높이고 에어드롭, 개인용 핫스팟, 핸드오프와 같은 기능을 계속 유지하면서 애플 펜슬, 애플 워치 등의 애플 주변 기기에 편의를 제공하는 데 있다. 사용 편의성과 편리함을 위해 존재한다는 것 자체는 정당하다.

그러나 제어 센터에서 와이파이와 블루투스를 켜고 끄는 것이 설정에서 하는 것과 다르다는 점을 명확하게 사용자에게 고지하지 않은 점은 잘못된 행위다.

원플러스 엔지니어모드의 난국
스마트폰 제조업체 원플러스가 휴대폰 루팅이 가능한 앱이 설치된 채로 휴대폰을 출하해왔다는 사실이 이번 달 드러났다.

이 앱의 이름은 ‘엔지니어모드(EngineerMode)’이며, 시제품이나 출하 전 모델에 설치됐다가 일반 출시에 앞서 삭제되는 경우가 많은 진단 소프트웨어의 일종이다.

엔지니어모드를 활성화하는 방법은 세 가지다. 숫자 키패드 명령, 안드로이드 작업 런처 또는 명령줄을 사용하는 방법이다.

이 앱에서 루트 접근을 활성화하는 기능은 암호로 보호되지만, 어설픈 암호인 탓에 사용자들이 금방 알아내 온라인에서 공유했다. 원격으로는 이 앱을 이용할 수 없고 직접 만져야 한다.

원플러스는 이와 관련해 이 앱을 악용하기 위해 필요한 요소의 조합이 발생할 가능성이 거의 없기 때문에 ‘중대한 보안 문제라고 생각하지 않는다’는 입장을 전했지만, 다음 소프트웨어 업데이트에서 이 앱을 제거하겠다고 밝혔다.

엔지니어모드는 수정된 퀄컴 앱이다. 또한, 에이수스, 샤오미를 포함한 다른 휴대폰에소 유사한 앱이 포함되어 있다는 여러 증거가 나타나고 있다.

주요 스마트폰 제조사가 제품에 정확히 어떤 소프트웨어가 설치되어 있는지 모른 채로 휴대폰을 출하할 가능성은 있지만, 개인적으로 그 가능성은 극히 희박하다고 생각한다.

그보다는 원플러스가 제조 속도를 높이기 위해 알고도 엔지니어모드를 포함했을 가능성이 더 높다. 모든 제품에서 앱을 제거하는 많은 시간이 소비되는 공정을 생략하기 위함이다.

엔지니어모드가 ‘중대한 보안 문제’가 아니라는 원플러스의 주장이 맞다면, 이 소프트웨어를 포함한 것은 문제가 되지 않는다.

그러나 사용자에게 명확히 공지하고 제거 방법을 알리지 않은 채 비밀리에 이 앱을 포함한 것은 잘못된 행위다.

스마트폰 고객이 신뢰를 요구해야 하는 이유
잠재적 보안 위험을 유발하는 기능(또는 위험을 유발한다고 사용자가 의심할 만한 기능)을 의도적으로 설치한 다음, 고객에게 그러한 사실을 알리지 않는 것은 새로운 형태의 구매자 무시이자 기만이다.

세 경우 모두 스마트폰 제조사가 그런 활동을 숨겨 사용자가 상황을 통제하지 못하도록 했다. 이들 제조사의 공통적인 입장은 “우리가 우리 스스로를 신뢰하니 사용자가 의사 결정을 내리도록 정보를 제공할 필요는 없다”는 것이다.

안드로이드 폰은 사용자가 위치 서비스를 명시적으로 끈 이후에도 비밀리에 위치 데이터를 전송한다. iOS 11 폰의 와이파이 및 블루투스는 사용자가 와이파이와 블루투스를 명시적으로 끈 이후에도 비밀리에 작동한다. 원플러스 폰에는 루팅 기능이 있는 비밀 앱이 포함되어 있다.

구글 셀 ID도, 원플러스 엔지니어모드 앱도 제조사가 스스로 밝힌 적은 없으며, 연구원들이 찾아낸 다음에야 대처에 나섰다.

이러한 사실을 알게 된 이상, 이것 말고도 우리가 모르는 또 다른 일이 휴대폰에서 일어나고 있다고 의심할 수 밖에 없다.

