SK브로드밴드(이하 SKB) 공유기에서 SK텔레콤(이하 SKT) 서버로 과도한 개인정보 및 네트워크 정보를 수집하고 전송하고 있는 것이 확인됐다.

공공기관 및 일반기업, 가정용 홈네트워크 등에서 사용하고 있는 SKB 공유기에 노트북이나 휴대폰 와이파이를 연결할 때 사용자 단말기 정보 가운데 개인정보 항목에 해당되는 ▲MAC(맥) 주소 ▲IP(아이피) ▲호스트네임 등을 암호화하지 않은 상태로 SKT 서버로 전송하고 있는 것으로 조사됐다.

또 공유기가 부팅될 때 주위 AP(Access Point) 정보를 수집해 SKT 서버로 전송하고 있다는 것도 확인됐다. 즉 공유기를 재부팅하는 과정에서 옆집이나 윗집, 아랫집 등 다른 가정의 AP 정보까지 수집해서 전송하고 있는 상황이다.

특히 맥 주소는 이더넷이나 와이파이 등에 쓰이는 네트워크 기기의 고유 번호로 기기마다 모두 다르다. 랜 단말기가 통신에 이용하는 단말기 식별번호로 쓰이기 때문에 맥 주소 수집에 대해 이용자들은 민감할 수밖에 없다.

기자는 보안전문가와 함께 SKB 공유기를 통해 와이파이 네트워크를 설정하고 패킷 미러링을 통해 이를 모니터링해 본 결과, 다양한 문제가 있다는 것을 확인했다.

SKB 공유기에 여러 와이파이 단말기(노트북, 휴대폰 등)가 연결된 상태에서, 별도의 라우터를 통해 패킷 미러링을 설정했다. 이렇게 설정된 환경에서 송수신되는 패킷을 모니터링한 결과, 다음과 같은 패킷 분석 결과가 나왔다. 특히 해당 단말기는 SKT 고객이 아닌 관련 없는 단말기다.

▶공유기 재부팅 시 접속 단말기 개인정보 전송

SKB 공유기를 재부팅해서 해당 공유기가 외부로 발생시키는 패킷만 잡아보면, 공유기의 맥 주소, 제품 모델명, 버전 정보 등의 로그가 SKT 서버로 전송된다. 즉 SKT와 전혀 상관없는 개인 휴대폰이나 노트북 정보들이 SKT 서버로 전송되고 있다는 점에서 개인정보의 과도한 수집 및 제3자 제공에 해당된다. SKT는 자사 고객이 아닌 단말기 정보를 SKB로부터 전송받고 이를 어떻게 관리 및 저장하는지 개인정보처리방침에 명시하지 않고 있는 것으로 보인다. 이는 개인정보보호법 위반에 해당된다. 특히 암호화되지 않은 상태로 전송되고 있다는 점도 위험요소가 될 수 있다.

▶주변 공유기 정보까지 수집해 전송

또 SKB 공유기는 사용자의 네트워크 외에도 주변 사무실 혹은 가정의 공유기 SSID, 맥 주소 및 암호화 종류 등의 정보를 스캔해 수집하고 있었다. 이 정보들 또한 SKT의 로그 수집 서버로 전송된다.

이러한 분석 결과에 따라, SKB 공유기는 자사 고객 네트워크 정보뿐만 아니라 주변의 다른 네트워크 정보까지도 과도하게 수집하고 이를 SKT 서버로 전송하고 있는 것이다. 주변 사용자 입장에서는 이러한 수집 및 전송에 대해 명확한 설명과 조치가 필요할 것으로 보인다.

다시 말해, SKB 측에서 공유기에 접속하는 모든 클라이언트들의 연결 및 해제와 관련된 로그 정보(연결시도, 연결성공, 연결해제, DHCP 등)를 수집해서 SKT 서버로 전달하는 것이다.(DHCP: 호스트가 네트워크에 접속하고자 할 때마다 IP를 동적으로 할당 받을 수 있도록 하는 표준 네트워크 프로토콜) SKB와 SKT 측은 이 부분에 대해 이용자들에게 고지를 명확히 하고 있는지 답변이 필요한 상황이다.

◆맥 주소 등 개인식별이 가능한 정보 수집…주의해야

한편 네이버와 같은 경우는 개인정보처리방침에 “서비스 이용 과정에서 IP 주소, 쿠키, 서비스 이용 기록, 기기정보, 위치정보가 생성되어 수집될 수 있다.(중간 생략) 이용자 기기의 고유한 정보를 원래의 값을 확인하지 못 하도록 안전하게 변환하여 수집한다”고 명시하고 있다. 즉 수집은 하지만 원래 값을 확인하지 못하도록 변환해서 수집하고 있다.

한편 금융회사들은 전자금융거래법에 따른 수집 정보 공지에 개인식별 및 부정이용방지를 목적으로 대부분 맥 주소를 수집한다고 돼 있다.

또 게임사도 기기를 식별할 수 있는 OS정보, 하드웨어 정보, 맥 주소 등 부정사용자와 해외 계정 접속 방지 때문에 수집하고 있다.

