본문 바로가기

댓글0
번역beta

Translated by kakao i

번역할 언어 선택

뷰 본문

앱스토리

연이은 갤럭시 보안 논란, 위기에 처한 삼성 스마트폰

갤럭시 보안 논란, 문제점과 해결책은?

1,489 읽음
댓글0
번역beta

Translated by kakao i

번역할 언어 선택

유명 배우 주진모 씨가 최근 곤욕을 치렀다. 그가 사용하는 삼성전자의 스마트폰이 해킹을 당해, 민감한 개인정보가 유출이 되었기 때문이다. 이전에도 할리우드 셀러브리티들의 사진이 노출이 돼 화제가 된 적은 있지만, 철통같은 보안을 장점으로 내세우는 삼성전자의 스마트폰 데이터 유출이 이토록 화제가 된 것은 이번이 처음이다. 뿐만 아니라 올해 들어서는 갤럭시 스마트폰에 탑재된 중국산 임베디드(선탑재) 앱이 ‘중국산 백도어’라는 의심까지 사고 있는 중이다. 연이어 ‘보안‘의 영역에서 논란을 빚고 있는 삼성전자 스마트폰의 신뢰성이 크게 흔들리고 있다!

▲연이은 보안 논란, 위기에 처한 삼성전자 스마트폰


갤럭시폰의 보안 논란이 불거지다

최근 논란을 빚고 있는 ‘주진모 사태’는 주진모 씨를 비롯해 최현석 쉐프, 연예인 십수 명의 데이터가 해킹돼, 카카오톡의 대화 정보가 유출이 된 사건을 이야기한다. 이번 사태에서 주목할 점은 이들이 사용하던 제품이 모두 삼성전자의 갤럭시 브랜드 스마트폰이라는 점이다. 이들의 해킹 유출 자료가 온라인을 통해 빠르게 확산되면서, 삼성전자 스마트폰에 대한 보안 성능에 대한 불신이 깊어지고 있다.

▲유명인들의 톡방 대화 유출을 ‘제2의 정준영 사태’로 보는 시각도 있다

공교롭게도 본 사태는 해외 커뮤니티를 통해 삼성전자 스마트폰에 중국산 백도어가 탑재돼 있는 것 아니냐는 문제가 제기되는 와중에 불거졌다. 삼성전자의 ‘ONE UI’가 설치된 스마트폰에서 ‘설정-디바이스 케어-저장공간’ 항목으로 이동하면 ‘제공+360’이라는 문구를 확인할 수 있다. 360은 중국의 보안 프로그램 업체인 ‘치후360’을 뜻한다. 삼성전자는 현재 치후360의 보안 앱을 지난 2017년 이후부터 출시된 대부분의 갤럭시 스마트폰 및 태블릿PC에 기본 임베디드 앱으로 제공하고 있으며, 이용자는 임의로 이를 삭제하거나 중단시킬 수 없도록 돼 있다.

▲철통같은 보안을 자랑하던 갤럭시 스마트폰의 역사에 금이 갔다

치후360은 전 세계적으로 유명세를 떨치고 있는 기업이다. 무료 백신 프로그램은 물론 현재는 클라우드 스토리지, 메신저, 포털 사이트 등 다양한 분야로 사업을 전개해 나가고 있다. 중국의 로컬 앱스토어 분야에서도 치후360은 높은 점유율을 기록하고 있다. 이들은 지난 2016년에는 웹브라우저 오페라를 인수하기도 했으며, 국내에서도 무료 백신 소프트웨어를 찾는 많은 유저들이 치후360의 백신을 이용하고 있다. 다만 중국 내에서의 높은 실적은 곧 중국 중앙 정부와의 빈번한 교류를 뜻하기도 하기에, 이들의 서비스는 보안의 측면에서는 좋은 평가를 받지는 못하고 있는 실정이다.


치후360의 앱이 백도어?

지난 2015년, 치후360은 백신 성능 테스트에서 자사의 엔진이 아닌 비트디펜더의 엔진만을 사용하는 속임수를 써서 이들의 수상이 취소되는 문제가 일어난 바 있다. 이들이 제공하는 모바일 앱이 설치 과정에서 백신과는 무관한 개인정보에 마구잡이식으로 접근하는 것이 드러나 논란을 일으킨 적도 있으며, 중국 인증기관 워사인과 스타트콤이 발급한 SSL/TLS 인증서가 세계 시장에서 퇴출되는 와중에 치후360의 오페라는 워사인 인증서 문제를 심각하게 다루지 않으면서 시장의 불신을 사기도 했다. 전 세계적으로 6억 명의 사용자를 가지고 있는 치후360이지만, 이들의 몇 번의 실수와 ‘친정부 중국 기업’이라는 프레임은 보안의 영역에서는 득이 될 리 없다.