투명성은 신뢰를 낳고 모호함은 불신을 낳는다.

이제 우리는 스마트폰과 그 스마트폰을 만드는 기업들을 불신할 이유가 생겼다. 더 나쁜 점은 구글, 애플, 원플러스가 내린 의사 결정에는 고객에 대한 존중을 찾아볼 수 없다는 점이다. 업계는 고객을 존중한다는 것을 입증함으로써 고객의 신뢰를 되찾아야 한다.

스마트폰이 무엇을 하는지 소비자에게 더 정확히 알리도록 노력해야 한다. 특히, 위치 데이터 전송, 무선 네트워킹 기능, 폰 루팅과 관련된 기능에 관해서라면 더욱 부지런히 알려야 한다. editor@itworld.co.kr
 



2017.11.29

칼럼 | '못 믿을 구글,애플...' 스마트폰을 더 이상 신뢰할 수 없는 이유

Mike Elgan | Computerworld
사용자를 취약한 상태로 내모는 비밀스러운 ‘기능’이 스마트폰에 포함될 수 있다. 해커에게 악용될 수 있는 우발적인 설계 결함을 말하는 것이 아니다.

보안 문제는 항상 존재했다. 보안 문제는 스마트폰 보안을 뚫으려 하는 악의적인 세력, 그리고 휴대폰을 해커의 위협에 노출시키는 우발적 취약점을 찾아 수졍하려는 스마트폰 업계 사이의 고양이와 쥐 게임이다. 늘 있는 일이다.

여기서 말하고자 하는 것은 지난 몇 주 사이에 드러난 스마트폰 제조사들의 새로운 움직임이다. 휴대폰이 사용자 등 뒤에서 보이지 않게 어떤 행동을 하고 그로 인해 보안성을 떨어뜨리는, 스마트폰 제조업체들이 의도적으로 내린 의사 결정에 관한 이야기다.

구글, 애플, 원플러스가 누구도 의심하지 못할 방법으로 휴대폰에 의도적으로 취약점을 숨겨뒀다는 사실이 최근 드러났다. 이 세 기업이 설치한 소프트웨어를 실행하는 휴대폰은 잠재적으로 위험에 노출될 수 있다. 더 심각한 문제는 사용자가 의식적으로 기능을 꺼도 계속 동작한다는 점이다.

스마트폰 업계의 동기가 부분적으로 선의에서 비롯된 것은 맞다. 그 목적이 성능 개선 또는 사용 편의성에 있기 때문이다. 그러나 사용자에게 명확하게 알리지 않고 이런 작업을 실행하도록 결정했다는 것은 고객을 무시하는 행태다.

지난 몇 주 사이에 드러난 사실을 정리해 보자.



구글 안드로이드 셀 ID 소동
이번 주 쿼츠(Quartz)는 안드로이드 폰에서 사용자가 위치 서비스를 끄고 아무런 앱도 사용하지 않고, SIM 카드를 빼놓더라도 안드로이드가 지난 11개월 동안 사용자 위치 데이터를 구글에 전송했다고 폭로했다.

지난 1월 필자가 인터뷰했을 당시 구글 대변인은 구글이 “메시지 전송 속도와 성능을 개선하기 위한 추가 신호로 셀 ID 코드를 사용하는 방법을 살펴보는 중”이라고 말했다.

구글은 이 데이터를 사용하거나 저장한 적이 없으며, 이 데이터는 위치 서비스, 표적 광고 또는 다른 기능과 관계도 없었다. 구글은 나중에 성능 향상에 쓸모가 있을지도 모른다는 생각으로 이 기능을 켜두었다.

구글은 이번 논란에 따라, 다음 달 원격으로 모든 사용자의 휴대폰에서 이 위치 전송 기능을 종료할 예정이다. 소프트웨어 패치나 다운로드는 필요 없다.

구글은 이러한 계획을 공개적으로 발표하지는 않았다. 나중에 범용적으로 또는 사용자 옵션을 통해 메시징 속도를 높이는 방편으로 이 기능을 사용할 생각이었을 가능성은 있다.