하지만 틱톡과 같은 경우 구글 안드로이드 운영체제의 개인정보보호 장치를 우회해 수백만대의 모바일 기기에서 고유 식별자 정보를 수집해 구글 정책을 위반하다 적발된 적이 있다.

또 카카오톡도 사용자 PC의 맥어드레스를 수집하다 적발된 적이 있으며 예전 SK커뮤니케이션즈도 네이트온에서 사용자 맥 주소를 추가 수집하다 사용자 탈퇴 움직임이 일자 철회한 바 있다.

한편 GDPR(유럽연합 개인정보보호법)은 개인 데이터를 “식별되거나 식별 가능한 자연인과 관련된 모든 정보”로 정의한다. 이는 이름, 이메일 주소, IP 주소, 쿠키 ID, 위치 데이터 등 다양한 식별자를 포함한다. 특히 맥 주소, IP 주소, 쿠키 ID 등을 온라인 식별자로 명시하며, 이러한 식별자가 다른 정보와 결합되어 개인을 식별할 수 있는 경우 이는 개인 데이터로 간주된다고 규정하고 있다.

또 CCPA는 캘리포니아 거주자의 개인정보를 보호하기 위한 법률로, 개인 정보를 식별 가능한 개인과 관련된 정보로 정의한다. 여기에는 식별자, 인터넷 또는 기타 전자 네트워크 활동 정보, 지리적 위치 데이터 등이 포함된다. CCPA에 따르면, 기업은 개인 정보 수집 관행을 투명하게 공개하고, 사용자가 데이터 수집을 거부할 수 있는 권리를 제공해야 한다. 또한, 수집된 데이터를 보호하고 부적절한 공개를 방지하기 위한 조치를 취해야 한다고 명시하고 있다. ​

즉 맥 주소나 호스트네임 같은 데이터가 단독으로는 개인을 식별하지 못하더라도, 다른 데이터와 결합될 때 개인을 식별할 수 있는 경우 개인정보로 취급되어야 함을 의미한다.

◆SKB와 SKT, 자사 고객 아닌 단말기 정보 및 주변 네트워크 정보까지 수집·전송…개인정보위 조사 필요해

물론 SKT 개인정보처리방침을 보면 “기기정보(모델번호, 휴대폰 고유식별번호(IMEI), USIM 고유번호, MAC 주소 등)’을 수집한다고 명시돼 있다.

하지만 SKB와 SKT는 자사 고객이 아닌 단말기 정보와 주변 네트워크 정보까지 수집·저장하고 있어, 암호화되지 않은 개인정보를 과도하게 수집하고 저장하는 행위에 해당되며 이에 대한 개인정보보호위원회(위원장 고학수)의 조사와 시정이 필요한 부분으로 보여진다.

◆ SKT, 개인정보 관련 문의에 성의 없는 대응…개인정보보호 의지 있나?

한편 SKT 프라이버시 센터에서 개시한 ‘개인정보보호 처리방침’ 어디에도 SKT와 관련 없는 단말기 정보를 수집하거나 주변 네트워크 정보를 수집한다는 명확한 고지내용도 없는 것으로 보인다.

더불어 개인정보에 대한 취재 목적으로 지난 5월 17일 SKT 프라이버시 센터 개인정보보호 책임자 메일로 문의 메일을 보냈음에도 불구하고, 첫 답변은 5월 23일 오전 10시 23분에 “당사 PR팀 담당자 통해 답변드리겠다.”라는 답변 메일과 같은 날 오후 5시 47분 “현재 SK브로드밴드와 사실 확인 중”이라는 메일만 왔을뿐, 이후 23일 지난 현재 6월 9일까지도 아무런 답변이 없는 상황이다.

즉 SKT는 개인정보보호 관련 이용자들의 문의 내용을 고의적으로 묵살하든 그렇지 않으면 개인정보보호와 관련된 고객들의 문의에 대해 신경을 쓰지 않고 있다고 볼 수 있어 이 부분에 대해서도 조사가 필요해 보인다. 인공지능 시대가 도래하고 있는 이 시점에 개인정보의 보호와 활용이 너무도 중요한 상황임에도 불구하고 국내 대형 통신사의 이런 대응은 이해할 수 없는 행동으로 보여진다.

SKB와 SKT 측은 이렇게 수집한 정보들을 어떻게 관리 및 처리하고 있으며 왜 수집했는지 그 목적에 대해 명확히 밝혀야 한다. 만약 관행적으로 혹은 AP 개발자의 실수로 이러한 수집, 전송, 저장이 이루어졌다면 신속한 시정조치가 이루어져야 할 상황이다. 두 회사 이외에도 수집하지 않아도 될 불필요한 개인정보들을 수집, 저장하는 행위는 이제 철저히 도려내야 할 부분이다.

데일리시큐는 이후에도 이러한 과도한 개인정보를 수집하고 무단으로 전송하는 기업들의 행위를 조사해 지속적으로 기사화할 방침이다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★