iOS 13용 사파리, 사용자의 브라우징 히스토리를 중국의 텐센트로 전송
봇물처럼 쏟아지는 비난...“애플이 이렇게까지 중국의 충견이 될 줄 몰랐다”는 반응
[보안뉴스 문가용 기자] 애플이 iOS 13 사파리 사용자 일부의 브라우징 히스토리를 텐센트 홀딩즈(Tencent Holdings)라는 중국 대기업과 공유했다는 사실이 드러났다. 사파리의 세이프 브라우징(Safe Browsing) 기술과 관련이 있는 데이터들이 중국으로 전송된 것으로 알려져 있다. 이 때문에 보안과 프라이버시 전문가들 사이에서 비판이 나오고 있다.
[이미지 = iclickart]
iOS용 사파리 브라우저에는 ‘사기성 웹사이트 경고(Fraudulent Website Warning)’이라는 기능이 있다. 디폴트로 활성화되어 있으며, 구글의 세이프 브라우징 기술을 백엔드에서 활용하고 있기도 하다. 애플은 최근 사용자들에게 이 기능에 대한 정보를 제공하면서 “웹사이트 주소로부터 계산된 정보를 구글 세이프 브라우징과 텐센트의 세이프 브라우징 기술로 전송한다”고 밝혔다.
또한 애플은, 이런 식의 소식이 늘 그러하듯, 해당 정보가 텐센트로 제공됨에 따른 프라이버시의 영향력에 대해서는 구체적으로 밝히지 않고 있다. 누군가에게는 짜증날 수도 있고, 실제로는 꽤나 심각한 프라이버시 침해로 이어질 수 있는 것인데 말이다. 존스홉킨스 대학의 암호학과 교수인 매튜 그린(Matthew Green)은 “최상의 시나리오는, 중국 내 애플 사용자들만을 대상으로 한 조치일 때이지만, 확실히 알 수는 없다”고 말한다. “게다가 해당 공지사항은 미국의 사용자들에게도 전달이 된 상황이죠.”
온라인 프라이버시 운동 단체인 ‘리클레임 더 넷(Reclaim the Net)’의 톰 파커(Tom Parker)는 “일단 제일 먼저 알 수 있는 건 애플과 텐센트가 꽤나 밀접한 관계에 있다는 것”이라며, “텐센트는 원래부터 중국 정부와 가까운 기업”이라고 지적했다. “중국 공산당과 텐센트는 여러 프로젝트를 함께 진행하고 있습니다. 특히 텐센트의 다기능 유틸리티 앱인 위챗(WeChat)을 통해 정부의 검열을 보다 쉽고 간편하게 만들어주고 있지요. 심지어 텐센트는 ‘시진핑에게 박수를 : 기가 막힌 연설(Clap for Xi Jinping : An Awesome Speech)’이라는 노골적으로 친정부적인 게임을 만들기도 했습니다.”
전문가들은 애플이 구글과 텐센트에 사용자 IP 주소들을 로깅하도록 허락한 것이 언제부터인지 확실히 알 수가 없다고 말한다. 한 트위터 사용자는 “iOS 12.2 베타에서부터 사파리에서 변화가 있었다”며 “그 시점은 2월”이라고 주장했다.
구글의 세이프 브라우징 기술은 몇 년 전 구글이 사용자들의 인터넷 브라우징 행위를 안전하게 보호하기 위해서 만들어낸 기술이다. 처음 등장했을 때는 API의 형태를 갖추고 있었으며, 브라우저가 구글에게 특정 URL의 안전성을 문의하고, 구글이 이 URL을 확인한 뒤 답을 보내는 방식으로 작동했다. 즉 사용자가 어떤 URL을 방문하고 있는지 구글이 알 수밖에 없는 구조였던 것으로, “프라이버시 측면에서는 악몽과 같았다”고 그린은 평한다.
이에 구글은 세이프 브라우징 기술을 업그레이드 시켰다. 그래서 최신 버전은 URL을 구글에 완전히 노출하지 않는다. “32비트 해시들만 구글은 알 수 있게 되어 있습니다. 그래서 프라이버시가 ‘어느 정도는’ 보호될 수 있죠. 그런데 이 과정에서 안전한 브라우징이 완전히 보장되지 않습니다. 어느 정도의 프라이버시 보호를 위해 어느 정도만 안전한 ‘세이프 브라우징’ 기술이 된 것으로, 이 지점이 현재 프라이버시와 보안 사이의 합의점이라고 볼 수 있습니다. 그래서 프라이버시 커뮤니티도 별 다른 이의 제기를 하지 않고 있죠. 이는 구글의 보안과 위협 모델을 어느 정도 신뢰하고 있기 때문이기도 합니다.” 그린의 설명이다.