▲360시큐리티 앱은 전 세계적으로 많은 이용자를 확보하고 있다

삼성전자 스마트 디바이스에 탑재된 치후360의 앱은 저장공간 정리를 위해 탑재된 것으로, 문제는 기능을 수행하는 과정에서 앱이 중국 내 서버와 통신을 했다는 점이다. 의혹이 제기된 미국의 온라인 커뮤니티 레딧에서 한 이용자는 “기본 저장공간 관리 프로그램에서 360시큐리티의 로고를 보고 테스트를 하니, 중국 서버와의 통신 기록이 발견됐다”고 밝힌 바 있다. 이어서 커뮤니티 이용자들은 광고를 차단하는 앱을 이용해, 중국 도메인의 주소 접속을 차단하는 방법을 공유하고 있는 추세다. 게시물 내에서 일부 이용자들은 이용자가 선택적으로 본 기능을 삭제할 수 있도록 하라는 요구를 하고 있다.

▲치후360은 미국 증시에 상장돼 있는 세계적인 기업이지만, ‘중국 기업’이라는 프레임에서는 자유롭지 않다

삼성전자는 이에 대해 “제휴를 맺고 활용하는 건 정크파일 DB뿐, 실제로 휴대폰에서 분별하고 삭제하는 것은 삼성전자의 솔루션을 통해 이뤄진다”며, “(이용자들이)우려하는 것처럼 개인정보가 오간다는 주장은 과장된 것”이라고 해명했다. 상식적으로도 스마트 디바이스를 노리는 악성 파일들이 매 순간마다 새로이 나타나는 상황 속에서, 데이터베이스 갱신을 위해 서버와 접속이 이뤄지는 점은 당연해 보이기도 한다. 하지만 이를 감안하더라도 삼성전자가 어떤 정보를 앱이 주고받는지 확인해 주지 않는 데다 이용자들이 이용을 선택할 수 없는 상황에 놓여있다는 점은 충분히 문제가 될 소지가 있는 것도 사실이다.


3개월 만에 다시 일어난 보안 논란

중국산 앱의 백도어 논란이 불거진 것은 그리 최근의 일이 아니다. 최근 중국산 IP 카메라가 이용자와 전혀 상관이 없는 곳을 연결시켜 비추면서 논란이 되기도 했으며, 실제로 지난 2015년 국내 보안회사 NSHC가 카이스트와 공동으로 분석해 중국 유명 CCTV 제조사 두 곳이 국내 판매 중인 일부 IP 카메라에 백도어를 심어놓았다는 점을 밝히기도 했다. 미국 의회는 재작년 주요 시설에 중국산 CCTV의 사용을 금지하는 국방수권법을 통과시킨 바 있다. 2018년에는 중국이 아프리카 55개 회원국을 둔 아프리카연합을 5년 가까이 상습 해킹한 사건이 드러나기도 했으며, 미국을 포함해 다수의 국가는 중국산 통신 장비 및 서비스의 조달, 계약을 금지하고 있는 상황이다.

▲지문인식 논란이 불거진 지 3개월 만에 다시 보안 논란이 일다

연예인 스마트폰 데이터 유출 사고는 삼성전자에서 밝힌 대로 모바일 메신저 계정 해킹의 문제일 수 있다. 또한 치후360의 앱 이용 데이터 전송 또한 단순히 DB와의 대조를 위한 것일 뿐 실제 백도어로 사용된 것은 아닐 수 있다(또한 그럴 가능성이 높아 보인다). 하지만 공교롭게도 새해 들어 이 두 건의 문제는 거의 같은 시점에 불거졌으며, 이로 인해 삼성전자 스마트 디바이스 전반에 대한 신뢰성이 흔들린 것은 부정할 수 없는 사실이다. ‘오얏나무 아래에선 갓끈도 고쳐 쓰지 말라’ 했다. 공교롭게 동시점에 일어난 이러한 문제 제기는 실제와 얼마나 괴리가 있건, 결과적으로는 갤럭시 스마트폰에 대한 신뢰성의 문제로 이어졌음을 부정할 수 없다.

