제목을 정하기가 힘들어 참 고민했습니다.
어떻게 해야 더 많은 분들께 보여드릴 수 있을까...
스크롤이 좀 깁니다. 이 포스팅은 오늘아침 모 포탈 사이트 대문에 걸린 "스마트폰 보안과 관련" 된 우리나라 언론의 기사와, 이 기사에서 차용한 영문 기사의 원문이 어떻게 다른지 보여드리고자 하나하나 직접 번역하고 원문을 그대로 복사해서 넣었습니다.
아무리 스마트폰 보안 문제가 심각하다고 하더라도, 없는 단어까지 넣어가며 속여서는.... 안 되겠지요...
이제 시작하겠습니다.
모두들 얼마전, 한 언론사... 차마 언론사라고 높여 불러 주기도 싫네요. 한 언론사에서 해외 언론 기사를 기자가 영어 실력이 부족해서 잘못 해석한건지, 아니면 일부러 오역한건지 거기까진 모르겠지만...
하여튼 갤럭시 S의 수퍼 아몰레드는 아이폰이 가진 IPS 패널을 죽일 정도로 악마적인 품질을 내세우고 있다. 라고 한국 언론사들이 대대적으로 광고했던 그 카피 말입니다. 그거 사실 잘 읽어보면, IPS 패널을 죽이려고 드는 수퍼 아몰레드는 기존 아몰레드가 가지고 있던 흡혈귀와 같은 단점을 제거한 것이 특징이다 입니다.
게다가, 우리나라 말과 같이 영어도 비슷한 어감을 가지고 있어서, 좋으면 좋다고 말하지, 일부러 아쉬운 척, 질투나는 척 좋아도 싫다 라고 표현하지 않습니다. vampiric 이 대체 어떻게 해석하면 악마적 품질이 되고 이게 아주 우월한 느낌으로 포장이 되는지 참 신기할 따름입니다만, 뱀파이어 (흡혈귀) 는 서양에서는 당연히 좋지 않은 의미이고, 또 한국산 기자가 한국 정서에 맞게 변환(?) 하는 과정에서 악마라고 표현한 것이 실제 미국 언론에서 devil 수준의 것으로 나왔다면.. 이건 진짜 부끄럽고 쪽팔린 표현인 겁니다.
그런데, 오늘 또 이런 기사가 하나 나왔네요.
< "쉿! 스마트폰이 당신 정보 떠벌린다" - 서울신문 >
특별히 기자님의 실명은 비밀로 해 두도록 하겠습니다.
이 기사는 미국의 한 언론사에 실린 기사를 보니, 미국에서 활동하는 화이트해커가 미국 통신사의 보안 헛점을 찾아냈다는 기사입니다. 그런데 유난히 스마트폰의 보안 문제에 대해 초점이 맞춰져 있었지요.
그런데 왠지 찜찜하더군요. 애플과 블랙베리가 언급되는 부분에서 말이지요.
그래서 처음으로 제가 직접 기사 원문을 검색해 봤습니다.
< "Hack into a Smartphone? It's easy, security experts find" - LAT>
"스마트폰 해킹은 무척 쉽다. 정보 보안 전문가가 찾아낸 것"
읽어봤습니다. 그저 황당하고 답답하기만 합니다.
" 전화번호만으로 당신의 이름·주소·직업을 알아낼 수 있다. 이메일이나 당신이 자주 가는 곳, 심지어 현재 당신의 위치도 예외가 아니다."
<서울신문>
미안하게도, 원문 기사엔 이런 내용으로 기사가 쓰여 있지 않습니다.
그리고, 기사를 제대로 읽어 보셨다면 아시겠지만, 전화번호로 이름을 알아내는 것은 가능했지만, 이름으로 주소를 알아낼 순 없었습니다.
두 전문가는 AT & T와 T모바일의 발신자번호 확인 서비스(콜러ID) 시스템에 몰래 들어가 특정 전화번호로 허위 발신을 유도하는 프로그램을 작동시키는 방법으로 한 명의 가입자가 통화한 수천명의 이름과 전화번호를 알아냈다. 동시에 가입자들의 통화 당시 위치와 통화시간도 빼냈다.
