최근 독일 보안연구원들에 의해 스카이프 사용자들끼리 주고받는 메시지를 마이크로소프트(MS)가 훔쳐보고 있을 수 있다는 가능성이 제기됐다. 구글이 멋대로 사용자들의 메일 내용을 읽고 광고를 보여주는 기능도 비판해온 MS가 더 심각한 프라이버시 침해를 저질렀을 수 있다는 얘기라 업계 관심을 끌었다. 하지만 확인 결과 사실은 그저 충분히 검증된 보안 기능이 동작하는 것으로 드러났다.
미국 지디넷은 15일(현지시각) MS 스카이프의 메시지가 전송된 뒤 그 웹서버에서 의문스러운 통신 흔적을 발견한 독일 보안연구원들이 한차례 실험을 통해 MS가 서비스 사용자들을 감시하고 있다는 결론을 내렸다고 보도했다.
앞서 MS가 사용자들의 스카이프 인스턴트메시지를 읽고 있다는 자극적 주장은 한 영국 소재의 보안블로그 H온라인을 통해 알려졌다. H온라인은 스카이프 메시지 기능으로 HTTPS 인터넷주소(URL)를 보내면 곧 해당 사이트가 MS 미국 레드먼드 본사측의 비공개 방문을 받게 된다는 독일 보안업체 하이스시큐리티의 주장을 인용했다.
이에 대해 미국 지디넷 블로거 에드 보트는 얄팍한 증거에 기반한 것 치곤 꽤 극적인 결론이라며 그 보안업체의 주장과 근거가 된 한차례 실험을 과정을 분석해 논파했다.
하이스시큐리티가 진행했다는 실험은 앞서 전송된 메시지의 HTTPS URL 정보가 어떻게 노출되는지를 확인하려던 것으로 보인다.
그 연구원들은 2가지 URL을 전송했는데 하나는 로그인 정보를 포함한 것이었고 다른 하나는 프라이빗클라우드 기반 파일공유서비스를 가리키는 것이었다. 이들은 메시지를 보낸 뒤 몇시간만에 65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] 그리고 HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1라 기록된 서버로그 항목을 목격했다.
뒷부분의 문자열을 보면 test라는 계정명과 geheim이라는 비밀번호를 포함한 URL이 전송된 것을 알 수 있다. 만일 사용자가 이런 로그인 정보를 평문 URL로 보낸다면 그것만으로도 큰 보안문제라 지적할 수 있다. 이는 사용자가 링크 하나 누르는 것만으로 세션ID를 누군지도 모르는 사람에게 넘겨주는 것과 마찬가지다.
서버로그에 기록된 IP주소 '65.52.100.214'는 도메인네임시스템(DNS) 기록에 따르면 확실히 MS가 관리하는 것이다. 다만 보트가 이를 통해 내린 결론은 하이스시큐리티 측과는 정반대로 해당 IP주소 시스템의 접근기록이 '거의 확실히 무해하다'는 것이었다.
보트는 해당 주소는 인터넷익스플로러나 아웃룩닷컴 등 MS서비스를 통해 전송되는 URL에 대해 스팸 또는 멀웨어 유포지나 피싱사이트인지 파악해 막아주는 스마트스크린 인프라 일부일거라 확신한다며 스카이프가 윈도라이브(MSN)메신저 기능을 넘겨받을 때 스마트스크린 필터링도 도입된 것 같다고 지적했다.
MS는 이와 관련된 코멘트 요청에 응하지 않았다. 어쨌든 보트의 반박은 더 이어진다.
그에 따르면 의심스러운 IP주소 뒤로 이어지는 HTTP 요청방식이 GET대신 HEAD로 나타났다. 이는 HTTP표준 내용에 따르면 웹상의 콘텐츠를 가져올 수 있는 형식이 아니다. 링크에 대한 유효성, 접근성, 최근 변경여부를 테스트하는데 주로 쓰인다. 결국 해당 서버 기록을 MS가 뭘 훔쳐본 증거로 삼을 수 없다는 뜻이다.
