사용자 정보 전송하는 MS 업데이트 배포 '논란'

성능 향상 목적의 사용자 정보 전송 업데이트...논란 여지 있어

 

마이크로소프트(MS)사에서 제공하는 Windows7 운영체제의 데이터 수집을 목적으로 하는 ‘진단 추적 서비스(Diagnostics Tracking Service)’ 업데이트 패치가 배포됐다.

 

▲ x64 기반 시스템용 Windows7 업데이트(KB3022345) (출처: 울지 않는 벌새)

 

해당 업데이트는 x64 기반 시스템용 Windows7 업데이트(KB3022345)로, Windows 8.1, Windows Server 2012 R2, Windows 7 Service Pack 1(SP1), Windows Server 2008 R2 SP1 운영체제 환경에서 진단 추적 서비스를 통해 Windows 기능상의 문제와 관련된 데이터를 수집한다.

 

해당 업데이트를 설치한 경우 시스템 시작시 진단 추적 서비스를 자동 실행한다. 자동 실행된 윈도우 진단 추적 서비스는 Windows 구성요소의 기능적인 문제에 대한 정보를 특정 IP서버로 암호화해 전송하는 동작을 수행한다.

 

진단 추적 서비스는 Windows 10 운영체제에서 기본적으로 제공하고 있는 사항이다. 진단 추적 서비스가 특정 IP로 전송하는 상세 기능은 다음과 같다.

 

사용자의 장치와 응용프로그램에 대한 정보를 수집하면서 호환성을 향상시키는 목적으로 사용한다. 음성처리 향상 등의 목적을 위해 음성을 텍스트로 변환하는 기능(Speech-to-text)을 사용하는 사용자의 음성정보를 수집하기도 한다.

 

또한, 사용자가 파일을 열 때, 그 파일을 열기 위해 사용되는 애플리케이션 정보와 해당 파일을 여는데 얼마만큼의 시간이 소요되는지를 수집할 수 있고, 문자 자동 완성 기능과 맞춤법 체크를 위해 사용자가 입력하는 텍스트 문자를 수집한다.

 

특히, 개인의 음성정보를 수집한다는 점에서 사용자에 따라 민감하게 받아들일 수도 있고, 어떤 서비스에서 입력된 텍스트를 전송하는지에 따라 논란의 소지가 있을 것으로 보인다.

 

그러나 해당 업데이트는 자동 업데이트를 통해 설치되지 않는 옵션 항목에 포함된 것이며, 사용자의 선택에 의해 다운로드 받을 수 있다. 사용자의 선택이나 결정 없이 정보를 전송하는 것이 우려되는 사용자들은 PC의 ‘설치된 업데이트 목록’에서 KB3022345 패치를 찾아 삭제하면 된다.

이와 관련 보안전문 블로거 ‘울지 않는 벌새’는 “현재 해당 업데이트는 Windows 운영체제의 문제점을 수정하는 기능이 포함된 것이 아닌데다가 필수 업데이트도 아니기 때문에 설치하지 않는 게 좋을 것”이라고 전했다.

 

출처: 보안뉴스 http://www.boannews.com/media/view.asp?idx=46180&kind=1&search=title&find=%BB%E7%BF%EB%C0%DA+%C1%A4%BA%B8+%C0%FC%BC%DB%C7%CF%B4%C2+MS+%BE%F7%B5%A5%C0%CC%C6%AE

민세아 기자 boan5@boannews.com