▲아직 해외에서는 갤럭시폰에 대한 지문인식 기능의 불신이 남아있는 상황

삼성전자는 작년에도 스마트폰 보안에 대한 심각한 문제를 겪은 바 있다. 지문 인식 오작동 사태다. 2019년 10월부터 대중들에게 회자된 이 문제는 내장 지문인식 잠금해제를 채택한 제품의 경우, 화면 위에 특정 실리콘 케이스를 두고 그 위로 지문인식을 하면 등록된 지문이 아닐지라도 잠금이 풀려버리는 현상이다. 이로 인해 삼성전자 스마트 디바이스의 지문인식 기능을 해외 일부 금융권에서 아예 배제하는 조치가 내려지기도 했다. 고작 3개월 만이다. 3개월 만에 삼성전자의 디바이스 보안에 대한 신뢰가 다시금 흔들리는 이슈가 불거지고 만 것이다.


잃어버린 신뢰를 찾기 위해 노력해야

서두에서 이야기한 것처럼 스마트폰 시장에서 삼성전자의 라이벌로 꼽히는 애플도 보안 논란에 휘말린 적이 있다. 2014년 8월 불거진 할리우드 스타들의 누드 사진 유출 사건이 바로 그것이다. 사진을 올린 유출범들은 최초 애플의 클라우드 서비스인 아이클라우드를 해킹했다고 밝히며 논란이 되었고, 2년이 지난 시점에서 재판을 통해 밝혀진 바로는 피싱을 통해 피해자들로부터 계정 암호를 받은 것으로 전말이 밝혀졌다. 비록 이들이 밝힌 대로 아이클라우드가 해킹된 것은 아니었지만 이를 통해 아이폰의 보안에 대한 신뢰성은 크게 흔들렸으며, 애플은 다시 한번 보안을 강화하겠다는 발표를 통해 신뢰를 회복하고자 노력했다. 그 결과 현재 애플은 테러범의 아이폰 잠금도 열어주지 않는, 뒤집어서 이야기하자면 미국 정부도 해제하지 못하는 철벽같은 뛰어난 보안성을 자랑하고 있다.

▲애플도 아이클라우드 사진 유출의 문제로 보안에 의심을 산 바 있다

삼성전자의 스마트 디바이스 보안 능력은 사실 애플에 뒤지지 않는다. 삼성전자의 보안앱 ‘녹스’는 다른 어떤 디바이스의 시스템보다 뛰어난 데이터 보안성을 자랑한다. 비록 삼성전자가 오픈소스 OS인 안드로이드의 개방성 하에서 자사 스마트 디바이스를 내놓고 있지만, 그 안에서도 이들은 기할 수 있는 최선의 노력을 다해 디바이스의 보안성을 점차 강화해 나가고 있다. 하지만 그 와중에 벌어지고 있는 이와 같은 사소한 실수들, 심지어는 누군가에게 귀책사유를 묻기 힘든 논란들마저도 삼성전자에 대한 신뢰를 흔들고 있다. 몇 년을 쌓은 신뢰의 탑이 몇 번의 실수로 무너져 내리는 상황을 우리는 목도하고 있는 것이다.

▲철저한 대처와 재발 방지, 실수의 여지조차도 제거하는 대응을 통해 잃어버린 신뢰를 쌓아야 할 것이다

삼성전자는 최근 논란이 된 주진모 사태에 대한 대응책으로 클라우드 계정 이중 보안 설정을 당부하는 한편, 향후로는 2단계 인증을 의무화하는 등의 추가 조치를 검토하고 있는 것으로 전해지고 있다. 하지만 이로서는 부족해 보인다. 우선 삼성전자는 미중 무역분쟁이 갈수록 격심해지고 있는 지금의 상황 속에서, 불신의 씨앗이 될 수 있는 중국산 보안앱 논란에 먼저 적극적으로 대처해 나가야 할 것으로 생각된다. 아울러 애플마저도 몇 년이 걸린 보안에 대한 신뢰 회복을 위해, 삼성전자는 앞으로 또 불거질 문제가 없을지 바닥부터 새로이 자사 제품의 보안성을 다시 검증해야 할 것이다. 굳이 오얏나무 아래에서 갓끈을 고치면서, 매번 오얏나무 탓을 할 수는 없는 노릇이니 말이다.


오늘의 추천 동영상

작성자 정보

앱스토리

    실시간 인기

      번역중 Now in translation
      잠시 후 다시 시도해 주세요 Please try again in a moment