2011.12.07

캐리어IQ 게이트 심층 분석

Mike Elgan | Computerworld
대부분의 스마트폰 단말기에 개인 활동을 추적 및 기록하기 위한 비밀 소프트웨어가 실행되고 있다는 사실이 발견되면서 관련 업계가 큰 스캔들에 휘말렸다.
 
캐리어IQ(Carrier IQ)의 소프트웨어는 통신업체와 단말기 제조업체들에게 전화 서비스 개선을 위한 진단용 도구 명목으로 판매됐다. 비평가들은 이것이 심각한 사생활 침해라고 주장했다. 맞는 말이다.
 
나는 니가 휴대폰으로 무엇을 하는지 알고 있다
지난주 화요일 트레버 에크하르트라는 한 보안 연구원은 캐리어IQ라는 소프트웨어가 개인 데이터를 수집하는 모습을 담은 비디오를 게시했다. 정보 수집에 대해 사용자에게 동의를 구하지도 않고, 수집을 끄는 옵션도 없었다.
 
이 비디오를 보면 캐리어IQ는 모든 버튼 누름, 통화한 전화번호, 문자 메시지 전문, 심지어 암호화되어야 하는 https 연결을 통한 검색 데이터까지 수집하고 기록한다. 이 소프트웨어는 사용자가 본 비디오, 사용한 앱, 그리고 사용자의 위치에 대한 세부적인 정보를 캡처할 수 있다.
 
이렇게 기록된 데이터가 전송되는지, 전송된다면 언제, 누구에게 전송되는지, 어디에 저장되며 누가 접근할 수 있는지는 아직 명확하게 밝혀지지 않았다.
 
캐리어IQ 측이 에크하르트를 고소하겠다고 나서자 에크하르트는 전자 프론티어(Electronic Frontier) 재단에 보호를 요청했으며, 이에 캐리어IQ는 한발 물러 선 상황이다.
 
미국 상원의원 알 프랑켄은 캐리어IQ 사장인 래리 렌하트에게 사용자 데이터로 정확히 어떤 작업이 이뤄졌는지 밝힐 것을 요구하는 서한을 보냈다.
 
캐리어 IQ 소프트웨어는 AT&T, 스프린트, T-모바일의 전화기에 설치됐다. 버라이즌은 캐리어 IQ를 사용하지 않는다고 밝혔으며, 리서치 인 모션과 노키아 측도 사용하지 않는다고 발표했다.
 
애플은 iOS 5가 캐리어 IQ 소프트웨어를 전체적으로 다 사용하지는 않으며, 이후 버전에서는 아예 사용하지 않겠다고 밝혔다.
 
나도 모르게 자신의 휴대폰 어딘가에 데이터 보관
캐리어IQ의 고객인 통신업체와 단말기 제조업체들은 이 소프트웨어가 수집한 데이터에 접근할 수 있다. 심지어 특정 이벤트가 발생하면 구체적으로 이를 기록해서 이 로그의 세부 정보를 통신업체에 전송하도록 하는 '트리거'를 지정할 수도 있다.
 
그러나 더욱 위험한 부분은 수집된 데이터의 존재 자체다. 이 데이터는 어딘가에 보관되며, 따라서 이론적으로 복사, 접근, 해킹, 도난 또는 유출이 가능하다.
 
캐리어IQ는 회사 측이 이 소프트웨어가 탑재된 전화기 사용자의 문자 메시지와 다른 데이터를 읽을 수 있음을 대체로 시인했지만 이 기능은 대부분 이론적인 것일 뿐이라고 주장했다.
 
캐리어IQ의 마케팅 담당 부사장 앤드류 코워드는 "우리는 SMS 메시지를 읽지 않는다. 메시지가 들어오고 그 메시지와 함께 전화 번호도 볼 수 있지만 그것을 저장, 분석하거나 기타 다른 방법으로 메시지의 내용을 처리하지 않는다"고 밝혔다. 

코워드의 말을 요약하자면 캐리어IQ는 단순히 서비스 개선을 하려는 통신업체에게 서비스를 제공할 뿐이라는 것이다. 
 