셀 ID가 메시징 속도 향상에 효과가 있는지 확인하기 위한 실험 자체는 정당하다. 그러나 모든 위치 서비스가 꺼진 상태에서도 위치 데이터가 전송된다는 사실을 사용자에게 고지하지 않은 채 모든 안드로이드 폰에서 셀 ID를 구현한 것은 잘못된 행동이다.

애플 iOS 11 제어 센터의 무선 연결 설정의 당혹감
iOS 설정 앱은 항상 사용자가 와이파이와 블루투스를 직접 켜거나 끌 수 있도록 했다. 설정에서 와이파이와 블루투스를 끄면 iOS는 휴대폰이 연결된 와이파이 네트워크 또는 블루투스 기기에서 연결을 끊고, 휴대폰에 내장된 와이파이와 블루투스 무선 장치를 꺼서 와이파이 또는 블루투스 사용을 원천 차단한다. 당연히 와이파이와 블루투스는 사용자가 다시 켤 때까지 꺼진 상태로 유지된다.

이것이 사용자가 기대하는 작동 방식이고 실제로도 그렇게 작동한다.

애플은 4년 전 iOS 7에 편의 기능으로 제어 센터를 도입했다. 휴대폰 화면을 아래에서 위로 밀어 올리면 열리는(유일한 예외는 신형 아이폰 X으로, 화면 오른쪽을 아래로 밀어 내려야 제어 센터가 열림) 제어 센터를 통해 사용자는 더 신속하게 와이파이와 블루투스를 켜고 끄는 등 여러 가지 작업을 편리하게 할 수 있게 됐다.

애플이 제어 센터에 무선 켜고 끄기를 집어 넣은 이유는 무선 기능을 빈번하게, 신속히 꺼야 하는 경우가 실제로 많기 때문이다. 예를 들어, 배터리를 아껴야 하는 경우 와이파이와 블루투스를 끈다.

문제는 제어 센터에서 조작할 경우 와이파이 네트워크 및 블루투스 기기와의 연결은 끊어지지만, 와이파이 또는 블루투스 기능 자체가 꺼지지는 않는다는 것이다.

제어 센터에서 와이파이 또는 블루투스를 끄더라도 새 핫스팟 또는 블루투스 기기가 범위 내에 들어오거나 휴대폰을 재시작하면 iOS 11이 자동으로 다시 핫스팟 또는 블루투스 기기와 연결된다. 또한, 오전 5시에도 다시 연결된다. 사용자가 의식적으로 연결을 끊은 와이파이와 블루투스 리소스에 새벽 5시만 되면 자동으로 다시 연결되는 것이다.

설정에서 와이파이와 블루투스를 끄면 완전히, 영구적으로 꺼진다. 그러나 제어 센터에서 와이파이와 블루투스를 ‘끄는 것’은 환상에 불과하다. 와이파이와 블루투스는 계속 켜진 채로 작동한다.

이와 관련해 애플은 공식적인 설명을 하지 않고 있다.

사용자는 세어 센터에서 와이파이와 블루투스를 켜고 끄는 것이 설정 앱에서 켜고 끄는 것과 동일하다고 여기지만, 사실은 전혀 다르다. 애플은 모호한 도움말 페이지에서만 이 차이를 사용자에게 알린다. 대다수 아이폰 사용자가 도움말 페이지를 절대 보지 않으며, 그 존재조차 모른다는 점을 애플은 잘 알고 있다.

이 같은 제어 센터 동작의 목적은 네트워크 및 리소스에 다시 연결되는 속도를 높이고 에어드롭, 개인용 핫스팟, 핸드오프와 같은 기능을 계속 유지하면서 애플 펜슬, 애플 워치 등의 애플 주변 기기에 편의를 제공하는 데 있다. 사용 편의성과 편리함을 위해 존재한다는 것 자체는 정당하다.

그러나 제어 센터에서 와이파이와 블루투스를 켜고 끄는 것이 설정에서 하는 것과 다르다는 점을 명확하게 사용자에게 고지하지 않은 점은 잘못된 행위다.

원플러스 엔지니어모드의 난국
스마트폰 제조업체 원플러스가 휴대폰 루팅이 가능한 앱이 설치된 채로 휴대폰을 출하해왔다는 사실이 이번 달 드러났다.

