https://www.clien.net/service/board/news/14925876?od=T31&po=0&category=&groupCd=
며칠 전 포브스에서는 샤오미가 방문한 URL를 포함해 브라우저 데이터를 수집한다는 기사를 냈습니다. 오늘날 대부분 브라우저에서 데이터를 수집하는 것이 일반적 관행이기는 하지만, 기사에서는 사생활 보호 모드에서도 검색어와 URL이 수집한다는 점을 지적했습니다.
- Forbes 기사 (영어) 참조
샤오미도 여기에 대응해 블로그에 해명을 올렸습니다. 샤오미 공식 입장은 아래 링크에서 읽을 수 있습니다.
- 샤오미 블로그 링크 (영어)
상황을 좀 더 잘 이해하기 위해 문제를 제기한 보안 연구자 주장과 샤오미의 해명, 그리고 연구자가 다시 반박한 내용을 해외 매체 '기즈모차이나'에서 정리했습니다.
● [문제점 1]
포브스 기사에서 최초로 관련 문제를 발견하고 설명한 Gabriel Cîrlig 은 샤오미 Mi 브라우저와 민트 브라우저가 구글과 덕덕고에서 검색한 내용을 포함해 방문한 모든 사이트를 추적하는 것을 발견했습니다. 사생활 보호 모드 상태에서도 추적은 계속해서 이뤄졌습니다. 사용 정보도 역시 샤오미 서버로 전송되었습니다.
[샤오미 입장]
- 샤오미는 '시스템 정보, 유저 인터페이스 사용 통계, 반응성, 메모리 사용량, 충돌 현상 보고' 등 유저 정보를 수집한다고 인정했습니다.
- '검색어'에 대해서는 언급하지 않았지만 URL를 수집한다고도 밝혔습니다. 이 URL 정보는 어떤 사이트가 느리게 로딩되는지 확인하기 위해서라고 하며 전반적인 브라우징 경험을 향상시키기 위한 정보라고 밝혔습니다.
- 샤오미는 Mi 계정으로 로그인해 동기화를 켠 경우에만 브라우징 정보를 수집한다고도 덧붙였습니다.
- 블로그뿐만 아니라 인도지사 CEO가 직접 등장해 '사생활 보호 모드에서 수집된 정보는 암호화되고 익명화되어 처리된다'는 설명 영상을 올리기도 했습니다. (힌디어와 영어로 설명)
[연구자 반박]
샤오미 설명이 나오자 Andrew Tierney라는 다른 연구자가 직접 영상을 올렸습니다.
민트 브라우저가 사생활 보호 모드에서도 중요 유저 데이터를 수집하는 방법을 보여주는 영상입니다. 여기서 수집 데이터에 최소 24시간동안 변경되지 않는 UUID(고유식별자)가 있다고 하는 것입니다. 따라서 서버로 전송된 데이터는 개인을 추적하는 데 이용할 수 있다는 설명입니다.
● [문제점 2]
사용자 데이터가 베이징에서 등록된 도메인 주소에, 서버는 싱가포르나 러시아 같은 다른 나라에 있는 곳으로 전송된다는 지적입니다.
[샤오미 입장]
- 업계에서 일반적이고 잘 알려진 퍼블릭 클라우드 인프라에서 데이터를 호스팅하고 있다고 밝혔습니다.
- 현지 사용자 개인정보보호법과 관련 규정을 엄격히 준수하며 규정에 맞는 다양한 해외 서버에 저장된다고 설명했습니다.
- 인도 CEO는 앞서 영상에서 인도 유저는 인도 안에서만 저장된다고 밝히기도 했습니다.
● [문제점 3]
서버로 전송되는 유저 데이터가 쉽게 해독할 수 있는 base64로 인코딩되어 전송된다는 주장입니다.
[샤오미 입장]
이 부분에 대해서는 샤오미가 언급하지 않았고, 다만 TLS 1.2로 전송된다고 밝혔습니다. 이 말은 전송 과정에서 적어도 다른 사람이 볼 수는 없다는 뜻입니다. 즉 단말에서 base64로 인코딩하는 이유에 대해서는 아직 공식 입장이 없습니다.
[연구자 반박]
Andrew씨는 TLS로 전송했는지 여부가 논쟁할 주제가 아니라면서, 동의받지 않은 데이터 전송부터가 문제라는 입장입니다. [#]
● [문제점 4]
수집된 데이터가 익명이 아니고 UUID로 할당되어 있기 때문에 이것만으로 잠재적으로 개인 식별이 가능하다는 주장입니다.
[샤오미 입장]
해당 부분 소스코드 이미지를 공개하여 UUID가 사용량 통계를 내는 데 이용될 뿐 개인을 식별할 수 없다고 했습니다.
