TECH

마이크로소프트 리콜은 어떻게 동작하고 무엇이 문제인가?

베르두엥 2024. 6. 14. 23:38

 

마이크로소프트가 요즘 팍팍 밀어주는 Copilot+ PC의 가장 핵심 기능은 리콜(Recall)이다.

 

리콜은 무엇인가?

리콜은 마이크로소프트가 제공하는 과거 활동 추적 기능이다. 사용자가 컴퓨터를 사용하면서 했던 활동들을 기억하고, 사용자가 과거 활동에 대해 물어볼 경우 정확하게 그 질문에 해당하는 활동들을 다시 불러와주는 기능이다.

 

예를 들면 이런 것이다.

"내가 몇월 몇일에 뭘 검색했었는데... 뭐였더라...?" 라고 질문하면, 리콜은 "아 몇월 몇일에 사용자는 다음다음 것들을 검색했었어요. 몽땅 보여드릴게요."라면서 그날 검색 활동을 다 가져와준다.

리콜은 어떻게 동작하는가?

기본적으로 리콜이 활성화된 PC에서 윈도우는 사용자의 PC 화면을 5초에 한번씩 스크린샷으로 저장한다. 각 스크린샷은 2560 * 1440(4K) 기준으로 500kb 정도의 용량을 가진다. 리콜은 저장된 스크린샷의 모든 텍스트를 OCR(광학 문자 인식)을 통해 인식하고, 윈도우 상의 실행 상황, 사용자의 상호작용 정보도 SQlite Database에 저장한다.

 

256GB의 저장소를 가진 Copilot+ PC를 기준으로, 리콜은 최근 3개월 간의 사용자 화면 스크린샷을 몽땅 저장한다.

 

이상적인 상황(즉 마이크로소프트가 주장하는 상황)에서 리콜은 완전히 로컬하게 작동한다. Azure AI 코드를 이용하여 완전히 온디바이스로 구동되며, 인터넷 연결과 마이크로소프트 계정 연결을 요구하지 않는다.

 

무엇이 문제인가?

1. 드라이브 보안의 허술함

리콜이 저장하는 모든 데이터들은 사용자의 드라이브에 저장되는데, 이 드라이브의 보안성을 보장하기 위해서는 마이크로소프트 계정 연결이나 BitLocker 활성화가 강요된다. 그리고 윈도우11 자체가 윈도우 최초 설치 및 활성화부터 반드시 마이크로소프트 계정에 연결을 강요하므로 리콜 활성화에 마이크로소프트 계정이 필요하지 않다는 점은 의미가 없다.

 

또한 현재까지 알려진 바로는 리콜을 위해 저장된 데이터들은 User 폴더의 AppData에 저장되며, 이 폴더에 접근할 때 요구하는 것은 관리자 권한밖에 없다. 그냥 '나 관리자 맞음 ㅇㅇ'하면 리콜 데이터 폴더에 접근할 수 있다.

 

2. 리콜이 저장하는 데이터가 적절한 방식으로 암호화되어있지 않음

윈도우 실행 상황, 상호작용 정보 등의 민감한 정보들은 전혀 암호화되어있지 않은 상태인 'Plain Text' 상태 그대로 저장되어 있다.

스크린샷은 확장자를 포함하지 않은 상태로 저장되어 더블클릭으로 바로 볼 수는 없지만, 이를 웹브라우저나 이미지 편집기로 불러내면 바로 스크린샷을 확인할 수 있다.

 

3. 리콜 데이터가 저장된 폴더를 '복붙'으로 외부로 가져갈 수 있음

리콜 데이터가 저장된 폴더를 Copy하면 그냥 해준다... 그래서 자신의 3개월간의 활동 데이터를 아무나 복사떠서 USB에 넣어서 가져가 훔쳐볼 수 있는 것이다.

 

또한 해당 리콜 폴더가 적절한 방식으로 암호화되어있지 않기 때문에, 만약 BitLocker가 켜져있지 않은 컴퓨터의 경우에는 물리적으로 SSD 낸드를 적출해서도 데이터를 가져갈 수 있다.

 

4. 기업용 윈도우에서 직원 활동 감시 수단으로의 악용 가능성

현재 리콜이 기업용 윈도우에서 어떻게 동작하는지 확실하지 않지만, 지금까지 밝혀진 바(데이터 접근에 '너 관리자 맞음?'이라는 질문만 함')에 따르면, 기업용 윈도우의 관리자(즉 고용주)는 직원이 컴퓨터를 어떻게 사용하는지 100% 감시할 수 있다.

 

5. 모든 Copilot+ PC에서 기본적으로 리콜이 활성화된 상태인 윈도우가 설치됨

리콜은 윈도우 초기 설정 화면에서 활성화 여부를 결정할 수 없다. 사용자가 원치 않아도 리콜은 일단 실행된다. 이런 개인정보 관련하여 민감한 기능이 '옵트 아웃'으로 출시된다는 것이다.

 

마이크로소프트 리콜은 스파이웨어다.

리콜이 현재 동작하는 방식은 완전히 스파이웨어와 똑같다. 마이크로소프트가 개인정보 수집을 위해 악용할 수도 있고, 마이크로소프트가 그럴 생각이 없다고 하더라도 이 기능이 그대로 출시된다면 많은 해커들의 최우선 공격 대상이 될 것이다. 빈약한 리콜 관련 보안만 뚫으면 PC 사용자의 최근 몇개월 간의 모든 데이터를 탈취할 수 있다. 이 사람이 어떤 사이트를 방문하는지, 아이디와 비밀번호는 무엇인지, 은행계좌와 계좌 비밀번호는 무엇인지가 모두 리콜 데이터베이스에 저장되는데 이것만 탈취하면 되는 것이다. 해커들을 위한 스파이웨어를 마이크로소프트가 윈도우에 심어주는 것이나 다름 없다.

 

혹시나 Copilot+ PC를 구매하려는 사람이 있다면, 진짜 한번 그 판단을 제고해보기를 바란다.