[News] 리눅스 커널 해커의 캐리어IQ 분석, ‘키로거(사용자 키 입력 기록)’ 증거 없어

한 리눅스 커널 해커의 심층 분석에 의하면 캐리어 IQ 는 사용자의 키 입력 혹은 SMS 메시지, 이메일 내용 등을 기록할 능력이 없다고 밝혔습니다. 리눅스 커널, FreeBSD, GNU 유틸리티에서 100여 가지 이상의 취약점을 발견한 댄 로젠버그는 그의 블로그에 삼성 에픽 4G 터치에서 캐리어 IQ가 수집 전송하는 데이터를 분석해서 글을 포스팅 했습니다. 이 분석에 따르면, 처음 보도됐던 주장의 내용과는 반대로 캐리어 IQ 소프트웨어는 키로거가 아닐 뿐 아니라 그런 환경으로 설정할 수도 없다고 합니다.

로젠버그는 “통신사나 기기 제조회사에서 아무리 원한다고 해도 캐리어 IQ를 사용해 SMS 텍스트 본문, 웹 페이지 내용, 혹은 이메일 내용을 기록할 수는 없으며, 이러한 정보를 포함하고 있는 메트릭은 없다”고 결론 지었습니다. 그는, Eckhart가 유튜브 동영상에서 보여줬듯이, 캐리어 IQ가 다이얼 프로그램에서 어떤 번호가 찍혔는지를 기록할 수는 있지만 “다이얼 프로그램에서의 입력 외의 그 어느 키 입력도 기록할 수 없다”고 밝혔습니다.

캐리어 IQ의 대변인이 발표한 내용에 따르면 회사 스스로가 아직 기술적 세부사항을 공개하지 않았다고 했습니다. 만약 투명하게 공개했다면, 그 동안의 비판을 줄일 수 있었을 것이고 상원의원으로부터의 편지를 받지 않았을 것입니다. 미네소타 민주당원 Al Franken은 캐리어 IQ가 키 입력을 켑처 할 능력(가장 심각하게 제기됐던 비난/고소)이 없다고 해도 프라이버시와 관련된 다른 사안들이 여전히 남아 있는 것으로 보고 있습니다.

로젠버그는 통신사들이 “사용자들 스스로 데이터 수집에 대해 선택할 수 있도록” 해야 하며 “통신사 역시 사용자들에게서 어떤 데이터가 수집되고 있는지 더욱 투명하게 대처해야 하며, “수집된 데이터의 남용을 막기 위한 제 3의 감독 체제”가 필요하다고 주장했습니다.  

캐리어 IQ 부사장 Coward가 지난 주 CNET에 밝힌 바에 의하면, 통신사의 네트워크 개선을 위해 디자인된 자사 소프트웨어는 기기에서 어떤 어플을 사용하는지 어떤 사이트를 방문했는지를 보고할 수 있다고 했습니다. 그러나 캐리어 IQ가 이에 대한 결정을 하는 것이 아니라, 이러한 설정이 가능한 소프트웨어를 단순히 판매하는 것이고 통신사에서 어떤 기능을 사용하는지를 결정하는 것이라고 했습니다.

통신사는 사용자가 방문한 웹사이트에 대한 정보를 얻을 수 있고, 대부분의 경우, 캐리어 IQ는 통신사가 이미 갖고 있는 정보를 또 다시 전송하도록 만들어졌다고 합니다. 그러나 사용자가 방문한 웹사이트 리스트가 기기에 저장되어 분석용으로 사용되거나, Wi-Fi 네트워크를 통해 방문한 URL 리스트가 전송되거나, 혹은 암호화된 HTTPS URL이 새어나갈 경우, 프라이버시와 관련해 심각한 문제가 발생할 수 있습니다.

캐리어 IQ를 사용한다고 인정한 Sprint와 AT&T는, 이 일이 자사의 개인정보 보호정책에 위배되는 점이 없다는 것 외에는, 이 프로그램의 어떤 설정을 작동시켰는지에 대해 설명하지는 않았습니다.

via Cnet