'대륙의 우려' 샤오미…앱 생태계 광범위 보안 취약 '경고' [MOVIEW]

[디지털데일리 김문기 기자] 샤오미가 최근 국내 오프라인 1호 매장을 오픈하며 공격적 행보를 이어오고 있는 가운데, 그간 끊임없이 제기돼온 보안 우려는 여전히 잔존해 있음이 확인됐다. 국제 보안 커뮤니티 등에 따르면 샤오미 자체 스토어에 등록된 인기 안드로이드 앱 약 절반이 비표준 자체 암호화 기법을 사용하고 있으며, 보안상 중대한 결함이 있다는 지적이 잇따르고 있다. 특히, 이같은 보안 의식이 SDK, 유통 플랫폼까지 확산될까 우려하는 시선도 주목된다.

미국 프린스턴대학교와 캐나다 토론토대 산하 시티즌랩(Citizen Lab)은 지난 5월 IEEE 보안·프라이버시 심포지엄 2025에서 공동 발표를 통해 샤오미의 앱 생태계가 광범위한 보안 취약 상태에 놓여 있다는 분석 결과를 공개했다. 보고서에 따르면, 샤오미의 공식 앱스토어인 미 스토어(Mi Store)에 등록된 앱의 47.6%가 비표준 암호화, 혹은 자체 제작한(Home-rolled) 암호화 방식을 사용하고 있었으며, 이들 상당수는 TLS 인증서 검증조차 수행하지 않는 것으로 드러났다. 이는 기본 탑재된 디폴트 앱과 관련해서도 위험성이 있다고 추정할 수도 있다.

해당 연구는 ‘와이어워치(WireWatch)’라는 분석 파이프라인을 통해 구글 플레이 앱 882개, 미 스토어 앱 817개 등 총 1,699개 앱을 대상으로 체계적 검사를 수행했다. 연구 결과 미 스토어 앱의 47.6%가 자체 제작된 암호화 프로토콜을 사용하고 있었으며, 이 중 8개 주요 암호화 체계가 네트워크 감청자에 의해 복호화될 수 있음이 확인됐다. 반면 구글 플레이 앱 중 같은 문제를 안고 있는 경우는 3.5%에 불과했다.

연구진은 앱 생태계 전반에 걸쳐 기술적으로 취약한 암호화 구현이 반복되고 있으며, 일부 앱에서는 하드코딩된 암호키가 그대로 포함돼 있어 공격자들이 암호화된 사용자 데이터를 비교적 쉽게 복호화할 수 있는 구조로 설계돼 있다고 지적했다. 이에 대해 설계 자체의 문제이며, 사용자 정보 보호에 대한 기본적 고려가 결여돼 있다고 경고하기도 했다.

보다 우려스러운 점은 이 보안 결함이 실제 사용자 정보 노출로 이어질 수 있다는 데 있다. 연구진은 네트워크 환경에서 미 스토어(Mi Store) 앱들의 트래픽을 실시간 캡처한 결과, IMEI, 위치정보, 브라우징 기록, 입력 키스트로크 등 민감한 데이터들이 암호화 없이 평문으로 전송되는 사례를 확인했다고 주장했다. 일부 앱은 인증되지 않은 TLS를 허용하거나, DES 및 ECB/CBC 같은 구식 암호화 모드를 그대로 사용하는 등 최신 보안 가이드라인에서 한참 벗어난 상태였다는 것.

앱의 인기가 높을수록 자체 암호화를 사용할 가능성도 높았다. 다운로드 횟수가 10억 건을 넘는 앱의 경우 67.2%가 이처럼 안전하지 않은 프로토콜을 사용했다고 지적했다. 다운로드 횟수가 5천만 건 미만인 앱은 40.8%로 감소했다.

특히, 보안 관련 해외 전문매체인 사이버인사이더에 따르면 이같은 연구 결과에도 불구하고 샤오미는 발빠른 공식 대응이 없었다는 점을 꼬집기도 했다. 여전히 샤오미 공식 채널에서 배포되고 있으며, 해당 보고서가 공개된 직후에도, 미 스토어에 아무런 경고나 제한이 없었다는 것.

한편, 샤오미는 지난 6월 28일 서울 여의도 IFC몰에 국내 1호 오프라인 매장을 열며 한국 시장 공략의 신호탄을 쐈다. 하지만 이 자리에서도 조니 우 샤오미코리아 사장은 국내에서 정보보호책임자 등 전담 인력이나 조직이 있는지와 관련한 질문에 대해 "유저 프라이버시 보호를 위해 최선을 다 하고 있다"는 원론적 입장만 반복했다. 구체적인 질문에 대해서는 회피하는 모습을 보이기도 했다.

결과적으로 샤오미는 민감한 사용자 신뢰의 기초가 되는 보안 이슈 앞에서는 침묵했다. 개인정보 보호는 사후적 보상이나 해명이 아닌, 사전적 설계의 문제다. 확장 속도만큼 투명성과 책임성이 따라오지 않는다면, 안전한 사용 환경이 아닌, 데이터 유출의 온상이 될 위험을 안고 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -