캐리어 IQ 파문이 더욱 확산됨에 따라(이젠 고소도 늘어가고) 회사측에서 더 이상 침묵으로 일관하지 않고 언론에 입을 열었습니다. 캐리어 IQ 부사장 Coward 는 이전에 했던 해명과 같이 회사가 도청이나 위법되는 다른 일은 없다면서 캐리어 IQ가 어떤 일을 왜 하는지에 대해 좀 더 구체적으로 설명했습니다. 다음은 The Verge 와의 인터뷰 내용 중 몇 가지 핵심 포인트를 요약한 것입니다. 

 

 

 

 “통신사(Carrier)”가 회사 이름이라는 것이 이를 뒷바침 하긴 하지만, 캐리어 IQ의 고객은 일반 사용자들이 아니라는 걸 다시 한번 강조할 필요는 있습니다. 캐리어 IQ에 비용을 지불하고 서비스를 받는 대상은 무선 통신사들이라는 것입니다.  Coward 는 “우리가 만일 일반적인 앱 회사였다면 신뢰를 얻기 위해 A를 해도 될지, B를 해도 될지, C를 해도 될지 물었을 것이다. 하지만 서비스 제공자의 세계에선 최근에나 볼 수 있는 그런 질문을 해 본 적이 없었다.”고 주장합니다.

 

 캐리어 IQ 동영상에서 Eckhart가 가장 문제 삼은 부분은 소프트웨어가 기기에서의 모든 키 입력과 메시지를 기록하는 것처럼 보인다는 것입니다. 하지만 캐리어 IQ에 따르면 수많은 정보를 내포한 로그파일은 캐리어 IQ 의 소유가 아니라 일반적인 안드로이드 시스템의 로그 파일이라는 겁니다. Coward 에 의하면 캐리어 IQ는 소프트웨어가 제대로 작동하지 않을 경우에 한해서만 꽤 많은 내용을 기록하게 되는데, 이런 내용들은 제조사의 결정에 따라 기기의 로그 파일에 저장될 수도 있다고 합니다.

 

3. 수집된 데이터는 대략 30일 동안 저장돼 있고 이에 대한 사용은 전적으로 통신사가 좌우한다. 

Coward에 의하면 캐리어 IQ의 데이터 보관 정책은 운영자(통신사)와의 협의에 따라 결정되며 “평균 30일 정도”가 된다고 합니다. 보관 기간이 지난 데이터는 쓸모가 없기 때문에 완전 삭제 된다고 합니다. Coward가 밝힌 바에 의하면, 캐리어 IQ는 수집된 데이터에 관하여 아무것도 할 수가 없다고 합니다. 그에 따르면 “우리는 그것을 되팔 수도 없고, 다른 방식으로 가공할 수도 없고, 요구에 따른 것 외에는 아무것도 할 수 없다. 데이터에 관해 제 3자의 사용이란 없다.”고 주장합니다.

 

4. 데이터 수집에 대한 사용자의 허락은 캐리어 IQ가 아닌 통신사의 몫이다. 

캐리어 IQ는 사용자들이 데이터를 넘겨 줄지 말지를 결정할 수 있는 부분에 대해서는 관여하고 싶지 않다고 합니다. Coward에 의하면 “우리가 디자인한 기능은 데이터 수집 대한 참여 여부를 선택할 수 있으며, 통신사들이 이를 어떻게 사용하느냐는 사용자들이 믿고 맡겨야 할 부분이다”라고 주장합니다. Coward는 캐리어 IQ가 데이터 수집에 대한 사용자의 결정권에 대해 그 어떤 견해도 내놓지 않았습니다. 그래도, 사용자의 데이터 수집 참여 거부가 어렵거나 불가능하게 되는 상황이 캐리어 IQ에겐 가장 이상적인 상황이라는 것은 상식적으로도 알 수 있는 일입니다. 결국, 그 누구도 기기에서 수집할 데이터를 내놓지 않는다면 데이터 수집/분석 소프트웨어가 무슨 소용이 있겠습니까…

 

5. 캐리어 IQ는 “내 데이터가 얼마나 안전하게 전송되나”라는 질문을 회피한다. 

캐리어 IQ와 관련해 가장 문제시 되는 것은 수집되는 데이터의 분량이 아니며, 일반 사용자로서, 가장 궁금한 점은 캐리어 IQ가 수집하는 정보가 얼마나 안전하게 전송되는가 하는 것 입니다. 이런 이슈와 관련해 캐리어 IQ의 회피는 계속되고 있습니다. Coward는 “지난 며칠 동안 코드를 역설계한 엔지니어들이 결국 모든 걸 밝힐 것”이라고 하며, 데이터 전송이 얼마나 안전하게 되는지 밝히지 않고 있습니다. 캐리어 IQ가 주장하는 모든 해명들이 사실일 수 있지만, 그렇다고 데이터가 안전하게 전송되고 저장된다는 것을 믿게 해 주지는 못할 것입니다. 또한, 모바일 기기 제조사들이 캐리어IQ를 직접 설치/기록한다면, 그리고 그 데이터가 캐리어 IQ 서버로 보내는 것과 분리돼 있다면, 수집된 정보가 제대로 보호된다는 보장은 없다는 말이 됩니다.

 

 

 

그가 가지고 있던 HTC 스마트폰에는 Carrier IQ(CIQ)라는 회사의 소프트웨어가 설치되어 있었으며, 자신의 휴대폰을 통한 각종 행위가 특정한 서버로 전송된다는 것을 알게 되었다. 또한 이와 관련된 Carrier IQ의 내부문서(교육용)도 확보했다고 Android 개발자 포럼인 XDA에 공개했다.
 
http://androidsecuritytest.com/features/logs-and-services/loggers/carrieriq/ 

Carrier IQ 내부 교육용 문서는 최초엔 공개되어 있었으나 파문이 일자 비공개로 돌려졌으며, Eckhart는 이 문서를 다양한 파일 저장 공간에 공개하여 일반인들이 다운로드할 수 있도록 해놨다. 문서에는 Carrier IQ의 정보를 수집 분석하는 웹사이트 관련 이미지와 설명이 포함되어 있다.

Eckhart는 Carrier IQ의 소프트웨어는 이른바 rootkit 스파이웨어라고 단정지었다. 고객의 통화기록은 물론 문자메시지 수발신 기록, 방문 웹사이트 URL 기록, 위치 정보 등 기기를 통해 다양한 정보를 수집하고 있다는 의혹을 제기했다. 

특히 사용자의 키입력(Keypress)을 모두 기록 전송하기 때문에 문자내용이나 다른 키입력 정보도 전송된다는 주장을 펼쳐 파문이 더 커졌다. 다시 말하면, 이 소프트웨어를 통해 이동통신사가 고객의 데이터 도청도 가능하다는 뜻이기 때문이다. 

HTC 스마트폰 외에도 삼성전자 휴대폰 한 종류도 Carrier IQ 소프트웨어가 설치되어 있다고 주장했는데, HTC는 Carrier IQ 소프트웨어를 제어할 수 없는 형태지만 삼성전자 휴대폰은 동작을 제어할 수 있다고 한다.

Android뿐만 아니라 공개된 교육용 문서에 따르면 BlackBerry와 Nokia폰에서도 Carrier IQ가 작동된다는 것도 함께 알려졌다. 또한 iOS에서도 작동된다는 것이 추가로 밝혀지면서 주요 스마트폰에서는 모두 작동 가능하다는 것이 알려졌다.

이에 대해 Carrier IQ 측은 소프트웨어의 존재를 인정하면서도 불법성은 없다는 점을 집중적으로 강조했다. 전세계 1억 4천만 대 가량의 휴대폰에 해당 소프트웨어가 설치되어 있으며, Sprint, AT&T, T-Mobile USA 등을 포함한 이통사들과 HTC, 삼성전자, RIM, BlackBerry, Apple 등의 제조사를 통해 설치되었지만, Eckhart의 주장처럼 키입력 가로채기를 통한 데이터 내용의 전송 등의 행위는 없었다고 주장했다. 

이어 Trevor Eckhart를 고소할 예정이라고 밝혔다. 그가 주장한 내용들이 심각하게 왜곡되어 있으며, Carrier IQ의 대외비에 속하는 교육용 문서 등을 공개한 행위는 불법이라고 주장하면서 일종의 내용증명을 발송했다. 이를 즉시 시정 및 중단하고 사과하지 않으면 모든 민형사상의 손해배상을 요구할 것이라는 내용이었다.

Trevor Eckhart에 대한 압박이 가해지자 미국 전자프런티어재단(EFF)은 성명을 발표하고 Eckhart에 대한 지원을 약속하며, Carrier IQ 측을 오히려 법위반을 했다며 비난했다. EFF의 강력한 경고에 결국 Carrier IQ는 이를 즉각 수용하고 Trevor Eckhart에게 사과했다.

http://www.carrieriq.com/company/PR.EckhartStatement.pdf 

사과문에는 Carrier IQ 소프트웨어가 하는 일과 하지 않는 일을 명시했다. 여기에서 키스트로크(Keystroke)와 추적툴 기능은 제공하지 않으며, 이메일이나 문자 등의 내용을 엿보거나 전송하지 않으며, 실시간 전송을 하지 않는다고 강조했다. 물론 나머지 수집 정보에 대해서 제3자로의 전송도 없다고 주장했다.

대신 Carrier IQ는 통화 단절이나 서비스 불량에 대한 정보를 모으며, 배터리 수명을 단축시키는 관련 동작에 대한 정보, 기타 이동통신 서비스를 원활하게 하는데 필요한 정보들을 수집 및 전송한다고 밝혔다.