<서울신문>
Once they have a phone number — yours for instance — they can easily determine your name by taking advantage of a vulnerability in the Caller ID system. Using special software, they can "spoof" a call — that is, make a call that appears to the phone company as though it's coming from your number. They can then call themselves using your number and watch as their Caller ID device lights up with your name.
만약 그들(해커)이 전화 번호를 하나 알고 있다면 (당신의 전화번호라고 예를 들어 봅시다.) 그들은 CID 서비스가 가진 취약점을 이용해 당신의 이름을 알아낼 수 있다.
특별한 프로그램을 이용하여 그들은 가짜 통화를 만들 수 있다. 이것은 당신의 전화번호가 직접 전화를 건 것 처럼 통신사 시스템을 속일 수 있는데, 이것을 통해 통신사 시스템이 이 프로그램에 속아 해커들의 전화로 직접 전화를 걸게 만들 수 있다.
그리고 해커들은 CID를 통해 당신의 번호와 같이 나타나는 당신의 이름을 알아낼 수 있다.
Attackers could theoretically do this with thousands of numbers to create their own personal mobile phone book.
해커들은 이론적으로 이 작업을 수천개의 번호를 이용해 자신들(해커들)만의 전화번호보를 만들 수도 있다.
<LAT 원문>
서울신문의 기사와 원문 기사의 번역본을 한번 비교해 보시기 바랍니다.
실제 CID 서비스를 이용해 가입자의 이름을 알아낸 것은 사실입니다. 그러나 여기에서 정확히 알아야 할 것이 있습니다.
SK텔레콤의 "레터링" 서비스를 아십니까? 상당수의 SK텔레콤 가입자들이 사용하고 계신 것인데, 전화를 걸면 상대방 전화기에 내 휴대폰 번호가 뜨는 것이 아니라, 내가 미리 설정한 문구가 뜨게 만드는 것입니다.
예를 들면, 행복하세요~ 라던지, OOO입니다. 등의 문장이 뜨도록 할 수 있는 것이죠.
해커들은 바로 여기에서 이름을 알아낸 것입니다. (Caller ID device lights up with your name) 때문에 가입자가 본인의 이름을 제대로 적어놓지 않고, 닉네임(별명) 을 적어놓는다던지, 또는 다른 문구를 적어 놓았을 때에는 소용이 없는 것이죠.
게다가 이름과 번호 두 가지가 매치된 것 만으로는 아무것도 할 수 없습니다.
그리고, 동시에 가입자의 위치와 통화 시간을 빼냈다고는.. 언급이 되어 있지 않습니다.
이들은 같은 작업을 반복해 가입자들의 이동경로와 자주 드나드는 곳에 대한 정보도 얻어냈다.
<서울신문>
But it doesn't stop there: Once DePetrillo and Bailey have figured out that your name is the one associated with your number, they can query the cellular network to see where your phone is at that moment. After enough time, this bit of digital spycraft will yield a fairly clear picture of where you go and when.
그러나 (해커들의 작업은) 여기에서 끝나지 않았다.
DePetrillo와 Bailey가 번호에 묶인(associated) 당신의 이름을 알아냈다면, 이들은 통신사 네트워크에 당신의 위치를 요청해 알아낼 수 있다.
조금의 시간만 더 투자한다면, 이 스파이 프로그램은 당신의 이동 경로를 만들어 보여줄 수 있게 된다.
<LAT 원문>
우선 앞뒷말 다 짤라 먹은 것이라는 것부터 알 수 있습니다.
대충 통신공학에서부터 이동통신 시스템 정도를 간단하게 개론 정도라도 배운 사람이면, 지금 기자가 얼마나 이 분야에 대한 지식이 전무한 상태에 있는지 금방 알게 됩니다.
같은 작업을 반복한 것이 아니라, 통신사 시스템이 가지고 있는 가입자 위치 정보를 번호를 통해 요구할 수 있기 때문에, 스파이 프로그램이 이를 가져올 수 있는 것입니다.
이건, 스마트폰이기 때문에 가능한 것이 아니라, 일반 휴대폰 모두에서 가능하며, 전 세계 모든 이동통신 망이 똑 같이 취약합니다.
휴대폰이 네트워크에 연결되어 전화를 사용할 수 있게 되는 과정은 다음과 같습니다.
