MuMu Player (NetEase)가 macOS에서 30분마다 17개의 시스템 정찰 명령을 무단 실행

 (gist.github.com/interpiduser5)
1P by GN⁺ 3시간전 | ★ favorite | 댓글 1개
  • macOS용 MuMu Player Pro가 실행 중일 때 30분마다 시스템 정보를 자동 수집하며, 네트워크·프로세스·애플리케이션·커널 데이터를 포함
  • 수집 항목에는 로컬 네트워크 장치 목록, 실행 중인 프로세스 전체, 설치된 앱 메타데이터, hosts 파일, 커널 파라미터 등이 포함
  • 이 정보는 Mac의 시리얼 번호와 SensorsData 분석 플랫폼을 통해 연결되어 장치 식별에 사용
  • MuMu의 개인정보처리방침에는 이러한 수집 행위가 명시되어 있지 않으며, 에뮬레이터 기능 수행에 필요하지 않음
  • 반복적이고 비공개적인 데이터 수집으로 인해 투명성 결여와 잠재적 개인정보 침해 위험이 제기됨

시스템 데이터 수집 동작

  • MuMu Player Pro는 macOS에서 실행 중일 때 30분마다 자동으로 시스템 정보를 수집
    • 수집 주기마다 ~/Library/Application Support/com.netease.mumu.nemux-global/logs/ 경로 아래에 타임스탬프 폴더 생성
    • 각 폴더에는 17개의 명령 실행 결과가 저장됨
  • 실행되는 명령에는 arp -a, ifconfig, netstat, ps aux, sysctl -a, launchctl print system 등이 포함
    • 로컬 네트워크 장치(IP·MAC), 활성 네트워크 연결, 모든 실행 프로세스와 인자, 설치된 앱 목록 및 메타데이터, 커널 및 하드웨어 정보 등이 기록됨
    • ps aux 결과는 약 200KB에 달하며, 사용 중인 앱·VPN·개발 도구·보안 소프트웨어 정보가 포함됨
  • 각 수집 세션은 약 400KB의 데이터를 생성하며, 하루 평균 16회 실행됨

수집 데이터의 내용

  • 네트워크 관련 정보: arpAll.txt, ifconfig.txt, networkDNS.txt, networkProxy.txt, netstat.txt
  • 시스템 및 앱 정보: listProcess.txt, listApplications.txt, mdlsApplications.txt, sysctl.txt, launchctlPrintSystem.txt
  • 환경 설정 정보: /etc/hosts 파일, 마운트된 파일시스템, LaunchAgents/Daemons 목록
  • MuMu API 연결 테스트를 위한 curl 명령 결과도 포함됨
  • 각 세션마다 collect-finished 파일이 생성되어 수집 성공 여부를 기록

프로세스 목록 수집의 문제점

  • ps aux 명령으로 모든 프로세스의 전체 명령행 인자를 수집
    • 실행 중인 애플리케이션, VPN 설정, 개발 도구, 세션 토큰, 사용자 디렉터리 경로, 보안 소프트웨어 정보가 노출됨
    • 30분 간격으로 반복되어 사용 행태의 시간대별 기록이 형성됨

분석 및 장치 식별

  • MuMu는 중국의 분석 플랫폼 SensorsData를 사용
    • report/ 디렉터리에는 sensorsanalytics-com.sensorsdata.identities.plist 파일이 존재
    • 이 파일에는 $identity_mac_serial_id 항목으로 Mac 하드웨어 시리얼 번호가 포함됨
  • sensorsanalytics-super_properties.plist에는 앱 버전, 채널, UUID, UTM 소스 등의 마케팅 속성이 기록됨
  • 약 86KB 크기의 메시지 큐(sensorsanalytics-message-v2.plist)가 서버로 전송됨

개인정보처리방침과의 불일치

  • MuMu Player Pro의 공식 개인정보처리방침에는 다음 항목이 명시되어 있지 않음
    • ps aux, arp -a, /etc/hosts, sysctl -a, mdls 등의 실행
    • Mac 시리얼 번호 수집
    • 30분 주기의 반복 수집 작업
  • 따라서 실제 동작은 공개된 정책과 불일치

결론

  • MuMu Player Pro는 에뮬레이터 기능 수행에 불필요한 수준의 시스템 정보를 주기적으로 수집
  • 수집 데이터는 네트워크 구성, 프로세스 목록, 설치 앱, DNS 설정, 커널 파라미터 등으로 포괄적 시스템 프로파일을 형성
  • SensorsData 분석과 하드웨어 시리얼 번호 결합으로 지속적이고 상세한 장치 지문(fingerprint) 생성
  • 이러한 행위는 비공개적이며 반복적으로 수행되어, 최소한 투명성 결여의 심각한 사례로 평가됨
GN⁺ 3시간전  [-]
Hacker News 의견들

  • 이런 사건들을 보면 중국산 비디오게임이 서구권에 확산되는 게 걱정스러움
    아이가 Genshin Impact나 Black Myth: Wukong을 하면서 로컬 네트워크의 데이터를 중국으로 전송할지도 모른다는 생각이 듦
    서구 정부가 제대로 대응했다면 이미 이런 걸 금지했어야 했음