2011.12.07

캐리어IQ 게이트 심층 분석

Mike Elgan | Computerworld
대부분의 스마트폰 단말기에 개인 활동을 추적 및 기록하기 위한 비밀 소프트웨어가 실행되고 있다는 사실이 발견되면서 관련 업계가 큰 스캔들에 휘말렸다.
 
캐리어IQ(Carrier IQ)의 소프트웨어는 통신업체와 단말기 제조업체들에게 전화 서비스 개선을 위한 진단용 도구 명목으로 판매됐다. 비평가들은 이것이 심각한 사생활 침해라고 주장했다. 맞는 말이다.
 
나는 니가 휴대폰으로 무엇을 하는지 알고 있다
지난주 화요일 트레버 에크하르트라는 한 보안 연구원은 캐리어IQ라는 소프트웨어가 개인 데이터를 수집하는 모습을 담은 비디오를 게시했다. 정보 수집에 대해 사용자에게 동의를 구하지도 않고, 수집을 끄는 옵션도 없었다.
 
이 비디오를 보면 캐리어IQ는 모든 버튼 누름, 통화한 전화번호, 문자 메시지 전문, 심지어 암호화되어야 하는 https 연결을 통한 검색 데이터까지 수집하고 기록한다. 이 소프트웨어는 사용자가 본 비디오, 사용한 앱, 그리고 사용자의 위치에 대한 세부적인 정보를 캡처할 수 있다.
 
이렇게 기록된 데이터가 전송되는지, 전송된다면 언제, 누구에게 전송되는지, 어디에 저장되며 누가 접근할 수 있는지는 아직 명확하게 밝혀지지 않았다.
 
캐리어IQ 측이 에크하르트를 고소하겠다고 나서자 에크하르트는 전자 프론티어(Electronic Frontier) 재단에 보호를 요청했으며, 이에 캐리어IQ는 한발 물러 선 상황이다.
 
미국 상원의원 알 프랑켄은 캐리어IQ 사장인 래리 렌하트에게 사용자 데이터로 정확히 어떤 작업이 이뤄졌는지 밝힐 것을 요구하는 서한을 보냈다.
 
캐리어 IQ 소프트웨어는 AT&T, 스프린트, T-모바일의 전화기에 설치됐다. 버라이즌은 캐리어 IQ를 사용하지 않는다고 밝혔으며, 리서치 인 모션과 노키아 측도 사용하지 않는다고 발표했다.
 
애플은 iOS 5가 캐리어 IQ 소프트웨어를 전체적으로 다 사용하지는 않으며, 이후 버전에서는 아예 사용하지 않겠다고 밝혔다.
 
나도 모르게 자신의 휴대폰 어딘가에 데이터 보관
캐리어IQ의 고객인 통신업체와 단말기 제조업체들은 이 소프트웨어가 수집한 데이터에 접근할 수 있다. 심지어 특정 이벤트가 발생하면 구체적으로 이를 기록해서 이 로그의 세부 정보를 통신업체에 전송하도록 하는 '트리거'를 지정할 수도 있다.
 
그러나 더욱 위험한 부분은 수집된 데이터의 존재 자체다. 이 데이터는 어딘가에 보관되며, 따라서 이론적으로 복사, 접근, 해킹, 도난 또는 유출이 가능하다.
 
캐리어IQ는 회사 측이 이 소프트웨어가 탑재된 전화기 사용자의 문자 메시지와 다른 데이터를 읽을 수 있음을 대체로 시인했지만 이 기능은 대부분 이론적인 것일 뿐이라고 주장했다.
 
캐리어IQ의 마케팅 담당 부사장 앤드류 코워드는 "우리는 SMS 메시지를 읽지 않는다. 메시지가 들어오고 그 메시지와 함께 전화 번호도 볼 수 있지만 그것을 저장, 분석하거나 기타 다른 방법으로 메시지의 내용을 처리하지 않는다"고 밝혔다. 

코워드의 말을 요약하자면 캐리어IQ는 단순히 서비스 개선을 하려는 통신업체에게 서비스를 제공할 뿐이라는 것이다. 
 


X