2022-09-27 11:40 (화)
LG 스마트TV 개인정보 무단수집 논란...직접 테스트해보니
상태바
LG 스마트TV 개인정보 무단수집 논란...직접 테스트해보니
  • 호애진
  • 승인 2013.11.21 19:22
이 기사를 공유합니다

시청채널 및 시간, 미디어 파일 이용 목록 등 LG전자 서버로 전송돼
국내서도 동일한 현상 발생 확인...프라이버시 침해로 이어질 수 있어
LG전자 스마트TV가 사용자의 시청 채널 및 시간, 미디어 파일 이용 목록 등 개인정보를 LG전자 서버로 전송하고 있다는 주장이 데일리시큐 확인결과 사실로 드러났다. 이는 사용자 프라이버시 침해로까지 이어질 수 있어 논란이 예상된다.   
 
이번 문제를 최초 거론한 자는 영국의 IT컨설턴트 제이슨 헌틀리(Jason Huntley)다. 그는 자신의 블로그에 "LG전자가 스마트TV를 통해 개인 이용정보를 무단 수집해 맞춤 광고 등에 활용하고 있다"는 글을 올려 논란의 불씨를 당겼다. 이에 데일리시큐는 논란의 진위를 확인하기 위해 국내 네트워크 보안전문가의 도움을 받아 테스트를 실시했다. 그 결과, 국내 LG전자 스마트TV에서도 동일한 현상이 발생하고 있다는 사실을 확인했다. 

     <국내 LG전자 스마트TV를 대상으로 직접 테스트한 결과, 패킷 캡처 화면>

제이슨 헌틀리는 개인 이용정보가 ‘시청 정보 수집’ 설정을 끄더라도 고객의 동의 절차 없이 LG전자 서버로 전송된다고 밝혔다. 스마트TV 내장 기능인 사생활 보호 기능이 전혀 작동하지 않고 있다는 것이다. 또한 시청 정보 외 스마트TV와 연결된 USB 등의 외장하드에 있던 동영상 및 사진 파일의 이름도 전송된다고 덧붙였다.
 
이는 프라이버시 문제를 야기시킬 뿐만 아니라 해당 정보가 암호화되지 않은 채 송수신 되고 있기 때문에 와이파이 등을 통해 제3자에게 노출될 수 있어 심각한 보안 위협이 될 수 있다. 그는 해당 정보가 암호화 되지 않은 채 'GB.smartshare.lgtvsdp.com'이라는 주소로 전송되는 증거를 확보했다. HTTP 데이터 송수신 과정을 캡처해 올린 것이다. 
 
한편 데일리시큐는 진위여부 확인을 위해 국내 LG전자 스마트TV를 대상으로 직접 테스트를 실시했으며 그 결과, 동일한 현상이 나타난다는 것을 확인했다. 국내 보안전문가가 패킷을 분석한 바에 따르면, HTTP 헤더에는 단말기의 세부 정보, HTTP Body에는 USB에 들어 있는 파일명 정보가 전송됐다. 또 서버 주소는 KR.smartshare.lgtvsdp.com으로 이는 국가마다 다른 것으로 추정된다. (테스트 모델명: LG 47LM6600)
 
다만, HTTP Request에 응답 코드가 404인 것을 볼 때 이러한 정보가 LG전자 서버의 DB에 저장된다고 단언할 수는 없지만, 웹서버 로그에 남을 수 있는 여지가 있고 향후 서버 설정을 변경해 DB에 저장할 수 있어 문제로 지적되고 있다. 또한 DB에 저장하지 않는다고 해서 프라이버시 침해 논란을 피해갈 수는 없을 것으로 보이며, 암호화 되지 않은 채 송수신 되는 점 역시 심각한 보안문제를 발생시킬 수 있어 조치가 필요한 상황이다. 
 
LG 관계자는 “현재 블로거 주장이 맞는지, 혹시 소프트웨어 상의 버그는 아닌지 기술적 원인부터 파악하고 있다"고 밝혔지만, 실제 테스트를 통한 결과를 고려해 보면 이번 문제는 단순한 소프트웨어 상의 버그로 보기 힘들다. 사용자의 프라이버시 침해로 이어질 수 있기 때문에 LG전자의 명확한 해명과 보안대책이 마련돼야 할 것으로 보인다. 
 
데일리시큐 호애진 기자 ajho@dailysecu.com