※ 아래 글은 정보통신기술진흥센터(IITP)가 발간하는 주간기술동향 1810호(2017. 8. 23. 발행)에 기고한 원고입니다.


▶ IITP에서 PDF 포맷으로 퍼블리싱한 파일을 첨부합니다. 가독성이 좋으니 참고하시기 바랍니다.

아마존 저가 스마트폰 BLU판매 중단, 사용자 정보 무단 전송 이유.pdf


ž 아마존닷컴은 최근 미국의 저가 스마트폰 브랜드인 블루 프로덕트(BLU Products)의 안드로이드 스마트폰 일부 기종이 사용자 정보를 중국에 무단 전송한다며 판매를 중단


Ø 아마존은 유료 회원인 아마존 프라임 멤버들을 대상으로 블루 프로덕트의 스마트폰 R1 HD 모델을 65 달러에 판매하고 있는데, 아마존의 저가 이북리더기기 킨들(Kindle)과 마찬가지로, 배경화면에 광고를 띄우는 대신 가격을 크게 낮춰 판매하는 것임


<자료> Amaxon.com


[그림 1] BLU R1 HD 스마트폰


Ø R1 HD 모델의 부품 원가는 70달러 정도로 성능과 스펙은 낮지만 그만큼 배터리 효율은 높아 가격 대비로 보면 값어치를 하는 제품이라는 평가를 받아 왔으며, 블루는 중국 제조사와 협력해 제품을 공급받고 마케팅 비용을 거의 들이지 않아 이런 가격을 유지할 수 있다고 함


Ø 아마존이 R1 HD의 판매를 중단한 것은 보안업체인 크립토와이어(Kryptowire)가 블랙햇 2017 컨퍼런스에서 블루의 스마트폰에 채택된 펌웨어가 사용자의 개인정보를 중국에 있는 서버에 무단으로 전송하는 문제가 여전히 남아 있다고 지적한 후에 나온 것임


Ø 블루의 스마트폰에 채택된 중국 상하이 아둡스 테크놀로지(Shanghai Adups Technology)의 펌웨어는 이미 작년 11월에 개체 식별 정보를 중국 서버에 무단으로 전송하는 문제가 발견되어 미국과 중국 사이에 긴장을 촉발시킨 바 있음


Ø 당시 아둡스의 펌웨어가 전송하는 정보에는 사용자가 입력한 텍스트 메시지의 전체, 주소록 내용, 통화 기록, 전화 번호, IMSI(International Mobile Subscriber Identity, 가입자식별정보) IMEI (International Mobile Equipment Identity, 기기식별정보) 등이 포함되었음


Ø 작년 11월 문제 제기 이후 블루가 이 문제를 제거했다고 발표하며 사태는 일단락 되는 듯 했지만, 올해 블랙햇 강연에서 크립토와이어가 그렇지 않다고 지적하고 언론이 보도하면서 논란이 재점화 되자 아마존은 서둘러 판매 중단 조치를 내리게 되었음


ž 문제가 된 아둡스의 펌웨어는 무선 네트워크를 통해 업데이트를 하는 FOTA(Firmware Over The Air) 방식의 구조를 채택하고 있는데, 이 과정에서 보안 문제가 발생한 것으로 보임


Ø 아둡스는 FOTA 업데이트를 제공하기 위해 안드로이드 스마트폰을 외부 서버에서 HTTP를 통해 제어하는 구조를 만들었는데, 크립토와이어에 따르면 외부 서버의 제어 명령에 텍스트 메시지를 가져오는 명령어 등이 포함되어 있었다고 함


Ø 또한 문자 메시지를 키워드 검색하여 특정 키워드에 부합하는 내용만 수집하는 기능까지 탑재되어 있었다고 하며, 명령어가 HTTP를 통해 전송되기 때문에 네트워크 도중에 명령어가 변경된다는 심각한 보안 문제도 안고 있었다고 함


Ø 아마존의 판매 중단 조치 이후 블루는 성명을 발표해 스파이웨어나 멀웨어 등이 자신들의 제품에 포함되어 있지 않다고 해명하였음


Ø 블루는 작년 11월 문제를 지적 받자 마자 아둡스 펌웨어의 FOTA 방식 업데이트 구조를 중단하였으며 구글에서 제공하는 업데이트 구조인 GOTA로 전환하였다고 해명했는데, 크립토와이어에 따르면 여전히 오래된 기기에서는 아둡스의 FOTA 방식이 사용되고 있음


Ø 블루의 성명 발표 이후 아마존닷컴은 블루의 제품 중 R1 Plus 모델의 판매를 재개하였지만 논란을 촉발시킨 R1 HD 모델은 여전히 판매 제품 리스트에 올리지 않고 있음


ž 한편 아둡스 펌웨어의 개인정보 무단 전송 문제는 블루 프로덕트 만의 문제는 아니어서, 계속해서 논란이 이어질 가능성도 있음


Ø 판매 중단 조치에 대한 성명에서 블루 프로덕트는 아둡스 펌웨어는 자신들 뿐 아니라 다른 유명 업체들도 사용하고 있어 자신들 만의 문제가 아니라 항변하였는데, 이 대목이 또 다른 논란을 낳고 있음


Ø 크립토와이어에 따르면 실제로 아둡스의 펌웨어는 블루뿐 아니라 화웨이(Huawei), 하이얼(Haier), 하이센스(Hisense), ZTE 등 중국계 대형 제조업체들도 채택하고 있다고 함


Ø 미국 내에서도 수년 전부터 저가 스마트폰 바람이 불어 적잖은 사람들이 구매를 한 것으로 알려져 있어, 이번 R1 HD 판매 중단 조치는 일회성 해프닝으로 끝나지 않을 가능성이 있음


Ø 무선으로 소프트웨어 업데이트를 하는 OTA(Over The Air) 방식은 편리함이 있는 반면, 텐센트 보안 연구소가 테슬라 전기차의 해킹에 OTA 구조를 공략한 데서 드러나 듯, 보안 대응을 강화해야 할 필요가 있다는 지적이 나오고 있음