“텐센트 중국어 입력기에 심각한 보안 취약점” 보안 업체

소거우 입력기, 사용자 입력한 문자 정보 중국 서버로 송신
암호화 취약, 문자 정보 복원할 수 있어…업데이트 권장

전 세계에서 가장 많이 사용하는 중국어 입력 프로그램에 심각한 보안 취약점이 발견됐다는 보고서가 나왔다.

캐나다 토론토 대학의 사이버 보안 연구팀인 시티즌 랩은 텐센트의 중국어 입력 프로그램인 ‘소거우(Sogou·搜狗) 입력기’가 중국 본토의 서버로 사용자의 문자 입력 정보를 전송한다고 이달 초 밝혔다(보고서 링크).

또한 이 입력기는 사용자가 입력한 문자 정보(키 입력 값)의 암호화 방식에 취약성이 있어 네트워크 신호를 도청해 이 신호를 해독할 경우 문자 내용이 복원될 수도 있는 것으로 나타났다.

소거우 입력기는 중국의 인터넷 대기업 텐센트가 배포하는 중국어 입력 프로그램이다. 소거우 홈페이지에서 무료로 다운로드받을 수 있다. 키보드의 영어 알파벳 자판을 통해 중국어 병음을 입력하면 중국어(한자)로 변환해준다.

또한 이 밖에 몇몇 편의 기능을 제공해 컴퓨터나 전자기기에 중국어를 입력할 때 거의 필수적으로 요구된다. 바이두 입력기 등을 제치고 전 세계 중국어 입력기 시장 점유율 70%을 차지하며 월간 사용자 수 4억 5천만 명을 보유하고 있다.

전 세계에서 중국인이 가장 많이 사용하지만 미국, 대만, 일본 등지에서도 사용자가 있으며 한국에서도 중국어 학습자 등을 중심으로 활용된다.

텐센트는 데스크탑 운영체제를 위한 MS 윈도 버전은 물론 구글의 스마트폰 운영체제인 안드로이드, 애플의 iOS 버전의 소거우 입력기도 제공하고 있다.

시티즌 랩은 운영체제별 소거우 입력기를 분석한 결과, 모든 버전에서 문자 입력 정보 등 민감한 이용자 데이터 보호에 취약점을 발견했다며 중국뿐만 아니라 미국과 대만, 일본, 베트남 이용자들도 영향을 받을 수 있다고 밝혔다.

다만, 현재는 시티즌 랩의 보고를 받은 텐센트에서 해당 취약성을 보완한 최신 버전을 제공해 이를 설치하면 문제가 해결된다.

8월 말 기준 최신 버전은 MS윈도 13.7, 안드로이드 11.26, iOS는 11.25이다.

그러나 최신 버전을 설치하더라도 중국 본토로의 정보 전송은 소거우 입력기 앱 자체에 탑재된 기능이므로 여전히 중국 당국에 의한 정보 유출 위험성은 존재한다고 시티즌 랩은 설명했다.

이 업체는 이번 업데이트 버전이 나오기까지의 우여곡절도 소개했다.

해당 취약점을 발견하고 지난 5월 말 텐센트 측에 이 사실을 알렸지만, 약 한 달 후인 6월 25일 텐센트의 보안담당부서에서 취약성의 존재를 부정하는 답변이 받았다는 것이다.

이에 따르면 텐센트 측은 첫 번째 답장을 보내고 다시 하루 만에 두 번째 답장을 보내 “이전 답장은 잘못됐다”며 취약성의 존재를 시인하는 한편 시티즌 랩에 “(이 사실을) 공개하지 말아달라”고 부탁했다.

그러고는 다시 약 한 달 뒤인 7월 20일에야 업데이트 버전을 발표했다.

시티즌 랩은 그사이 텐센트 측 개발진과 보안에 관한 연락을 수 차례 주고받았으나 처음 취약성을 통보한 후 시티즌 랩의 이메일 도메인이 중국의 인터넷 차단벽에 의해 차단돼 소통에 어려움이 있었다고 밝혔다.

결국 업데이트 버전의 안전성에 대한 최종 검증이 끝난 것은 7월 29일이었다.

한편, 시티즌 랩은 취약점이 해결됐더라도 소거우 입력기를 통해 네트워크로 송신되는 신호는 소거우 운영자와 데이터를 공유받는 제3자들이 여전히 접속할 수 있다며, 긴밀한 보안성이 요구되는 이용자는 사용에 주의하라고 당부했다.