휴대폰 전원이 켜집니다. 휴대폰이 전파를 탐색하고 전파를 잡습니다. 그럼 휴대폰은 "나 여기 있어!" 라고 기지국에 알려 줍니다. 휴대폰은 기지국이 어디에 있는 지 사실 모릅니다. 그냥 일단 뿌리고 봅니다.
기지국이 신호를 받습니다. 그리고 나 여기에서 신호 받았어. 라고 통신사 시스템에 알려줍니다.
이제부터는 휴대폰 사용자가 휴대폰을 사용할 때 요금 계산을 해야 하고, 또 휴대폰 사용자의 통화를 연결해야 하기 때문에, 휴대폰이 어느 기지국에 연결이 되어 있는지 시스템이 확인해야 합니다. 때문에 시스템은 해당 기지국의 위치를 확인하고, 계속해서 휴대폰이 다른 장소로 옮겨가는지 확인합니다.
휴대폰이 위치를 옮겨 다른 기지국으로 자리를 잡습니다. 역시 휴대폰은 지가 어디에 있는지 모르기 때문에 아무데나 "나 여기 있어~!" 라고 신호를 뿌립니다. 새로운 기지국이 신호를 받고 시스템에 알리죠. "내 나와바리에서 뉴페이스 발견" 이라고요.
그럼 시스템은 본인이 가지고 있던 정보와 대조하여 위치가 변경되었음을 확인하고 다시 새로운 통화를 그 쪽 기지국으로 돌려 주는 것입니다.
이를테면, 시스템이 교환기 역할을 하기 위해 휴대폰의 위치를 파악하는 것입니다.
이 특징을 이용해 분실 휴대폰 위치찾기 라던가 친구찾기 등의 서비스를 사용할 수 있는 것이고, 사용자의 위치는 네비게이션처럼 정확하게 나오는 것이 아니라, 내 기지국 나와바리 반경 한 20M 쯤 어딘가에 있을 거야. 라는 식으로 두리뭉실하게 나타납니다.
기지국은 단지 자신의 나와바리에 휴대폰이 있기만 하면 되거든요. 게다가 정확한 좌표를 알아낼 수 있는 기술도 아직 빈약합니다.
그리고 여기에서는 GPS가 사용되지 않습니다. 절대 사용되지 않습니다. 연결된 기지국의 위치가 나오는 것일 뿐, 그리고 GPS는 단지 수신만 할 뿐, 내 위치를 어딘가로 전송하는 기능을 가지고 있지 않습니다. 이 경우에는 내 휴대폰 또는 스마트폰에 내 GPS 신호를 전송해 버리는 악성 목적을 가진 해킹 프로그램이 설치되어야만 합니다.
게다가 이것은 휴대폰 데이터망을 이용해 전송되므로, 이유없는 데이터 사용량이 발생하고, 이것은 금방 가입자가 이상하다는 점만 포착하면 잡을 수 있습니다.
그러나, 지금 해커들이 한 기술은 사용자의 단말기에 악성 프로그램을 설치한 것이 아니라, 단지 휴대폰 네트워크 망 수준에서 위치를 알아낸 것이기 때문에, 굳이 누구 잘못이라고 할 수 없습니다.
단지, 문제가 되는 점이라면 이 위치 정보를 제공하려면 사용자의 동의를 거치거나 하는 과정이 생략되었거나, 또는 있더라도 보안 취약점을 통해 해커들이 이를 뚫어낼 수 있는 프로그램을 만들 수 있었다는 점이 문제인 겁니다.
따라서 스마트폰의 잘못이 아니라. 통신사의 잘못인 것입니다.
게다가 CID를 통해 알아낸 이름이 CID와 묶여 있는 기능임을 명확하게 설명하고 있습니다. associated 때문이지요. 의역할 필요도 없고 문장이 가진 뜻 그대로 이해하시면 됩니다.
아마도 스마트폰에서 CID 닉네임을 변경할 수 있는 기능이 있는 것이 아닌가라고 추측이 됩니다.
또는 스마트폰에서는 SNS 기능 (소셜 네트워크 기능) 을 통해 메신저 사용 시 상대방의 전화번호가 내 전화번호부에 있다면 상대방의 이름이나 별명 등을 확인할 수 있습니다. 분명 보안 취약점은 취약점이지만, 이것으로 나의 모든 것을 알아낼 수는 없다는 것이 제가 말씀드리곡자 하는 주된 요지입니다.
대부분의 스마트폰이 위성항법장치(GPS)를 내장하고 있기 때문에 기존 휴대전화에 비해 찾아낼 수 있는 위치정보가 많았다는 것이 이들의 설명이다.
<서울신문>
정말 답답하게도.. 이런 내용이 없습니다. 기사 어디에도 GPS의 G 도 나오지 않습니다.
여기서부터는 기자가 아주 상상의 나래를 펼치고 있습니다.
셀룰러 네트워크와 GPS는 전혀 서로간의 관련성이 없습니다.
한 가지 추측이 가능한 것은. 사실, 우리나라의 휴대폰 제조사들이 우리나라에서 팔리는 내수용 휴대폰들에 GPS를 넣지 않았던 것과 연관이 있을 것으로 추측해 볼 수 있습니다.
재미있게도, 우리나라는 A-GPS라고 해서 GPS 수신기가 없이 이동통신망에 연결이 되어 있을 경우, 이동통신 기지국에게 "내 위치가 어디죠?" 라고 물어볼 수 있는 조금 황당한 "유료" 서비스가 있습니다.
모두들 네비게이션을 사용해 보셔서 아시겠지만, GPS는 공짜입니다. 그런데 정밀도도 떨어지는 (기지국을 이용해 위치를 확인하는 정밀도가 떨어지는 이유는 위에 적었습니다.) 기지국에게 "저.. 죄송하지만.. 제 위치좀 알려 주세요.. 아참 얼마죠?" 하고 물어보면서 돈을 내고 내 위치를 물어보는 서비스까지 만들어내는 기업들의 아이디어가 참으로 놀랍기만 합니다.
그러나 안타깝게도, 우리나라에 출시된 외국산 스마트폰들이 GPS를 내장하고 있었고, 설상 가상으로 삼성, LG 등이 외국에 수출하는 스마트폰 단말기들에는 GPS가 내장되어 있었음에도 불구하고 우리나라에서는 빠지는 경우가 많아 고객 불만이 커지자 부랴부랴 넣게 된 것인 거죠.
때문에... 다음 해석은 읽으시는 분들께 맡겨 드리겠습니다만, 뭐... GPS가 나쁜 놈이다.. 라고 인식을 시켜서.. GPS를 달고 있는 외국산 스마트폰은 나쁜 놈들이다... 라고 각인시키려는..................
에휴............
LAT는 애플·구글·리서치인모바일(RIM) 등 휴대전화 제조업체들이 소프트웨어 공급을 위해 사용하는 오픈마켓 '앱스토어'에도 심각한 보안 결함이 있다고 강조했다. 올려지는 프로그램에 대한 사전검증이 쉽지 않아 해커들이 악성 프로그램을 뿌리는 데 멋대로 사용할 가능성이 크다는 주장이다. 실제 화이트해커 타일러 실즈는 'TXS'라는 악성 애플리케이션을 만들어 앱스토어에 올린 뒤 다운로드를 받은 사용자들의 이메일과 문자메시지를 빼냈다. 사용자들의 스마트폰을 원격조종할 수 있는 '좀비폰'으로 만들어 버린 셈이다.
<서울신문>
All of the major smart-phone makers have created online markets where users can download any of tens of thousands of small programs — called apps. On the iPhone, there's the App Store; for Google Android, there's the Android Marketplace; and for BlackBerry, there's the App World.
메이저 스마트폰들은 각자 사용자들이 다운로드 받을 수 있는 수만개의 프로그램을 가진 온라인 마켓을 가지고 있다. 이 프로그램들이 모여 있는 시장을 애플에서는 앱스토어, 안드로이드는 안드로이드 마켓플레이스, 블랙베리는 앱 월드라고 부르고 있다.
Those stores have varying levels of policing. Apple certifies the security of every app it approves for its store — there are now 250,000 of them — but acknowledges that some malicious apps can occasionally sneak through. RIM and Google largely leave users to protect themselves from the bad guys.
이러한 마켓들은 서로 다른 정책을 가지고 있어서, 애플은 모든 앱들의 보안성을 확인해서 검증된 앱만을 마켓에 등록시킨다. 그러나 가끔 악성 앱들도 종종 등록되고는 한다. 블랙베리와 안드로이드는 이러한 정책이 없어 사용자에게 무분별하게 악성 프로그램들이 노출되어 있는 상황이다.
<LAT 원문>
여기에도 기자의 상상 해석은 계속됩니다. 이 기사 어디에도 "앱스토어에 보안 결함이 있다고 강조" 하지 않았습니다.
단지 각각의 앱스토어에서 정해놓은 정책이 다르기 때문에 (Those stores have varying levels of policing) 보안상의 위험이 있는 앱에 사용자가 노출될 수 있고, 애플 앱스토어의 경우에는 그나마 애플에서 앱 검수를 거치지만 그래도 이것이 완벽하지는 않기 때문에 사용자가 불법 앱에 노출될 확률이 있다고 이야기하고 있습니다.
이 이후에는 불법 앱을 통해 이루어 질 수 있는 상황에 대한 "재연" 이 이어집니다. 실제 정보를 취득했다에 대해서 공개된 것은 아무것도 없고, 단지 보안 담당자와 가능한 현실에 대한 것을 시뮬레이션 해 본 뒤, 이런 일이 실제로 일어날 수 있음을 경고하고 있습니다.
그리고 블랙베리와 안드로이드 마켓은 애플과 달리 안전장치가 전혀 없고, 또 사용자가 신뢰할 수 있는 제작자가 만든 앱을 가려 사용할 줄 아는 부분도 필요하다고 밝히며 마무리하고 있습니다.
(이 이전에 shield 라고 가명을 사용한 보안 전문가와 shield'a app으로 이름붙인 해킹 프로그램을 블랙베리에 설치했을 때 해커가 취득할 수 있는 정보에 대해 재연해 보는 과정이 나와 있습니다.)
Though Shields' app is intended to be a case study on BlackBerry security, he said an attacker could easily hide similar features in an app masquerading as something else, like a program to do online banking. If a user unwittingly downloaded the phony banking app, his or her device could quickly become compromised.
비록, shields's app이 블랙베리의 보안(취약성을)을 겨냥한(하여 만들어진) 것이지만, 그 (보안 전문가)는 인터넷 뱅킹 프로그램 등에 해커가 비슷한 기능 (해킹)을 하도록 또 다른 앱에 아주 쉽게 추가할 수 있다고 이야기했다. 만약 사용자가 무심코 가짜 인터넷 뱅킹 앱을 다운받았다면, 그의 휴대폰은 위험에 빠지게 되는 것이다.
Because smart phones are only a few years old, Shields said, the art of smart-phone defense is still catching up to where the PC has been for years.
shield는 말한다. "스마트폰은 아직 대중화된지 몇년 되지 않았기 때문에 스마트폰의 보안 (영역은) PC의 그것에 비해 아직 많이 뒤쳐져 있습니다.
"We're still in the late '90s when it comes to security on mobile devices," Shields said. "It's akin to the older days before people knew to put antivirus software or firewalls on their computers."
우리는 아직 휴대폰의 보안 부분에 있어서는 아직 90년대 후반에 머물러 있는 수준입니다." "막 우리가 컴퓨터에 안티바이러스 백신 프로그램을 설치하는 것에 대해 알고 있던 때보다 조금 더 이전과 비슷한 시기죠"
For their part, RIM and Google say they have built some precautions into their phones to help users determine whether an app is legitimate. BlackBerry phones offer a set of controls that allow users to prevent apps from accessing some of the device's functions — such as its messaging and telephony features.
림(블랙베리)와 구글(안드로이드)에 있어서, 그들은 사용자가 다운받는 앱이 합법적인지를 판단할 수 있도록 돕는 방법을 만들었다고 말한다. 블랙베리 단말기의 경우에는 다운받은 앱이 시스템의 중요 요소에 접근하는 것을 사용자에게 경고하여 이를 허용할 것인지를 확인하도록 되어 있다.
Similarly, before a user loads an app from Google's Android store, the device will display a list of the data to which it has access. If a tick-tack-toe game is asking to access your text messages, that could be a warning sign.
