[오피니언뉴스=정세진 기자] 지난 2분기 애플을 제치고 사상 처음 글로벌 스마트폰 시장 점유율 2위에 오른 샤오미의 보안성에 대한 관심이 높아지고 있다. 

전문가들은 스마트폰 성능이 다양하고 복잡하게 발전하면서 보안성능을 단순히 순위로 비교하는 건 어렵다고 말하면서도 샤오미가 애플과 삼성과 달리 보안 프레임워크(소프트웨어의 기본 개념 구조)를 공개하지 않는 것을 한계로 지적했다. 

다만 선두 업체에 비해 스마트폰시장에서 성장 속도가 빠른 샤오미가 사용자 경험을 바탕으로 보안 성능 개선 속도를 높일 수 있을 것으로 전망했다. 

경찰, 갤럭시S21 잠금 20일 넘게 못 풀어 

최근 업계에 따르면 서울경찰청은 지난달 23일 '가짜 수산업자'로부터 금품을 받은 혐의와 관련해 현직 검사 A씨의 스마트폰(갤럭시S21모델)을 압수했으나 20일 넘게 암호를 해제하지 못한 것으로 알려졌다. 

갤럭시S21에는 ‘삼성 녹스 볼트(Knox Vault)’ 프로세서가 탑재됐다. 경찰이 특정 소프트웨어 등을 이용해 갤럭시S21 잠금 해제를 시도할 경우, 외부 해킹 시도로 인식한 녹스 볼트는 내부 정보를 모두 삭제하고 시스템 초기화를 진행한다. 

아이폰의 경우 미국 연방수사국(FBI)과 우리 검찰, 경찰 등 수사기관은 아이폰 잠금을 해제하지 못해 해외 업체의 도움을 받는 것으로 알려졌다. 지난 2016년 호주의 한 보안업체가 FBI의 요청을 받아 총기 테러 사건의 범인이 사용한 아이폰5C의 잠금을 해제 한 것으로 알려졌다. 호주 업체가 사용한 방식은 현재 소프트웨어 업그레이드로 사용할 수 없다.

국내 수사기관은 해외 업체의 도움이 없으면 엘리베이터 CCTV 등 이용자가 직접 아이폰을 잠금해제 하는 영상을 확보하거나, 비밀번호를 알고 있는 이용자 또는 주변 지인의 도움을 받는 방식을 받아야 잠금을 해제할 수 있는 것으로 알려졌다.  

애플은 법원의 명령이 있으면 아이클라우드(iCloud)에 있는 사용자 백업 데이터를 제공한다. 다만 기기의 잠금을 해제하지 못하면 애플도 백업 데이터에 접근할 수 없다. FBI 등 수사당국은 이를 우회할 수 있는 'iOS 백도어' 제공을 요구했지만 애플은 프라이버시 침해 문제로 거절해왔다.

샤오미, 백도어 논란에 "사실 무근"...정보 보호 백서 출시

샤오미 역시 안드로이드 운영체제(OS)를 탑재한 만큼 강제 초기화를 시도할 경우 다른 이용자가 사용할 수 없도록 기기가 잠금상태로 전환된다. 비밀번호를 분실한 경우 서비스 센터를 찾아 전체 시스템을 전체를 초기화하지 않고서는 해당 스마트폰을 사용할 수 없는 셈이다.

스마트폰으로 메신저와 통화는 물론 은행거래, 신분인증 등을 하는 사용자가 늘면서 보안에 대한 관심이 커지고 있는 가운데 포브스 등 외신은 지난해 7월 샤오미 스마트폰의 ‘백도어’가 있다는 의혹을 보도하기도 했다. 

앞서 2016년에도 사용자 경험 개선을 위해 샤오미 스마트폰 ‘홍미노트8’에서 정보를 수집하는 앱(Analytics.apk)이 백도어 기능을 한다는 의혹이 제기된 바 있다. 

관련 의혹에 대해 샤오미 측은 거듭 “관련 주장은 거짓이며 보안에 문제가 없다”는 입장을 밝혀 왔다.

