노키아, “사실이긴 하나...고객 데이터에 접근하진 않았다”

[보안뉴스 호애진] 노키아가 자사 휴대폰 사용자의 인터넷 트래픽을 하이재킹한다는 주장이 제기됐다. 인터넷 트래픽을 하이재킹하면, 사용자의 민감한 정보에 접근하는 것이 가능해지기 때문에 이러한 주장은 큰 파장을 가져왔다.

노키아가 자사 사용자들에게 대해 ‘중간자 공격(man in the middle attack)’을 수행해 HTTPS 연결을 가로채고 이를 일시적으로 복호화함으로써 모든 종류의 암호화된 연결에 접근하고 있다는 것이다.

보안전문가 고랑 판다(Gaurang Pandya)는 블로그를 통해 “테스트 결과, 노키아는 자사 휴대폰에서 전송되는 HTTPS 트래픽에 대해 중간자 공격을 수행함으로써 소셜 네트워킹이나 은행 등 여러 사이트에서 사용자 기밀정보가 포함될 수 있는 평문(clear text) 정보에 접근하고 있다는 것이 명확하게 밝혀졌다”고 주장했다.

그러자 노키아는 성명서를 발표하고, 데이터를 복호화하지만 이는 단지 압축을 통해 사용자의 브라우징 속도를 향상시키기 위함이라고 발표했다.

노키아는 “자사의 프록시 서버는 사용자가 방문한 웹페이지 기록 혹은 그들이 입력한 어떠한 정보도 저장하지 않는다”며, “프록시 서버에서 HTTPS 연결에 대한 임시 복호화가 필요한 경우, 사용자 콘텐츠를 변환하고 전달하기 위해 안전한 방법으로 수행된다”고 밝혔다.

이어 “우리는 사적인 정보에 대한 접근을 막기 위해 조직적이고 기술적인 방안을 구현해왔다”면서 “암호화되지 않은 정보에 접근하고 있다는 그의 주장은 옳지 않다”고 강조했다.

즉, 자사 휴대폰 사용자의 인터넷 트래픽을 하이재킹하고, 복호화한 사실은 인정하지만, 데이터에 접근하진 않았다는 것이 노키아측의 입장이다. 하지만 노키아는 이를 사용자들에게 미리 고지했어야 했다.

노키아는 핀란드 회사로, 핀란드는 유럽연합(EU)의 회원이다. EU는 데이터 보호 법규가 잘 발달돼 있기 때문에 노키아가 사용자 데이터를 이용하고, 프라이버시를 위반했다면 파산에 이르는 강력한 처벌을 받게 되기 때문에 사실상 노키아가 데이터에 접근하진 않았을 것으로 추정되고 있다.

한편, 사용자들의 항의가 이어지고 있고, 파장이 확산되는 가운데 2012년 4사분기 루미아(Lumia) 폰의 판매대수가 440만대에 그쳐 노키아는 기존의 부정적 전망처럼 좋지 않은 실적을 나타냈다는 어두운 소식도 전해졌다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>