[연구자 반박]
Andrew씨는 위 '문제점 1' 부분 영상에서 볼 수 있듯 최소 24시간동안 같은 UUID로 데이터가 전송된다는 것을 확인할 수 있고, 샤오미가 공개한 이미지가 이미 난독화 처리된 코드라는 점도 지적했습니다(원래 소스가 아니라는 의미)
그리고 UUID를 익명화한다는 것이 개인을 익명 처리한다고 생각하지 않는다고도 했습니다. [#]
● 기즈모차이나의 결론
- 크롬과 파이어폭스 같은 브라우저에서도 데이터 수집을 하지만 샤오미처럼 사생활 보호 모드에서도 수집하는 것은 일반적인 경우라고 보기 어려움
- Andrew씨 영상에서는 사생활 보호 모드에서도 URL과 검색어가 샤오미 서버로 전송되는 것을 볼 수 있는데, 수집 프로세스에 대해 다시 명확하게 설명해야 함
- 샤오미는 단순히 '가짜 뉴스'라고 반박할 것이 아니라 연구자 두 명의 발견 내용을 적극적으로 반박해야 함. 이것을 할 수 없으면 그 이유를 설명하고 데이터 수집 정책을 수정해야 할 것
(IP보기클릭)211.208.***.***
와, 중공군들 화력 보소 ㄷㄷㄷ 몇초만에 비추 찍는 거 경이롭다 ㅋㅋㅋㅋ
(IP보기클릭)1.224.***.***
일단 중국회사는 화웨이 아니더라도 어디든 간에 무조건적으로 신뢰할 수는 없음 공산당 말 한마디에 바로 변질될 수 있는 상황이라서
(IP보기클릭)211.172.***.***
소스코드를 까는건 그만큼 결백하다라.. 글쎄 중국기업에 그런거 믿으면 안 된다니까
(IP보기클릭)118.33.***.***
낮에 코드 까서 신뢰한다는 사람들 나오세요
(IP보기클릭)211.206.***.***
Mi브라우저 안쓰기도 했지만 삭제해야겠네...;
(IP보기클릭)218.49.***.***
(IP보기클릭)211.206.***.***
Mi브라우저 안쓰기도 했지만 삭제해야겠네...;
(IP보기클릭)1.234.***.***
mi 클라우드에서 데이터동기화 옵션 끄고 크롬 쓰는중입니다 근데 크롬도 사용자 정보 전송하니까.... 그냥 시크릿모드 평상시 사용하는 습관을 들입시다 | 20.05.04 15:20 | | |
(IP보기클릭)118.33.***.***
낮에 코드 까서 신뢰한다는 사람들 나오세요
(IP보기클릭)211.208.***.***
[삭제된 댓글의 댓글입니다.]
사쿠라모리 카오리P
와, 중공군들 화력 보소 ㄷㄷㄷ 몇초만에 비추 찍는 거 경이롭다 ㅋㅋㅋㅋ | 20.05.03 23:56 | | |
(IP보기클릭)211.195.***.***
뭔 중공군... 코드로 먹고사는 회사에서 코드 까고 설명했으니 신빙성있고 믿어준거지 이렇게 반박글 올라왔으면 또 샤오미에서 반박할께 뻔한데 그떄는 어떤말하려고 이런말하는지 궁금함 ㅋㅋㅋ 참고로 시진핑 개씹새끼호로새끼 천안문에깔려뒤질새끼 타이완 넘버원 | 20.05.04 00:29 | | |
(IP보기클릭)211.195.***.***
플러스 샤오미는 전에 구글측에서 데이터 빼돌린다고 뉴스 뜬 이후로 신용 안함 다만 저렇게 코드까고 설명한것에 대해 신빙성이 있다고 판단해준것 뿐 | 20.05.04 00:31 | | |
(IP보기클릭)203.243.***.***
반박한게 시원치 않으니 까이는건데 뭔 소리야 그리고 천안문 시진핑 이런 말 정도는 면제해주지 않어? 공작에 필요하다면 타이완 남바완 해봐야 안믿음 | 20.05.04 10:34 | | |
(IP보기클릭)211.208.***.***
(IP보기클릭)1.224.***.***
일단 중국회사는 화웨이 아니더라도 어디든 간에 무조건적으로 신뢰할 수는 없음 공산당 말 한마디에 바로 변질될 수 있는 상황이라서
(IP보기클릭)1.225.***.***
이말이 정답이죠. 중국회사는 중국정부 영향권아래 있기 때문에 중국정부 입김으로 어떻게 변할지 장담할수 없죠. | 20.05.04 10:54 | | |
(IP보기클릭)218.53.***.***
(IP보기클릭)211.172.***.***
소스코드를 까는건 그만큼 결백하다라.. 글쎄 중국기업에 그런거 믿으면 안 된다니까
(IP보기클릭)175.198.***.***
(IP보기클릭)121.169.***.***
