쉬프트웍스 눈엔 어플개발사가 '범죄집단'?
2010-08-28 08:00:00 2010-08-28 18:48:08
[뉴스토마토 송수연기자] 보안솔루션 전문업체인 쉬프트웍스가 정상적인 스마트폰 애플리케이션 개발사들이 마치 불법행위를 하고 있는 것처럼 몰아가고 있다.
 
개발사들이 애플리케이션을 통해 스마트폰의 국제이동단말기식별번호(IMEI)와 범용가입자인증모듈번호(USIM SN)를 수집하는 것을 불법으로 규정하고 형사처벌 대상이라고까지 주장하고 있는 것이다.
 
특히 쉬프트웍스가 공급하는 '브이가드(VGUARD)'가 곧 안드로이드 운영체제 스마트폰의 모바일뱅킹 서비스 프로그램에 백신엔진으로 의무 탑재될 예정이어서, 이들이 모바일 보안문제를 과장해 사업적 이득을 취하고 있는 것 아니냐는 의혹도 제기된다.
 
쉬프트웍스는 홍민표 대표 블로그글과 보안전문이라고 주장하는 한 매체 기사 등을 통해 '애플리케이션이 안드로이드폰에서 IMEI와 USIM 시리얼넘버를 수집하는 것은 불법'이라고 규정했다. 
 
"통신비밀보호법 상 단말기의 고유번호를 제공하거나 제공받는 것은 위법 행위로 5년 이하의 징역 등 처벌을 받는다"는 것이다.
 
이들은 또 "이 정보가 외부로 유출되면 휴대폰 복제나 짝퉁 휴대폰, 범죄용도의 대포폰에도 이용될 수 있다"고 주장했다.
 
이들 주장이 사실이라면 IMEI 정보 등을 수집하고 있는 대부분의 애플리케이션 개발사들이 모두 범법행위를 하고 있는 셈이다.
 
실제 이들은 같은 이유로 최근까지 ‘네이트온’. ‘전국 버스 정보’, ‘매일경제TV’, ‘딕셔너리 닷컴(dictionary.com) 사전’, ‘증권통’ 등의 애플리케이션들을 대거 위험파일로 적시해 서비스 이용을 방해해 왔다.
 
그러나 이런 주장들은 모두 사실 무근으로 확인됐다.
 
우선 허성욱 방송통신위원회 네트워크기획보고과장은 "이용자들에게 정보 이용 사실이 고지가 됐다면 IMEI 정보나 USIM 시리얼넘버 등을 수집하는 것은 문제가 없다"고 밝혔다.
 
이런 정보들이 이용자 식별 등 서비스 제공에 불가피한 정보이기 때문이다.  
 
그리고 정상적인 어플 제작사들이라면 당연히 휴대폰에 어플을 설치할 때 이런 사실을 고지한다.
 
스마트폰의 IMEI와 USIM 시리얼넘버만으로 복제폰을 만들 수 있다고 주장하는 것은 더욱 터무니 없다는 게 전문가들의 평가다.
 
IMEI란 휴대폰 본체에 적인 일련번호로 폰 분실 때 악용을 막기 위한 식별고유값이고, 폰 본체는 물론 포장케이스에 적혀 있기도 하다.
 
또 USIM 시리얼넘버는 칩 외부에 적힌 식별번호로 칩 내부에 암호화된 개인정보와는 무관하다.  
 
KT 관계자는 “USIM 복제는 시리얼넘버나 IMEI를 알더라도 불가능하고 유심이 복제된 사례도 없다”며 “그렇게 중요한 정보라면 왜 휴대폰과 유심에서 누구나 이 정보를 볼 수 있게 해놨겠냐”고 말했다.
 
SK텔레콤 관계자는 “3세대 이동통신단말기에 유심을 도입할 때 이런 문제가 없는 지 확인한 결과 전혀 문제될 것이 없었다”며 “시리얼넘버나 IMEI로 도대체 어떻게 휴대폰을 복제할 수 있다는 것인지 모르겠다”고 말했다.  
 
실제 과거 CDMA방식 2G폰의 경우 통신사가 가입자를 관리하기 위해 단말기 내부에 고유 식별 번호인 ESN(Electronic Serial Number : 전자식 고유 번호)을 미리 삽입해 둬, ESN이 유출될 경우 복제 폰 등의 범죄에 악용될 소지가 있었다. 
 
그러나 현재 WCDMA 방식의 3G 휴대폰의 경우 이 기능이 IMEI와 유심으로 나눠져 있고 유심의 경우 CPU와 메모리로 구성돼 있다. 특히 CPU가 암호•복호화 기능으로 사용자를 식별하게 돼 있어 시리얼 넘버로 유심을 복제하는 건 불가능하다고 통신사들은 단언하고 있다.
 
사정이 이런데도 쉬프트웍스가 대다수 어플 개발사들을 범죄집단으로 몰아가는 이유는 뭘까?
 
업계 전문가들 사이에서는 쉬프트웍스의 이런 무리한 행보가 곧 안드로이드용 휴대폰 모바일뱅킹 프로그램에 이들의 '브이가드'가 의무탑재되는 것과 무관하지 않다고 보는 시각이 많다. 
 
지난 2008년 설립된 쉬프트웍스는 올초부터 스마트폰의 보안 취약성을 지속적으로 주장하면서, 일약 코스콤의 안심백신모바일 핵심 엔진으로 채택됐으며, 곧 금융권의 모바일뱅킹 프로그램에도 의무 탑재될 예정이다.
 
한 어플 개발자는 이에 대해 "보안회사들이 스마트폰 보안 위험을 강조함으로써 불안여론을 조성한 뒤 기술에 어두운 공무원이나 공공기관을 부추겨 잇속을 챙기고 있다는 혐의가 짙다"고 평가했다.
 
뉴스토마토 송수연 기자 whalerider@etomato.com

- Copyrights ⓒ 뉴스토마토 (www.newstomato.co.kr) 무단 전재 및 재배포 금지 -
이 기사는 뉴스토마토 보도준칙 및 윤리강령에 따라 김기성 편집국장이 최종 확인·수정했습니다.

ⓒ 맛있는 뉴스토마토, 무단 전재 - 재배포 금지

지난 뉴스레터 보기 구독하기
관련기사