“하지만 텐센트는 구글이 아니죠. 물론 신뢰할 만하고 기본 사업적 윤리를 지켜가는 기업일 테지만, 아직 애플이 허용한 데이터를 가지고 어떤 식으로 활용하는지 구체적으로 밝히거나, 여론의 요구에 따라 변화를 적용해 합의점을 이끌어낼 것인지에 대해서는 의문이 듭니다. 애플은 애초부터 텐센트와 그런 협약을 맺고 실행하기 전에 사용자들에게 선택권을 주었어야 합니다.”
하지만 애플이 그런 선택권을 주었다면, 아마 사업 진행이 힘들고, 따라서 수익을 올리지 못했을 지도 모른다. 이 소식이 알려지자마자 사용자들과 전문가들 모두 한 목소리로 애플에 대한 비판을 이어가고 있기 때문이다. 특히 ‘소비자의 프라이버시 보호에 앞장선다’는 애플의 과거 이미지 메이킹 때문에 사용자들이 느끼는 배신감이 커지고 있다. 한 트위터 사용자는 “팀 쿡, 제발 가치보다 돈을 우선시 하는 행위를 멈춰줘”라고 요구하기도 했다.
애플은 중국 정부에 매우 약한 모습을 계속해서 보여 오고 있다. iOS 장비에서 대만 국기가 들어간 이모티콘을 사용할 수 없도록 삭제하고, 홍콩 시위대들이 시위를 위해 사용하던 앱을 앱스토어에서 없애버렸다. 심지어 홍콩 시위 관련 뉴스를 지속적으로 보도하고 있는 매체의 앱을 중국 앱스토어에서 지웠다는 의혹도 받고 있다. 프로드 개런티(Fraud Guarantee)라는 한 트위터 사용자는 “애플이 이렇게까지 중국의 충견이 될지 몰랐다”고 비판하기도 했다.
3줄 요약
1. 애플, iOS 13용 사파리 업그레이드 하며 브라우징 히스토리 중국에 전송.
2. 정보를 전송받는 곳은 구글과 텐센트의 ‘세이프 브라우징’ 기술 관련 서버.
3. 대만 국기 지우고, 홍콩 시위대 앱 지우던 애플의 변치 않는 중국 사랑.
[국제부 문가용 기자(globoan@boannews.com)]
봇물처럼 쏟아지는 비난...“애플이 이렇게까지 중국의 충견이 될 줄 몰랐다”는 반응
[보안뉴스 문가용 기자] 애플이 iOS 13 사파리 사용자 일부의 브라우징 히스토리를 텐센트 홀딩즈(Tencent Holdings)라는 중국 대기업과 공유했다는 사실이 드러났다. 사파리의 세이프 브라우징(Safe Browsing) 기술과 관련이 있는 데이터들이 중국으로 전송된 것으로 알려져 있다. 이 때문에 보안과 프라이버시 전문가들 사이에서 비판이 나오고 있다.
[이미지 = iclickart]
iOS용 사파리 브라우저에는 ‘사기성 웹사이트 경고(Fraudulent Website Warning)’이라는 기능이 있다. 디폴트로 활성화되어 있으며, 구글의 세이프 브라우징 기술을 백엔드에서 활용하고 있기도 하다. 애플은 최근 사용자들에게 이 기능에 대한 정보를 제공하면서 “웹사이트 주소로부터 계산된 정보를 구글 세이프 브라우징과 텐센트의 세이프 브라우징 기술로 전송한다”고 밝혔다.
또한 애플은, 이런 식의 소식이 늘 그러하듯, 해당 정보가 텐센트로 제공됨에 따른 프라이버시의 영향력에 대해서는 구체적으로 밝히지 않고 있다. 누군가에게는 짜증날 수도 있고, 실제로는 꽤나 심각한 프라이버시 침해로 이어질 수 있는 것인데 말이다. 존스홉킨스 대학의 암호학과 교수인 매튜 그린(Matthew Green)은 “최상의 시나리오는, 중국 내 애플 사용자들만을 대상으로 한 조치일 때이지만, 확실히 알 수는 없다”고 말한다. “게다가 해당 공지사항은 미국의 사용자들에게도 전달이 된 상황이죠.”