소스는 공개할 수 있음. 단, 그 공개된 코드가 제품으로 나올때 그대로 쓰이는지는 알 수 없음 | 20.05.04 01:27 | | |
(IP보기클릭)119.192.***.***
(IP보기클릭)211.176.***.***
KRP-0
본문처럼 증거 들고오던가 | 20.05.04 00:29 | | |
(IP보기클릭)119.192.***.***
https://re-date.com/page-81/page-89-2/ https://www.zdnet.co.kr/view/?no=20200304094856 자 여기요 | 20.05.04 00:35 | | |
(IP보기클릭)211.176.***.***
읽어보고 가져온거 맞아요? | 20.05.04 00:37 | | |
(IP보기클릭)14.32.***.***
첫 링크는 뭔 한국인이 쓴거 맞음?어순이 뭐 이래 | 20.05.04 00:39 | | |
(IP보기클릭)119.192.***.***
외국사이트니까 본문 보고싶으시면 홈으로 나가서 검색해서 읽으세요. 배려해줘도 뭐라하시네.. | 20.05.04 00:40 | | |
(IP보기클릭)211.176.***.***
두번째는 완전 상관없는 이야기고 첫번째는 정보를 수집한다는 이야기가 아니고 프라이빗모드로도 ISP등의 감시에서 자유로울 수 없다는 근본적인 내용인데? 대체 프라이빗모드에서도 개인정보 수집한다는 이야기는 어디에 | 20.05.04 00:41 | | |
(IP보기클릭)119.192.***.***
두번째가 완전 상관없는 이야기란건 뭔소린지.. 그러나 온라인 활동의 다른 유형의 모니터링을 막기 위해 잭을 만들지는 않습니다. 원문 프랑스언데 영문-한국어 번역하면 이렇게 나옴. 공통적으로 시크릿 모드도 온라인활동들 추적 가능 하다고 이야기하는데.. 님 얘긴 '아 우리는 평소에 너의 행동을 모두 수집할수 있고 시크릿 모드때도 추적가능하지만 안볼게!' 한다는건데 더 이야기해야함? 그러면 Tor같은건 사람들이 뭐 바보라서 만든건지? | 20.05.04 00:53 | | |
(IP보기클릭)119.192.***.***
그리고 노파심에 말하지만 짱■ 두둔하는것도 아니고 다른것보다 특별히 더 못믿을만한거 맞는데 개인정보수집은 믿을만한 구석이 더 적단 얘깁니다. | 20.05.04 00:56 | | |
(IP보기클릭)61.79.***.***
일단 이야기가 다른거 아님? ZD넷 링크는 각 브라우저가 수집하는 정보 이거야 뭐 설치할때 안내에 동의하거나 권한 설정했으니 당연한이야기고 지금 문제는 시크릿 모드에서도 브라우저 제작사가 정보를 수집할수 있다인데 이건 첫번째 링크와는 안맞는 이야기 같은데요 정보를 취득할수있는건 ISP아닌가요 정보수집자 주체가 다른이야기 인거 같은데 시크릿모드를 사용하지 않을때는 브라우저 제작사+ISP 둘다 정보를 확인할수있다면 시크릿모드를 사용할땐 ISP만 정보를 확인가능해야되는데 지금 샤오미 문제는 시크릿모드때도 브라우저 제작사도 정보를 알수도있다는게 문제아닌가요? ISP에서 시크릿모드같이 우리가 정보수집 않할께하면서 특별한 기능을 제공하지 않는 한은 ISP에 정보 넘어가는건 당연한 일이겠죠 예를 들어 고속도로가 통신선인고 그 고속도록 운영자가 ISP라 치면 입구가 어디고 출구가 어딘지 알수밖에 없죠 기사에 나온대로 정부는 그걸 필요할때 요청하기도 하고요 | 20.05.04 01:12 | | |
(IP보기클릭)211.176.***.***
ISP랑 브라우저 제조사랑 구분을 못하나? VPN이 방법이라고 나온게 무슨 뜻인지 모르나? 토르는 네트워크상에서 내 접속정보를 숨기기 위한거지 브라우저 제조사로부터 내 개인정보를 보호라려는 수단이 아닌데? | 20.05.04 01:20 | | |
(IP보기클릭)119.192.***.***
https://byline.network/2018/08/23-19/ 이번 케이스랑은 조금 다르지만 구글같은 경우는 이미 시크릿 모드에서도 개인정보수집했던 전적이 있습니다. 광고로 아무리 시크릿 모드라도 접속사이트 서버엔 기록되니 완벽한것도 아니고 구글처럼 편법이 들어갈수도 있지요. 위에 링크를 다 읽으셨을지 모르겠지만,크로미움엣지랑 얀덱스는 UUID 수집도 하고 있고요. 말씀하신것처럼 토르가 브라우저 제조사로부터 내 개인정보를 보호라려는 수단은 아니죠. 추적 방지하고 불특정 다수로부터 내 정보를 보호하려는 수단이니. ISP장비이야기까지 하면 무의미하게 되니까 생략한다지만 제말은 어디까지나 어떤 회사라도 맹신하지 말라는 이야기입니다. | 20.05.04 01:46 | | |