Carrier IQ의 이러한 해명에도 불구하고 논란의 여지는 계속 확산되었다. 미국의 4대 이동통신사 중에서 Verizon만 빼고 3개 업체는 모두 Carrier IQ를 사용하고 있었으며, 이들을 통해 제공된 거의 모든 주요 스마트폰들이 대상이었다는 점은 큰 충격으로 받아들여졌다.



Trevor Eckhart가 두 번째 공개한 Carrier IQ Part #2라는 동영상에는 키스트로크(문자 가로채기)가 가능한 듯한 시연 내용이 포함되면서 논란은 더욱 확산되는 분위기다. 만일 소프트웨어 운영 주체 측이 원하면 사용자들이 작성한 내용까지도 볼 수 있을 가능성이 있다는 뜻이기 때문이다.

또한 초기에는 Android폰에만 설치되어 있는 것처럼 알려졌으나 iOS를 탑재한 iPhone에도 설치되어 있다는 것도 큰 이슈로 부각되었다. 다만 iPhone의 경우 사용자가 수집 정보의 전송 여부를 결정할 수 있도록 되어 있다는 점에서 우려의 수위는 조금 낮아졌다. Apple측은 차기 버전 업그레이드(아마도 iOS 5.1이 될 것으로 예상됨)를 통해 Carrier IQ 소프트웨어를 완전히 빼겠다고 약속했다.  

파문이 확산되자 자신의 스마트폰에 Carrier IQ 소프트웨어가 설치되어 있는지 여부를 확인하려는 사람들이 많아졌고, Android Market에는 Carrier IQ 소프트웨어 설치여부를 알아내는 소프트웨어들이 속속 등록되었다.

이메일이나 문자 메시지 내용 등은 볼 수 없다고 주장하고 있지만, 최초 이 문제 제기자인 Eckhart에 의하면 Carrier IQ 측의 반박은 근거가 약한 면이 있다. 전화번호 및 문자 메시지의 가로채기 가능성과 HTTPS 연결에서도 데이터가 읽혀지는 문제점 등은 반드시 해명되어야 할 부분이다.

무엇보다 이러한 민감한 개인정보를 사용자 동의없이 수집한 이동통신사는 분명한 해명이 따라야 할 것 같다. 네트워크 품질 향상이 목적이라고 하지만 이는 명백히 사생활 침해에 해당하는 부분이기 때문이다.

통화와 문자 메시지 수발신, 웹서핑 등에 대한 정보, 애플리케이션 구동 정보는 사용자의 스마트폰 사용행태를 수집하기 위한 것으로 보인다. 이를 통해 더 정교한 고객 마케팅이나 애플리케이션, 서비스 개발 등에 활용할 목적으로 예상된다.

문제점이 드러나자 해당 소프트웨어 설치 및 사용 사실을 인정한 부분이나 여전히 확실하게 공개되지 않은 데이터 수집 범위와 활용처 등은 불신을 양산하고 있는 주범이다.

단말기 제조사 역시 이 문제에서 자유로울 수는 없을 것 같다. 비록 이동통신사 요구에 의한 설치이긴 하지만, 제조사는 전혀 관련이 없는지, 수집된 정보를 제조사가 활용할 여지는 없는지도 정확한 조사를 통해 공개되어야 한다. 현재까지는 제조사 자발적으로 설치한 경우는 없다고 밝히고 있다.

현재 휴대폰은 개인에게 있어서 아주 중요한 정보를 포함하고 있는 기기다. 위치가 추적될 수 있고, 어떤 정보에 접근했는지, 누구와 연락하는지, 무슨 행동을 하려는 것인지를 알아낼 수 있는 중요한 정보를 가진 기기다. 더군다나 의혹의 핵심 중 하나인 문자 메시지나 이메일 내용 등의 사용자 콘텐츠가 열람 가능하다면 이는 인권의 문제로 확대될 수 있는 부분이다.

미국에서 시작된 Carrier IQ 사태는 전세계로 퍼지고 있는 상황이다. 아마도 곧 미국 행정부의 조사가 시작될 것 같은데, 철저한 조사가 요구되는 중대한 사안이다. 수집된 개인 정보가 어떻게 사용될지는 아무도 모르며, 악용될 경우 끔찍한 상황이 발생할 수 있다.

* 사건의 추이를 잘 정리한 CNET 기사
http://news.cnet.com/8301-1009_3-57335031-83/carrier-iq-how-big-a-threat-is-it/ 

 다큐보다 궁금해서 찾아본 캐리어 아이큐입니다. 

 캐리어 IQ는 이동통신 사업자들과 휴대전화 제조 업체들이 제품의 품질 개선을 위해 사용자들의 데이터를 수집할 수 있도록 한 프로그램입니다. 이 프로그램이 설치되면 사용자들의 위치정보, SMS, 방문한 웹사이트, 통화 기록 등을 실시간으로 수집하는 일이 가능합니다. 

출처는 다음과 같습니다.