샤오미, 인도 공군의 보안 위협 경고에 응답

오늘 초반에 The Sunday Standard의 보도에 따르면 인도 공군(IAF)이 샤오미를 보안 위협으로 간주하는 공문을 발송했다는 소식이 트위터에서 퍼지고 있다. 이 공문은 IAF가 자사 직원과 그 가족에게 발송한 것으로, 신흥 기술 대기업이 제조한 핸드셋과 장치를 사용하지 말라는 경고를 담고 있다. 샤오미는 이러한 우려를 일축하며 응답했다.

IAF의 공문에서는 샤오미가 사용자 데이터를 중국에 위치한 원격 서버로 전송하고 있다고 비난했다. 이 메모는 인도 컴퓨터 비상 대응 팀(CERT-In)의 정보를 바탕으로 정보 부서에서 작성되었으며, 과거에 샤오미의 사용자 개인 데이터 처리에 의문을 제기한 여러 보고서를 인용하고 있다.

“F-secure, 선도적인 보안 솔루션 회사는 최근 샤오미의 예산 스마트폰인 Redmi 1s에 대한 테스트를 수행했으며, 이 전화기가 통신사 이름, 전화번호, IMEI(장치 식별자) 및 주소록과 문자 메시지의 숫자를 베이징으로 전송하고 있다는 것을 발견했다,”고 IAF 메모는 전하고 있다.

Technology Personalized와의 인터뷰에서 샤오미의 인도 운영 총괄 매니저인 마누 제인은 회사를 방어하고 몇 가지 사항을 명확히 하려 했다.

첫째로 – 우리는 사용자 데이터를 보호하는 데 매우 신중하다; 우리는 데이터 보안과 관련된 모든 지역 법률을 100% 준수하고 있다.

이는 올해 초 우려가 제기된 이후 샤오미가 계속해서 주장해온 것과 매우 유사하다. 마누는 계속해서 말했다:

우리는 Mi Cloud, 클라우드 기반 메시지 등과 같은 다양한 인터넷 기반 서비스를 제공하며, 이는 데이터를 클라우드에 저장해야 한다. 그러나 우리는 데이터가 서버로 전송되는 동안 암호화되고 안전하게 유지되도록 엄격한 조치를 취하며, 필요한 시간 이상으로 저장되지 않도록 한다. 사실, 우리는 Mi Cloud가 기본적으로 비활성화되도록 시스템을 변경했으며, 자동으로 서버에 데이터를 전송하지 않는다. 소비자가 의식적으로 Mi Cloud 서비스를 활성화할 때만 데이터가 백업된다.

그가 언급한 변경 사항은 IAF가 메모에서 인용한 올해 8월 F-secure의 보고서 직후에 이루어졌다. 아래는 변경 사항을 자세히 설명하는 샤오미의 글로벌 얼굴인 휴고 바라의 두 블로그 게시물이다.

2014년 7월 30일 – https://plus.google.com/+HugoBarra/posts/9GL9h2fT8H6
2014년 8월 20일 – https://plus.google.com/+HugoBarra/posts/bkJTXzyXXmj
F-secure는 후속 보고서에서 샤오미가 출시한 OTA가 실제로 개인 정보 보호 문제를 해결했으며, 특히 Mi Cloud 메시징 서비스와 관련된 문제를 다뤘다고 명확히 했다. IAF 메모가 정확히 언제 발행되었는지는 확실하지 않지만, 올해 8월 이후 회사가 만든 변경 사항에 대한 언급은 포함되어 있지 않다. 흥미롭게도, 휴고 바라가 최근 샤오미의 데이터 센터와 서버를 중국 외부로 이전하겠다는 결정을 게시했다. 이는 단순한 우연일까, 아니면 IAF 메모에 대한 뉴스가 공개된 후 샤오미가 이를 발표하도록 강요받은 것일까? 당신의 추측이 나와 같을 것이다. 그의 게시물에서 휴고 바라가 설명한다 -

2014년 초, 우리는 전 세계적으로 서버 인프라를 확장하기 위한 대규모 내부 노력을 시작하여 Mi 팬들에게 더 나은 서비스를 제공하기 위해 노력했다… 다중 사이트 서버 아키텍처로 이동하는 우리의 주요 목표는 전 세계 Mi 팬들을 위한 서비스 성능을 개선하고 지연 시간을 줄이며 실패율을 낮추는 것이었다. 동시에, 이는 또한 높은 개인 정보 보호 기준을 유지하고 지역 데이터 보호 규정을 준수하는 데 더 잘 대비할 수 있게 해준다. 샤오미는 서버 및 데이터 마이그레이션 프로세스를 세 가지 단계로 계획하고 있다 – 전자 상거래 마이그레이션, MIUI 서비스 마이그레이션 및 지역 데이터 센터. 이를 달성하기 위해 샤오미는 미국 캘리포니아에 본사를 둔 아마존 웹 서비스(AWS)로 데이터 서버를 이전할 계획이다. 올해 말까지 모든 비중국 사용자에 대한 MIUI 서비스와 해당 데이터는 베이징에서 미국 오리건과 싱가포르의 아마존 AWS 데이터 센터로 이전될 예정이다. 이는 사용자 개인 정보 보호 문제를 해결하기 위한 중요한 조치이다. 인도 시장은 샤오미에게 매우 중요하며, 그들은 보안 및 개인 정보 보호 문제를 머리 위에 두고 계속 진행할 수 없다. 회사가 이러한 문제에 대한 수정 사항을 신속하게 발표한 것은 사실이지만, 왜 이러한 문제가 처음에 존재했는지에 대해 설명하거나 방어하는 데에는 실패했다. 현재 회사는 유사한 이유로 대만에서 사이버 보안 조사를 받고 있다. 중국 본토의 법률에 따르면, 중국 내에서 데이터를 저장하는 기업은 정부의 데이터 요청에 따라야 한다. 데이터를 중국 영토에서 완전히 이동함으로써, 샤오미는 이러한 문제와 관련된 심각성을 보여줄 것이다. 샤오미는 스타일 있게 인도 운영을 시작했지만, 중국이라는 꼬리표를 완전히 없애고 글로벌 기업으로 여겨지기 위해서는 큰 과제가 남아 있다. 휴고 바라에 따르면, 2015년에는 인도와 브라질에서 서버 인프라를 완전히 현지화하기 위해 지역 데이터 센터 제공업체와 협력할 계획이다. 이러한 시장의 사용자에게 서비스를 빠르게 제공하는 것 외에도, 적어도 어느 정도는 중국과의 연관성을 차단할 수 있기를 바란다. 사용자 데이터 보안을 중시한다는 단순한 말만으로는 부족하다. 위에서 계획한 실제 조치가 절실히 필요하다.