(IP보기클릭)61.79.***.***
구글이 시크릿모드에서 전적이있었다는 말은 그럼 이제 고쳤다는건가요? 그렇다면 샤오미도 고치는게 맞겠고 크로미움 엣지 얀덱스 모두 UUID는 수집을 하겠죠 그게 시크릿모드에서 수집인지가 중점인데 기사 내용에서는 시크릿모드내에서 수집인지가 확인이 안되네요 | 20.05.04 01:52 | | |
(IP보기클릭)14.51.***.***
(IP보기클릭)121.175.***.***
(IP보기클릭)121.175.***.***
순정이 좋긴한데 아쉬운점이 구글 통화앱은 전화 통화 녹음이 안됨 안드로이드11 베타에서 서브파티 앱 통화 녹음 다시 지원시켜 준다는 말이 있으니 지켜봐야지 | 20.05.04 00:22 | | |
(IP보기클릭)211.208.***.***
과연 미브라우저 하나 지운다고 끝일까? 브라우저에 심을 정도면 샤오미가 다른 앱이나 경로로도 차선책을 마련해뒀을터 ㅎㅎ | 20.05.04 00:23 | | |
(IP보기클릭)119.192.***.***
크롬도 개인정보수집 엄청합니다.. 브레이브가 그나마 낫다고 알고 있습니다. 아니면 아에 Tor쓰셔도 되지만 이쪽은 좀 불편하니.. | 20.05.04 00:26 | | |
(IP보기클릭)121.175.***.***
근데 개인정보 빼갈거면 샤오미폰 쓰는 사람 정보를 왜 가져감? 아이폰이나 삼성폰 쓰는 돈많은 사람 개인정보를 가져가야 돈이 되지 | 20.05.04 00:31 | | |
(IP보기클릭)119.192.***.***
뭐 정보는 다다익선이니까 그렇지 않을까요. 질보다 양이 더 중요하니까요.. | 20.05.04 00:59 | | |
(IP보기클릭)121.171.***.***
(IP보기클릭)211.195.***.***
(IP보기클릭)123.16.***.***
(IP보기클릭)39.113.***.***
홍미노트프로5 쓰는데 최근에 글로벌폼이라 그런가 미브라우저에 계속 이런게 떠서 겁나 찜찜하긴함 예전엔 안뜨던건데...
(IP보기클릭)175.192.***.***
우선 삼성 인터넷 베타 앱을 사용하시고 데이터 업데이트 삭제하고 데이터 날려보세요. | 20.05.04 08:17 | | |
(IP보기클릭)58.150.***.***
(IP보기클릭)223.39.***.***
(IP보기클릭)121.163.***.***
(IP보기클릭)77.111.***.***
(IP보기클릭)223.39.***.***
잘보면 알겠지만 크롬은 데이터수집 익명인데 샤오미는 계속 같은 아이디 사용함 사실상 실명수준 예를들면 최소 24시간동안 하나의 임시 id사용해서 계속 정보보내는거임. 이거만 뜯어봐도 진핑이 형이 사상검증하고 추적가능 | 20.05.04 06:31 | | |
(IP보기클릭)59.31.***.***
설문지에 이름을 쓰고 주느냐 안쓰고 주느냐의 차이. 인데, 샤오미 측의 주장은 설문지에 이름을 쓰게는 하지만 익명으로 받는다 라고 하는거고, 연구자측에서는 같은 사람에게 동일한 익명을 계속 받는다면 그거 자체로 상대를 추측할 수 있으므로 개인정보와 마찬가지라고 하는 중. | 20.05.04 22:16 | | |
(IP보기클릭)78.55.***.***
(IP보기클릭)1.246.***.***
(IP보기클릭)125.191.***.***
(IP보기클릭)125.191.***.***
(IP보기클릭)39.7.***.***
(IP보기클릭)116.38.***.***
삼성이 뜬금 왜 나오나?... | 20.05.04 12:10 | | |
(IP보기클릭)223.39.***.***
가족 친구들도 넌 안믿을듯 ㅇㅅㅇ | 20.05.04 14:53 | | |
(IP보기클릭)112.157.***.***
흥분하긴 ㅋㅋ | 20.05.04 17:45 | | |
(IP보기클릭)60.253.***.***