(출처:Pixabay)
중국은 자국민 검열이 심한 국가다. 만리방화벽만 봐도 알 수 있다. 만리방화벽은 중국의 인터넷 검열 시스템으로, 자국민의 해외 인터넷 서비스 사용을 차단한다. 물론 가상사설망(VPN)을 이용해 만리방화벽을 우회하는 중국인들도 있지만 소수 젊은 층이다. 더욱이 중국에서 VPN 사용은 원칙상 불법에 해당한다.
오프라인 공간도 예외는 아니다. 지난해 말 중국 정부가 대규모 제로 코로나 반대 시위에 어떻게 대처했는지 보면 답이 나온다. 월스트리트저널(WSJ) 등 외신에 따르면 당시 중국 공안은 시위 참가자들의 스마트폰을 하나하나 검사했다. 시위 상황을 외부로 전파할 수 있는 외국 소셜네트워크서비스(SNS)가 설치돼 있는지 확인하기 위해서다.
최근 현지 내수용 중국 스마트폰이 사용자 개인정보를 무단으로 수집하고 있다는 연구 결과가 나왔다. 연구에 사용된 복수의 중국 스마트폰은 광범위한 개인정보를 수집해, 외부로 전송하는 것으로 나타났다. 개중에는 사용자를 특정할 수 있을 만큼, 민감한 개인정보도 다수 포함돼 있었다. 이에 자국 사용자를 특정하고 추적하는 데 사용될 수 있다는 우려가 나온다.
(출처:Unsplash / tobias tullius)
2월 12일(현지시간) IT 매체 폰아레나(PhoneArena)에 따르면 영국 에딘버러 대학, 아일랜드 더블린 트리니티 단과대학 연구팀은 중국 내수용 스마트폰 여러 대를 대상으로 진행한 연구에서 이 같은 정황을 포착했다. 이들은 중국 스마트폰 제조사 샤오미, 원플러스, 오포 리얼미의 제품에 탑재된 운영체제(OS)와 앱을 분석했다.
중국 내수 스마트폰 안에는 수많은 앱이 미리 설치돼 있었다. 다른 지역에서 배포되는 안드로이드 운영체제 대비 3~4배가량 많은 양이었다. 특히 사전에 설치된 앱들은 일반적인 앱 대비 8~10배 많은 권한을 확보한 상태였다. 매체는 이런 사전 설치 앱을 통해, 스마트폰 사용자의 다양한 개인정보를 수집하고, 전송했다고 설명했다
결과적으로 현지 내수 스마트폰은 ▲휴대전화 식별번호(IMEI), MAC 주소와 같은 기기 식별 정보 ▲현재 사용자 위치를 추적할 수 있는 GPS 좌표 ▲ 전화번호, 앱 사용 패턴 앱 성능 데이터 등 사용자 프로필 ▲통화 내역, SMS 기록, 전화번호 등을 수집했다. 데이터는 바이두(Baidu)와 같은 서비스 제공업체, 차이나 모바일(China mobile) 등 이동통신사에 전송됐다.
(출처:Unsplash / shiwa id)
특히 연구팀은 샤오미 서브 브랜드 레드미 스마트폰에 미리 설치된 설메모, 녹음기, 전화, 메시지, 카메라 앱이 실행될 때마다 특정 주소로 데이터를 보냈다고 강조했다. 연구팀은 “이 정보를 종합하면, 사용자 익명성을 해치고, 광범위한 추적이 가능해져 심각한 위험일 수 있다”며 “중국에서 모든 전화번호는 개개인 ID에 등록돼 있기 때문”이라고 우려했다.
이와 관련 외신 기즈모도(Gizmodo)는 “이 데이터를 받는 제3자는 사용자가 어떤 기기를 사용하는지, 어디에서 스마트폰을 사용하고 있는지, 누구와 대화하고 있는지 구체적으로 알 수 있다”고 지적했다. 그러면서 중국에서 전화번호는 개인 신분증과 다름없기에, 수집한 데이터는 실제 법적 신원과 밀접하게 연결돼있다고 강조했다.
문제는 중국 내수용 스마트폰 사용자들이 이를 막을 방법이 없다는 것이다. 연구팀은 사용자 동의 없이 이 같은 작업이 진행됐고, 사용자가 거부할 방법은 없었다고 부연했다. 특히 개인정보 수집은 중국 이통사 네트워크에 연결돼있지 않은 상태에서도 멈추지 않았다. 즉, 중국 내수용 스마트폰을 쓰는 중국인이 해외로 나와도, 추적 대상이 될 수 있다는 의미다.
(출처:Unsplash / freestocks)
연구팀은 “중국 당국은 수집한 데이트를 받는 업체를 통해 해외에 거주 중인 중국인 여행객과 유학생을 추적할 수도 있다”며 “그들이 해외에서 무엇을 하는지 파악할 수 있다는 걸 뜻한다”고 주장했다. 단 이는 아직 확인된 사실이 아니다. 현재 밝혀진 중국 내수 스마트폰 개인정보 수집 정황을 토대로, 이런 가능성이 존재한다는 것이다.
중국은 지난 2021년 이른바 중국판 GDPR로 불리는 개인정보보호법을 제정해 이목을 끌었다. 중국에서 GDPR 수준의 개인정보보호법을 마련한 게 이례적이라는 이유에서다. GDPR이란 유럽연합(EU)의 개인정보보호법으로, 다른 지역 국가에서 개인정보보호법을 강화하는 데 적지 않은 영향을 미쳤다. 허나 이번 논란은 중국의 개인정보보호법을 무색하게 한다.
테크플러스 에디터 윤정환
tech-plus@naver.com
- 틱톡, 사용자를 위한 ‘주제 피드’ 추가해
- 테슬라 자율 주행 FSD 차량, 약 36만대 리콜 선언
- 검색 엔진 빙에 적용된 챗GPT, 이것도 실수 투성이
- 미래의 아이폰, ‘발신자의 음성’으로 아이메시지 읽을 수 있을 것
- 당분간 갤 S23만 사용 가능한 ‘이 기능’