    • Epic Games도 Tencent가 일부 지분을 가지고 있고, 런처에 스파이웨어가 포함된 적이 있었음
      그런데도 “Tim Sweeney가 Valve와 Apple의 독점을 깨는 영웅”이라는 서사가 서구 기술 매체에서 여전히 인기가 많음
      관련 링크: Hacker News 토론, Reddit 분석글
    • 요즘은 커널 레벨 안티치트(KLAC) 때문에 더 심각해졌음
      이런 시스템은 네트워크 내부를 탐색하거나 권한을 확장하려는 사람에게는 꿈 같은 환경임
    • 새로 나온 Delta Force도 중국에서 개발되었고, 안티치트 목적으로 전체 하드디스크 스캔을 한다고 함
    • “중국 게임이 데이터를 빼간다”는 말에 과민반응할 필요는 없다고 생각함
      나는 VLAN으로 분리하고, 라우터에서 방화벽 로그를 철저히 관리함
      물론 이 모든 걸 중국산 라우터가 안전하게 처리해주길 믿고 있음
    • 그래서 나는 업무용과 게임용 PC를 완전히 분리해 사용함
      VLAN이나 게스트 Wi-Fi로 격리해도 완벽하지 않지만, 최소한 위험을 75% 정도 줄일 수 있음
      그래도 여전히 인터넷에 연결된 고성능 머신이 남아 있고, 블루투스·Wi-Fi 위치 추적 같은 위험은 존재함
      결국 국가 수준의 침입을 막는 건 개인이 감당할 수 없는 싸움임

  • 나는 중국 기업의 소프트웨어는 항상 샌드박스 안에서만 실행함
    모바일에서는 Android/iOS의 권한 제한을 활용하고, 데스크톱에서는 VM을 씀
    중국 본토의 대형 기술기업들은 사용자 프라이버시 감각이 거의 없고, 데이터를 팔아 수익을 내는 구조임

    • 최근 iOS에서 SoundCloud 앱을 설치했는데, “954개의 파트너와 데이터를 공유한다”는 문구가 떠서 놀랐음
    • 모바일에서 샌드박스를 어떻게 구현하냐는 질문이 많음
      WeChat 같은 앱을 설치할 때마다 찜찜한 기분이 듦
    • 요즘은 모든 앱을 격리해야 한다고 생각함
      기업들은 구분 없이 데이터를 수집하고, 앱이 작동하려면 항상 인터넷 연결이 필요하다고 주장함
      그래도 방화벽으로 LAN 접근을 막으면 파일 접근은 차단할 수 있음
    • “중국 본토”가 아니라 “미국 본토”도 마찬가지라는 농담이 나옴
    • “Mainland”라는 단어를 지워도 문장이 그대로 성립한다는 말로, 결국 모든 빅테크가 비슷하다는 풍자임

  • 중국 기업이 문제를 일으킬 때마다 댓글에는 항상 “미국 기업도 마찬가지”라는 반응이 반복됨
    너무 예측 가능한 패턴

    • 왜 그런 반응이 나오는지 생각해볼 필요가 있음
    • 실제로는 그 말이 사실이기도 함

  • 나는 교육용 소프트웨어와 VMware의 원격 VM 클라이언트를 Mac의 네이티브 VM 안에서 실행함
    다른 나라에서 데이터 수집을 악용하는 사례가 나와도 놀랍지 않음
    Apple Security에 보고해서 RCE나 C&C 공격 여부를 평가받는 게 좋을 듯함
    Apple이 Discord의 시스템 전체 데이터 수집을 제한하도록 자극이 되길 바람
    참고로 UTM.app은 OS 수준의 샌드박스를 활용해 Discord를 격리하기에 괜찮은 선택임

  • 이런 사건은 결국 “중국산 소프트웨어·하드웨어 = 윤리 부재”라는 이미지를 강화함
    사용자 정보를 얻기 위해서라면 어떤 수단도 가리지 않을 것 같음

  • 상황이 추하다고 느껴짐
    그래도 그들은 모든 걸 수집한다고 명시하긴 함
    MuMu Player 개인정보정책을 보면 알 수 있음
    세상을 이렇게 만든 현실이 그저 슬플 뿐임

    • “기타 네트워크/기술 정보”라는 표현이 너무 포괄적이라 실질적으로 모든 걸 포함할 수 있음
    • 그래도 ps aux 출력까지 수집한다는 내용은 명시되어 있지 않음

  • macOS가 프라이버시 중심이라고 하지만, 이런 행동이 여전히 허용된다는 게 놀라움
    앱 샌드박스가 선택사항이라면 의미가 없음

    • macOS는 프라이버시가 아니라 마케팅 중심
      “이 기능을 홍보할 수 있을까?”가 우선순위임
    • macOS를 프라이버시 중심 OS로 부르는 사람은 거의 없음
      iOS라면 모를까, macOS는 아님

  • NetEase가 만든 모바일 게임을 설치할 때마다 마음이 불편함
    특히 Dead by Daylight 모바일 버전에서 그랬음
    Persona 5X는 NetEase 작품은 아니지만 여전히 찜찜함
    Android라서 수집이 제한될 거라 기대하지만, 완전한 격리 방법이 있을지 궁금함

    • GrapheneOS나 Calyx 같은 보안 중심 OS를 고려해보라는 조언을 받음
    • 너무 걱정하지 말고 그냥 게임을 즐기라는 의견도 있음

  • 이런 스파이웨어를 만든 사람들은 최소 10년 이상 징역형을 받아야 한다고 생각함
    관련된 CEO들도 책임을 져야 함

  • 예전에는 모두 “Little Snitch” 같은 개인용 방화벽을 사용해서 이런 행위를 눈으로 볼 수 있었음
    요즘은 OS 보안 기능을 너무 맹신하는 게 아닌지 의문임

답변달기