이 앱의 이름은 ‘엔지니어모드(EngineerMode)’이며, 시제품이나 출하 전 모델에 설치됐다가 일반 출시에 앞서 삭제되는 경우가 많은 진단 소프트웨어의 일종이다.

엔지니어모드를 활성화하는 방법은 세 가지다. 숫자 키패드 명령, 안드로이드 작업 런처 또는 명령줄을 사용하는 방법이다.

이 앱에서 루트 접근을 활성화하는 기능은 암호로 보호되지만, 어설픈 암호인 탓에 사용자들이 금방 알아내 온라인에서 공유했다. 원격으로는 이 앱을 이용할 수 없고 직접 만져야 한다.

원플러스는 이와 관련해 이 앱을 악용하기 위해 필요한 요소의 조합이 발생할 가능성이 거의 없기 때문에 ‘중대한 보안 문제라고 생각하지 않는다’는 입장을 전했지만, 다음 소프트웨어 업데이트에서 이 앱을 제거하겠다고 밝혔다.

엔지니어모드는 수정된 퀄컴 앱이다. 또한, 에이수스, 샤오미를 포함한 다른 휴대폰에소 유사한 앱이 포함되어 있다는 여러 증거가 나타나고 있다.

주요 스마트폰 제조사가 제품에 정확히 어떤 소프트웨어가 설치되어 있는지 모른 채로 휴대폰을 출하할 가능성은 있지만, 개인적으로 그 가능성은 극히 희박하다고 생각한다.

그보다는 원플러스가 제조 속도를 높이기 위해 알고도 엔지니어모드를 포함했을 가능성이 더 높다. 모든 제품에서 앱을 제거하는 많은 시간이 소비되는 공정을 생략하기 위함이다.

엔지니어모드가 ‘중대한 보안 문제’가 아니라는 원플러스의 주장이 맞다면, 이 소프트웨어를 포함한 것은 문제가 되지 않는다.

그러나 사용자에게 명확히 공지하고 제거 방법을 알리지 않은 채 비밀리에 이 앱을 포함한 것은 잘못된 행위다.

스마트폰 고객이 신뢰를 요구해야 하는 이유
잠재적 보안 위험을 유발하는 기능(또는 위험을 유발한다고 사용자가 의심할 만한 기능)을 의도적으로 설치한 다음, 고객에게 그러한 사실을 알리지 않는 것은 새로운 형태의 구매자 무시이자 기만이다.

세 경우 모두 스마트폰 제조사가 그런 활동을 숨겨 사용자가 상황을 통제하지 못하도록 했다. 이들 제조사의 공통적인 입장은 “우리가 우리 스스로를 신뢰하니 사용자가 의사 결정을 내리도록 정보를 제공할 필요는 없다”는 것이다.

안드로이드 폰은 사용자가 위치 서비스를 명시적으로 끈 이후에도 비밀리에 위치 데이터를 전송한다. iOS 11 폰의 와이파이 및 블루투스는 사용자가 와이파이와 블루투스를 명시적으로 끈 이후에도 비밀리에 작동한다. 원플러스 폰에는 루팅 기능이 있는 비밀 앱이 포함되어 있다.

구글 셀 ID도, 원플러스 엔지니어모드 앱도 제조사가 스스로 밝힌 적은 없으며, 연구원들이 찾아낸 다음에야 대처에 나섰다.

이러한 사실을 알게 된 이상, 이것 말고도 우리가 모르는 또 다른 일이 휴대폰에서 일어나고 있다고 의심할 수 밖에 없다.

투명성은 신뢰를 낳고 모호함은 불신을 낳는다.

이제 우리는 스마트폰과 그 스마트폰을 만드는 기업들을 불신할 이유가 생겼다. 더 나쁜 점은 구글, 애플, 원플러스가 내린 의사 결정에는 고객에 대한 존중을 찾아볼 수 없다는 점이다. 업계는 고객을 존중한다는 것을 입증함으로써 고객의 신뢰를 되찾아야 한다.

스마트폰이 무엇을 하는지 소비자에게 더 정확히 알리도록 노력해야 한다. 특히, 위치 데이터 전송, 무선 네트워킹 기능, 폰 루팅과 관련된 기능에 관해서라면 더욱 부지런히 알려야 한다. editor@itworld.co.kr
 

X