이일구 성신여대 융합보안공학과 교수는 “스마트폰이 발전하면서 정보 보호도 소프트웨어, 하드웨어 등 다양한 요소를 감안해야하는 상황에서 아이폰, 갤럭시, 샤오미 간에 단순 순위 비교를 하기는 어렵다”며 “정보보안은 과학의 영역이다 보니 뒷받침할 데이터가 있어야  하는데 샤오미 보안성을 의심하는 주장들에는 마케팅적 요소가 반영된 부분도 있는 것 같다”고 말했다. 

이 교수는 “샤오미가 후발 주자인 점도 고려해야 한다”며 “애플과 삼성도 초기에는 보안 취약점이 있었지만 사용자 경험을 축적하면서 보안 성능을 개선했다”며 “스마트폰 시장에서 샤오미의 빠른 성장세가 사용자 확보로 이어져 보안 취약점을 빠르게 개선하도록 할 것”이라고 전망했다. 

시장조사기관 카날리스에 따르면 지난 2분기 글로벌 스마트폰 시장에서 삼성과 애플의 출하량이 전년 동기 대비 각각 15%, 1% 늘어난 데 비해 샤오미는 83% 증가했다. 이 기간 샤오미 스마트폰 출하 증가율은 중남미에서 300% 늘었고, 아프리카와 서유럽에서 각각 150%, 50% 증가하며 약진했다. 

샤오미 애플·삼성 보다 정보 보안 기술 공개 수준 낮아..."특장점 알기 어려워"

지난달 샤오미가 공개한 정보보호 백서에 따르면 샤오미 스마트폰용 펌웨어 ‘미유아이(MIUI)’는 ‘TEE (Trusted Execution Environment)’라 이름 붙인 하드웨어 보안 운영 시스템을 지원한다. TEE는 스마트폰에 저장된 유저 인터페이스, 암호, NFC 컨트롤러 등 민감한 정보를 주 운영 체제와 별도로 독립된 공간에 따로 저장한다. 

김형종 서울여대 정보보호학과 교수는 “스마트폰이 복잡해지면서 이제는 제품을 뜯어서 리버스 엔지니어링(역공학)으로 보안수준을 평가할 수 있는 시대는 지났다”면서도 “애플과 삼성이 공개하고 있는 정보보호 알고리즘에 비해 샤오미가 공개한 수준으로는 보안에 어떤 특장점이 있는지 알기 어렵다”고 말했다. 

학계에서는 삼성의 녹스가 스마트폰 보안 수준을 한 단계 업그레이드한 기술로 인정받고 있다. 애플도 샌드박스·트러스트 체인 등 암호·보안 관련 알고리즘을 공개해 보안 사고 발생 시 제조사와 사용자의 책임 소재를 명확히 할 수 있다.

김 교수는 “샤오미는 유저 인터페이스 개선을 위해 사용자 참여를 유도하고 관련 정보 공개에서도 적극적”이라며 “다만 보안 기술에 있어선 삼성과 애플보다 공개하는 내용이 별로 없어 학계에서도 구체적인 내용을 알기 어렵다”고 말했다. 

스마트폰 업계 한 관계자는 “샤오미 스마트폰 이용자의 경우 보안 이슈가 있다는 걸 알면서도 쓰는 경향이 있다”며 “샤오미 스마트폰을 쓰려면 MI(샤오미 서비스를 위한 계정)계정에 가입해야 하는데 이 경우 관련 정보가 중국 내 서버에 저장된다”고 말했다. 

이일구 교수는 “선두 업체에 비해 소프트웨어나 기기 보안성이 약하다는 것은 샤오미가 중국 기업이어서라기보다 국내 기업을 포함한 후발주자라면 모두 마찬가지인 상황”이라며 “보안은 창과 방패 같아서 선발주자가 취약점을 보완하면 업계 전반의 기술이 다양하고 복잡한 과정을 거쳐 평균적인 보안 수준이 전반적으로 높아진다”고 덧붙였다. 

정세진 기자 다른기사 보기