넷이즈 'MuMu Player Pro', 맥OS서 30분마다 몰래 시스템 정보 수집...개인정보처리방침엔 한 줄도 없어

중국 게임사 넷이즈의 에뮬레이터가 사용자 모르게 30분마다 컴퓨터 정보를 빼가는 사실이 드러났다

[한국정보기술신문] 중국 게임회사 넷이즈(NetEase)가 만든 맥OS용 안드로이드 에뮬레이터 'MuMu Player Pro'가 실행되는 동안 30분마다 사용자 몰래 컴퓨터 정보를 수집해온 것으로 밝혀졌다. 수집 대상은 같은 와이파이에 연결된 기기 목록부터 현재 켜져 있는 프로그램 전체, 심지어 맥(Mac)의 고유 제품 번호까지 포함한다. 더 큰 문제는 이런 수집 행위가 넷이즈의 개인정보처리방침 어디에도 적혀 있지 않다는 점이다.

어떤 정보를 가져가나

한 보안 연구자가 공개한 분석 자료에 따르면, MuMu Player Pro는 실행 중일 때 30분마다 자동으로 컴퓨터 안에 폴더를 만들고 17가지 명령을 실행해 그 결과를 저장한다. 사용자에게는 아무런 알림도 없다.

가장 심각한 항목은 현재 켜져 있는 모든 프로그램의 목록을 통째로 가져가는 것이다. 단순히 프로그램 이름만이 아니라 각 프로그램이 어떤 설정으로 실행되고 있는지까지 기록된다. 파일 크기만 약 200KB에 달한다. 이 기록이 30분마다 쌓이면 사용자가 하루 동안 무엇을 언제 사용했는지를 고스란히 알 수 있는 일지가 만들어진다.

이 외에도 같은 와이파이나 네트워크에 연결된 모든 기기의 IP 주소와 고유 식별번호(MAC 주소), VPN 사용 여부와 설정 내용, DNS 및 프록시 설정, 컴퓨터에 설치된 전체 앱 목록과 버전 정보, 시스템 깊은 곳의 커널 설정값 등도 함께 수집된다. hosts 파일처럼 개발자들이 주로 사용하는 민감한 설정 파일도 포함된다. 한 번 수집할 때마다 약 400KB의 데이터가 쌓이며, 하루 평균 16번 실행된다.

내 맥의 일련번호도 넘어간다

수집된 정보는 로컬에만 머물지 않는다. MuMu Player Pro는 중국의 데이터 분석 서비스인 SensorsData를 통해 정보를 외부 서버로 내보낸다. 이때 사용자를 특정하는 식별값으로 맥의 하드웨어 일련번호가 활용된다. 기기를 완전히 바꾸지 않는 한 사라지지 않는 고유 번호다.

이 일련번호와 앞서 수집된 네트워크 정보, 프로그램 목록, 앱 설치 현황 등이 합쳐지면 사용자의 컴퓨터를 정밀하게 식별하고 사용 패턴을 추적할 수 있는 '디지털 지문'이 완성된다. 약 86KB 분량의 분석 데이터가 SensorsData 서버로 주기적으로 전송되는 것도 확인됐다.

개인정보처리방침엔 없는 내용

넷이즈가 공개한 MuMu Player Pro의 공식 개인정보처리방침에는 이번에 드러난 수집 행위가 전혀 나와 있지 않다. 실행 중인 프로그램 전체 수집, 네트워크 기기 목록 수집, 맥 일련번호 수집, 30분 주기의 자동 수집 등 어느 것도 언급이 없다. 별도 페이지에 '기타 네트워크·기술 정보'라는 표현이 있기는 하지만, 이 정도로는 이용자가 실제로 어떤 정보가 수집되는지 알기 어렵다는 비판이 나온다.

전문가들 "분리 사용하거나 가상 환경에서 실행해야"

보안 전문가들은 중국 기업의 소프트웨어를 사용할 때는 업무용 컴퓨터와 분리하거나, 가상 머신 같은 격리된 환경에서 실행하는 것이 안전하다고 조언한다. 또한 맥OS가 앱 격리(샌드박스)를 의무화하지 않는 구조이기 때문에 운영체제 차원에서 이런 수집을 막기가 어렵다는 지적도 나온다.

MuMu Player Pro를 설치한 사용자라면 ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 경로에서 날짜·시간 형태의 폴더가 생성되어 있는지 직접 확인해볼 수 있다. 현재까지 넷이즈 측의 공식 입장은 나오지 않고 있다.

한국정보기술신문 정보보안분과 오상진 기자 news@kitpa.org