MS는 앞서 하이스시큐리티 측이 스카이프의 동작에 대해 직접 질의한 내용에 답하기도 했다. 그 공식 입장은 스카이프의 데이터보호정책 한 구절을 인용해 스카이프는 인스턴트메시징과 SMS가 스팸인지여부와 URL이 과거 사기나 피싱 사이트였을지 파악하기 위해 자동화된 스캔기법을 쓸 수 있다는 것이다.
하이스시큐리티는 그 답변이 불충분하다고 인식했다. 하지만 MS와 스카이프는 어떤 URL이 스팸이나 피싱사이트인지 판단하기 위해 주어진 웹페이지의 콘텐츠를 들여다볼 필요가 없다. 스마트스크린 기법은 서버시스템의 평판이며, MS는 이를 산정하는 광범위한 평가수단을 쓰고 있다.
보트는 스마트스크린은 인스턴트메시징이나 메일의 모든 링크를 스캔하지 않는다며 그저 http:// 또는 ftp:// 같은 문자열을 포함하는 메시지를 판정하다가 (연구원들이 써넣은) 링크가 생소하고 의심스러울 수 있기에 스마트스크린 서버가 해당 서버에 HEAD형식으로 세부정보를 요청한 것이라고 설명했다.
그는 실제로 MS의 특정 IP주소가 온라인결제서비스 페이팔의 계정명과 비밀번호를 가로채게 만들어진 페이지를 운영하는 서버로 보내진 것을 확인했다고 밝혔다. 해당 주소는 불법복제 게임과 영화를 내려받을 수 있는 서비스가 호스팅되는 사이트였다. 이밖에 MS가 안전하지 않다고 경고한 특정사이트의 운영자가 게시판에 밝히길 회원들에게 스팸을 보내왔다고 직접 밝힌 내용도 발견됐다.
보트는 또 하이스시큐리티가 지목한 MS의 IP주소로부터 허락없이 사이트에 접속을 시도한 다른 사례를 찾지는 못했다고 언급했다. 오히려 그들 주장과 상반되게 평범한 HTTP 링크가 스마트스크린을 통해 스캔돼온 여러 사례를 발견했다고 덧붙였다.
관련기사
- "스카이프 계정 하루에 6번 도둑맞아"2013.05.17
- 스카이프·MSN 통합 오류?… 접속 장애 발생2013.05.17
- MS는 왜 수억명 쓰던 메신저를 죽였나2013.05.17
- 스카이프로 비트코드 채굴 악성코드 전파2013.05.17
요약하면 스카이프 인스턴트메시지 기능에서 URL을 주고받는 기능은 스마트스크린 서비스를 통해 해당 URL이 향하는 서버가 안전한지 파악할만한 정보를 요청하도록 쓰이는 것일 수도 있다. 이 정보는 링크가 적법한지 판정할 때 도움이 될 것이다. 피싱사이트나 유해소프트웨어를 품은 곳의 링크를 보내려할 때 알 수 있게 하는게 스마트스크린의 역할이기 때문이다.
한 독일 보안업체 연구원들의 주장처럼 스카이프가 사용자들의 메시지를, 다른 사람이든 기계든 들여다보고 있다는 점을 입증할만한 증거는 없다는 게 보트의 결론이다. 메시지 속의 일부 URL이 자동적인 방식으로 스캐닝되긴 하는데 이는 '사용자가 쓰는 모든 내용을 읽는다'는 표현과는 차이가 크다. 단순히 보면 메일서버가 수신함 내용에서 스팸을 걸러내기 위해 헤더 정보를 확인하는 것이나 마찬가지기 때문이다. 이는 프라이버시 차원의 문제에 미치지도 않는, 합법적인 보안 기능일 따름이다.