온라인 프라이버시 운동 단체인 ‘리클레임 더 넷(Reclaim the Net)’의 톰 파커(Tom Parker)는 “일단 제일 먼저 알 수 있는 건 애플과 텐센트가 꽤나 밀접한 관계에 있다는 것”이라며, “텐센트는 원래부터 중국 정부와 가까운 기업”이라고 지적했다. “중국 공산당과 텐센트는 여러 프로젝트를 함께 진행하고 있습니다. 특히 텐센트의 다기능 유틸리티 앱인 위챗(WeChat)을 통해 정부의 검열을 보다 쉽고 간편하게 만들어주고 있지요. 심지어 텐센트는 ‘시진핑에게 박수를 : 기가 막힌 연설(Clap for Xi Jinping : An Awesome Speech)’이라는 노골적으로 친정부적인 게임을 만들기도 했습니다.”
전문가들은 애플이 구글과 텐센트에 사용자 IP 주소들을 로깅하도록 허락한 것이 언제부터인지 확실히 알 수가 없다고 말한다. 한 트위터 사용자는 “iOS 12.2 베타에서부터 사파리에서 변화가 있었다”며 “그 시점은 2월”이라고 주장했다.
구글의 세이프 브라우징 기술은 몇 년 전 구글이 사용자들의 인터넷 브라우징 행위를 안전하게 보호하기 위해서 만들어낸 기술이다. 처음 등장했을 때는 API의 형태를 갖추고 있었으며, 브라우저가 구글에게 특정 URL의 안전성을 문의하고, 구글이 이 URL을 확인한 뒤 답을 보내는 방식으로 작동했다. 즉 사용자가 어떤 URL을 방문하고 있는지 구글이 알 수밖에 없는 구조였던 것으로, “프라이버시 측면에서는 악몽과 같았다”고 그린은 평한다.
이에 구글은 세이프 브라우징 기술을 업그레이드 시켰다. 그래서 최신 버전은 URL을 구글에 완전히 노출하지 않는다. “32비트 해시들만 구글은 알 수 있게 되어 있습니다. 그래서 프라이버시가 ‘어느 정도는’ 보호될 수 있죠. 그런데 이 과정에서 안전한 브라우징이 완전히 보장되지 않습니다. 어느 정도의 프라이버시 보호를 위해 어느 정도만 안전한 ‘세이프 브라우징’ 기술이 된 것으로, 이 지점이 현재 프라이버시와 보안 사이의 합의점이라고 볼 수 있습니다. 그래서 프라이버시 커뮤니티도 별 다른 이의 제기를 하지 않고 있죠. 이는 구글의 보안과 위협 모델을 어느 정도 신뢰하고 있기 때문이기도 합니다.” 그린의 설명이다.
“하지만 텐센트는 구글이 아니죠. 물론 신뢰할 만하고 기본 사업적 윤리를 지켜가는 기업일 테지만, 아직 애플이 허용한 데이터를 가지고 어떤 식으로 활용하는지 구체적으로 밝히거나, 여론의 요구에 따라 변화를 적용해 합의점을 이끌어낼 것인지에 대해서는 의문이 듭니다. 애플은 애초부터 텐센트와 그런 협약을 맺고 실행하기 전에 사용자들에게 선택권을 주었어야 합니다.”
하지만 애플이 그런 선택권을 주었다면, 아마 사업 진행이 힘들고, 따라서 수익을 올리지 못했을 지도 모른다. 이 소식이 알려지자마자 사용자들과 전문가들 모두 한 목소리로 애플에 대한 비판을 이어가고 있기 때문이다. 특히 ‘소비자의 프라이버시 보호에 앞장선다’는 애플의 과거 이미지 메이킹 때문에 사용자들이 느끼는 배신감이 커지고 있다. 한 트위터 사용자는 “팀 쿡, 제발 가치보다 돈을 우선시 하는 행위를 멈춰줘”라고 요구하기도 했다.
애플은 중국 정부에 매우 약한 모습을 계속해서 보여 오고 있다. iOS 장비에서 대만 국기가 들어간 이모티콘을 사용할 수 없도록 삭제하고, 홍콩 시위대들이 시위를 위해 사용하던 앱을 앱스토어에서 없애버렸다. 심지어 홍콩 시위 관련 뉴스를 지속적으로 보도하고 있는 매체의 앱을 중국 앱스토어에서 지웠다는 의혹도 받고 있다. 프로드 개런티(Fraud Guarantee)라는 한 트위터 사용자는 “애플이 이렇게까지 중국의 충견이 될지 몰랐다”고 비판하기도 했다.
3줄 요약
1. 애플, iOS 13용 사파리 업그레이드 하며 브라우징 히스토리 중국에 전송.
2. 정보를 전송받는 곳은 구글과 텐센트의 ‘세이프 브라우징’ 기술 관련 서버.
3. 대만 국기 지우고, 홍콩 시위대 앱 지우던 애플의 변치 않는 중국 사랑.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