비슷하게, 구글의 안드로이드 마켓에서는 사용자가 마켓에서 앱을 실행하기 전에 단말기에서 앱이 실행되기 위해 사용하고자 하는 요소를 보여줄 수 있도록 되어 있다. 예를 들어 틱-택-토 게임이 당신의 (안드로이드 폰에서) 문자메시지 영역을 참조해야 할 것을 요청한다면, 이것이 바로 경고 메시지가 될 수 있는 것이다.
Google, RIM and Apple all say they remove offending apps from their stores when they become aware of violations. Still, they say, it's up to users to be vigilant when downloading apps — and to judge whether they're coming from a trusted software maker.
구글, 림, 애플은 모두 자신들이 위협 요소가 있는 앱의 존재를 알게 되면 자신들의 마켓에서 해당 앱을 삭제한다고 말하고 있다. 그러나 동시에 그들은 사용자들에게 다운로드할 앱이 문제가 있는 앱인지 아닌지에 대한 판단하고, 자신들이 받으려는 앱이 신뢰할 수 있는 제작자에게서 만들어진 것인지를 판단하는 것은 사용자 본인에게 달려 있다고 이야기한다.
<LAT 원문>
이렇게 마무리짓고 있습니다.
실제 화이트해커 타일러 실즈는 'TXS'라는 악성 애플리케이션을 만들어 앱스토어에 올린 뒤 다운로드를 받은 사용자들의 이메일과 문자메시지를 빼냈다. 사용자들의 스마트폰을 원격조종할 수 있는 '좀비폰'으로 만들어 버린 셈이다.
<서울신문>
위와 같은 내용도 절대 없단 말입니다.
Once installed on your BlackBerry, Shields' app would let him read your text messages, listen to your voice mails and even turn on your phone's mic while it's in your pocket.
블랙베리에 인스톨되면 shield의 앱은 그로 하여금 당신의 문자메시지를 볼 수 있게 하거나 당신의 음성메시지를 들을 수 있고, 당신의 주머니에 있는 상태로 마이크를 켜게끔 할 수도 있다.
<LAT 원문>
주목하실 점은 would 의 추측형 표현을 사용했지, let 만을 단독으로 사용한 것이 아니라는 점입니다.
번역한 기자의 영어 실력이 무척 의심됩니다....
그리고 마지막으로
오픈마켓 '앱스토어'에도 심각한 보안 결함이 있다고 강조... 하지 않았습니다.
참... 정말 이젠 개개인 한명 한명이 똑똑해져야 하는 시기가 온 것 같습니다. 아무리 여론 몰이를 하려고 해도 사실은 사실 그대로 전달해야 하는 것이 중요한 것 아닐까요?
평소 한번도 외국 언론사의 기사와 이를 번역한 우리나라의 기사를 비교해서 읽어본 적이 없는데.. 갑작스럽게 참 부끄러워지기 시작했습니다.
정말.. 예전에는 전자통신 분야에서 일본이 갈라파고스였다면 (현재에도 일본만의 독자적인 CDMA 방식이라던지 일본만의 독자적인 HDTV 표준인 하이비전 등 일본내에서만 통용되는 기술들이 있습니다.)
지금 우리나라는 IT 갈라파고스인 셈입니다. 그것도 뛰어난 좋은 제품들도 아니고, 아주 완전히 다른 개념의 독특한 제품도 아닌 그저 누군가를 띄워 주고, 누군가는 이 땅에 들어오지 못 하도록 하려는 그런 갈라파고스 말입니다.
정말.. 이렇게 뻔한 일을 저지르고도 기사라고 내보내는 작태가 마치 우리 국민들을 바보로 아는 듯 해서 무척 기분이 나쁜 오전이었습니다.
PS. 아 한 가지 주목하실 점이 있는데요. 애플 블랙베리 안드로이드 다 나오는데... 삼성은... 없네요.... 갤럭시S... 어쩔 거냐...?
공감되셨다면, 또는 더 많은 분들이 읽어야 한다고 생각되셨다면, 아래의 daum view 버튼 손가락을 한번만 눌러 주세요. 더 많은 분들이 보실 수 있습니다.
감사합니다^^
[용어정리입니다.]
