세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
인기 높은 소프트웨어 개발 키트서 치명적 취약점 발견
  |  입력 : 2018-04-19 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
앱 개발자들 널리 사용하는 인기 SDK들에서 취약점 다수 나와
외부 서버로 개인정보 전송할 때 암호화 사용하지 않아


[보안뉴스 문가용 기자] 절찬리 사용되고 있는 서드파티 광고 소프트웨어 개발 기트(SDK)에서 사용자 정보가 유출되고 있는 것을 러시아의 보안 업체 카스퍼스키가 발견했다. 원래는 데이팅 애플리케이션을 분석하는 중이었는데, 사용자 데이터가 암호화되지 않은 채 어디론가 전송되는 것을 수차례 발견하면서 조사의 방향이 바뀌었다고 한다.

[이미지 = iclickart]


추적해보니 광고 네트워크에서 널리 사용되는 SDK들에서 뭔가 이상한 점들이 발견됐다. 문제가 된 SDK들 중 일부는 전 세계에 수억 명의 사용자를 보유하고 있는 것이기도 해, 꽤나 큰 프라이버시 침해가 우려된다고 카스퍼스키는 발표했다.

먼저 SDK란, 여러 개발 도구들이 합쳐진 패키지로 보통 무료로 제공된다. 개발자들이 앱에 특정 기능을 빠르게 추가할 수 있게 해주는데, 이 때문에 개발자들은 시간을 아껴 보다 더 중요한 임무에 집중할 수 있게 된다. 그러나 SDK에 보안 구멍이 있다면, 개발자도 모르게 앱에 취약점을 덧입히는 것과 같은 효과도 발생한다.

카스퍼스키가 추적한 SDK들의 경우 사용자들의 데이터를 수집해, 그것을 바탕으로 사용자가 관심을 가질 법한 광고를 노출시키는 기능을 앱에 더해준다. 즉 앱 개발자들이 좀 더 확실하게 돈을 벌 수 있도록 하는 역할을 해주는 것인데, 이 때문에 이 SDK들은 개발자들 사이에서 널리 활용되고 있다.

이 SDK들은 보통 수집한 데이터를 널리 사용되는 광고 네트워크 도메인들로 전송해 표적 광고가 보다 정확히 사용자에게 도달하도록 한다. 그런데 문제는 이 민감한 데이터가 암호화 과정 없이, HTTP로 전송된다는 것이다.

카스퍼스키는 “데이터가 쉽게 중간에 가로채기 당할 수도 있고, 심지어 조작될 수도 있다”며 “데이터의 주체는 각종 악성 광고에 노출될 가능성이 높아진다”고 설명한다. 또한 “사용자에게 정상적인 듯이 보이는 악성 멀웨어를 설치하도록 속일 수도 있다”며, 이 사태가 얼마나 위험한지를 이어 설명했다.

심지어 한 SDK의 경우 데이터 분석 전문 업체로 디바이스 기기 종류, 사용자 생년월일, 사용자 이름, 위치 정보, 앱 사용과 관련된 정보 등을 데이터 분석 회사로 전송하기도 했다. 이는 페이스북과 캠브리지 애널리티카(Cambridge Analytica)의 악몽을 떠올리게 하는 부분이다.

이렇게 보안에 있어서 허술한 서드파티 코드를 사용하고 있는 데이팅 앱은 생각보다 많았다고 한다. “앱 하나 당 평균 40개의 서드파티 모듈을 사용하고 있었어요. 즉 앱의 대부분이 서드파티 요소들을 배합해 만든 것이라는 뜻이죠. 그런데 이 요소들에서 심각한 취약점이 발견된 겁니다.” 카스퍼스키의 로만 우누첵(Roman Unuchek) 연구원은 블로그를 통해 “어떤 앱은 90%나 서드파티 코드로 구성되어 있었다”고 설명한다.

“또한 서드파티 SDK들이 데이터를 전송할 때 주로 사용하는 GET과 POST 요청을 분석한 결과 사용자 데이터가 유출되고 있다는 사실도 발견할 수 있었습니다.”

GET 요청을 통해 가장 많은 데이터를 유출시키는 도메인은 mopub.com(사용자가 수천만 명인 앱이 활용하고 있는 도메인), rayjump.com(9개 앱이 사용하고 있는 도메인으로 20억 다운로드 수를 기록하고 있음), tappas.net(수천만 다운로드 수를 기록), appsgeyser.com(20억 다운로드 수를 기록하고 있음)이다.

POST 요청을 통해 데이터가 가장 많이 유출되는 도메인은 ushareit.com(다운로드 수가 5억 번), Lenovo, Nexage.com(다운로드 수가 15억 번), Quantumgraph.com(다운로드 수가 수천만 번)이었다. 레노보 도메인의 경우 개발자의 실수로 인해 데이터 유출이 발생하고 있었다고 한다.

SDK들이 유출시키는 정보는 대부분 기기 정보(화면 해상도, 저장 공간 용량, 볼륨, 배터리 양, OS 버전, IMEI, IMSI, 언어), 네트워크 정보(운영자 이름, IP 주소, 연결 유형, 신호 강도, MAC), 기기 좌표값, 안드로이드 ID, 앱 사용 현황 등이었다. 이름, 나이, 성별, 전화번호, 이메일 주소와 같은 개인정보도 마찬가지로 유출되고 있었다.

“이 SDK들의 가장 큰 문제는 매우 민감한 정보가 암호화되지 않고 전송된다는 겁니다. 누군가 가로챈다면, 해독도 필요 없이 곧바로 정보에 접근할 수 있게 되죠. 그리고 사용자에 대해 꽤나 많은 사실을 파악하게 됩니다.”

사실 현대의 앱들은 2016년 하반기부터 HTTP에서부터 HTTPS로 옮겨가는 추세다. 이 SDK의 문제도 이 추세면 자연스럽게 해결될 수 있다. “그러나 너무 느리게 움직이고 있죠. 그 동안 빠져나가는 개인정보들이 너무 많아, 마냥 기다리면서 해결되기를 바라는 것도 적절치 못합니다. 좋은 방향으로 가고 있다곤 하지만 아직 HTTP를 그대로 유지하는 앱들이 너무 많습니다.”

우누첵은 “사용자들은 앱을 새롭게 설치할 때마다 어떤 권한을 허용해달라고 요청하는지를 꼼꼼하게 살펴야 한다”고 권고한다. “그렇게 허용을 요구하는 게 앱의 기능과 직접적인 연관이 있는지 물어야 하죠. 과도하게 뭔가를 요구하는 앱은, 개인정보를 캐나갈 가능성이 높다고 보면 됩니다. 이런 때라면 VPN을 활용해보는 것도 도움이 될 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)