Home > 전체기사

온라인 데이팅 앱, 사용자의 민감한 정보 마구 노출 중

  |  입력 : 2019-08-13 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위치 정보 통해 집과 직장, 각종 만남의 장소 추적 가능해
“데이팅 앱의 목적 자체가 노출인데, 왜 굳이 사용?” 묻는 전문가도 있어


[보안뉴스 문가용 기자] 네 개의 온라인 데이팅 앱을 통해 1천만 명의 민감한 정보가 유출되고 있다는 사실이 밝혀졌다. 이를 발견한 보안 업체 펜 테스트 파트너즈(Pen Test Partners)에 의하면 “그 덕분에 사용자의 ID만 알면, 위치를 추적할 수 있게 된다”고 한다. “집이 어디고 직장이 어디이며, 주로 어디서 여가 시간을 갖는다는 걸 거의 실시간으로 알 수 있게 됩니다.”

[이미지 = iclickart]


문제의 데이팅 앱은 그라인더(Grindr), 로미오(Remeo), 레콘(Recon), 스리펀(3fun)이다. 펜 테스트 파트너즈에 의하면 “위도와 경도 정보를 스푸핑 해서, 여러 지점으로부터 사용자 프로파일의 거리가 어느 정도 되는지 측정할 수 있으며, 이를 통해 정확한 위치를 계산하는 게 가능하다”고 한다. 그라인더의 경우 삼변측량까지도 가능하다고 한다.

펜 테스트 파트너즈는 “특별한 도구나 솔루션을 사용해 해킹한 것도 아니”라고 강조했다. “오로지 공개된 API들만을 사용했을 때 정확한 위치 추적이 가능했습니다.”

이런 정보는 상황에 따라 위험한 데에 악용될 수 있다. 특히 성소수자 등 은밀한 성적 비밀이나 성향, 취향을 가진 자들이 많이 사용하는 앱일 경우 사용자가 사회적으로 매장을 당하거나 큰 수치를 당할 수 있게 된다. 심지어 어느 국가에 사용자가 있느냐에 따라 목숨이 위험해질 수도 있다. “아니면 스토커에게 쉽게 쫓길 수도 있게 됩니다. 그것도 역시 위험한 상황으로 이어질 수 있죠.”

그러나 보안 업체 벡트라(Vectra)의 보안 분석 책임자인 크리스 모랄레스(Chris Morales)는 “자신의 신분이나 특성이 드러나길 싫어하는 사람이 데이팅 앱을 사용하는 것 자체가 이상한 것”이라는 입장이다. “데이팅 앱을 사용하는 목적 자체가 ‘누군가에게 발견되기 위해서’가 아닌가요? 정말 숨기려고 하는 사람이면 데이팅 앱을 사용할 이유가 없죠. 그래서도 안 되고요. 물론 집요한 추적도 문제고, 너무 정확한 정보가 마구 공개되는 것도 문제지만, 애초에 데이팅 앱들이 역사적으로 안전한 사례가 거의 없었어요.”

그러면서 모랄레스는 “성소수자라는 사실 때문에 사형까지 받을 수 있는 나라에서 공개적으로 데이팅 앱을 사용한다는 건, 앱보다 사용자의 문제가 더 크다고 생각한다”고 말했다. 위 네 가지 앱의 사용자들 중에는 사우디아라비아에 위치한 사람도 있는 것으로 나타났다.

모랄레스의 말대로 데이팅 앱들은 거의 대부분 공격적으로 사용자의 정보를 수집하고 안전하지 않은 방법으로 보관 및 공유해왔다. 지난 6월 프라이버시 전문 단체인 프로프라이버시(ProPrivacy)는 매치(Match)나 틴더(Tinder) 등 수많은 데이팅 앱들이 사용자의 모든 데이터를 수집하고 있다는 사실을 적발했다. 순수하게 사람과 사람을 연결시켜주는 데 사용하는 것도 아니었다. 광고사에 팔아 주머니를 불리는 게 거의 전부였다.

지난 7월에는 또 다른 성소수자 전용 데이팅 앱인 젝드(Jack'd)가 데이터 유출 때문에 24만 달러의 벌금을 낸 바 있다. 당시 잭드를 해킹한 공격자들은 각종 민감한 개인정보는 물론 사용자들의 알몸 사진들도 전부 가져가는 데 성공했었다. 올해 2월에는 커피 미츠 베이글(Coffee Meets Bagel)과 오케이 큐피드(OK Cupid)라는 데이팅 앱에서도 크리덴셜 유출 사고가 발생했었다.

“데이팅 앱은 보안 개념이 거의 하나도 섞이지 않은 채 허술하게 만들어지는 경우가 대부분입니다. 실제 최근 사례들만 봐도 이는 쉽게 증명할 수 있습니다. 데이팅 앱 사용자들은 이를 전혀 몰라요. 이런 사례를 모른다고 하더라도, ‘가까운 곳에 있는 친구를 찾아준다’는 것부터 의심할 수는 있어야죠. 아무 정보도 공유하지 않고 자신과 가까이 있는 또 다른 사용자를 어떻게 앱이 알 수 있을까요? 데이팅 앱은 서로가 서로를 발견해내고자 만든 앱입니다. 사용하는 순간 프라이버시는 저만치 날아가는 겁니다.” 모랄레스의 설명이다.

펜 테스트 파트너즈는 문제의 데이팅 앱 개발사들에 연락해 조치를 취해달라고 요청했다. 그러나 돌아오는 답변들이 그리 호의적이진 않았다고 한다. “로미오는 사용자가 선택한 부분이지 디폴트 옵션이 아니기 때문에 어쩔 수 없다라고 했습니다. 레콘은 일부 위치 정보 관련 정책을 수정해 그리드에 사용자가 아주 정확하게 나타나지 않도록 했습니다. 그러나 크게 변한 건 아닙니다.” 가장 위험하다고 보이는 그라인더와 스리펀의 경우 아예 응답이 없었다.

펜 테스트 파트너즈는 “데이팅 앱에서 사용할 수 있을 정도로만 위치를 노출시키되, 사람의 신원은 감출 수 있는 기술들이 존재한다”며, “그런 기술들을 앱 개발사들이 사용한다면 안전하게 데이팅 앱을 사용할 수 있을 것”이라고 주장한다. 하지만 모랄레스는 “정말 안전하고 싶고, 정말 자신을 감추고 싶다면 아예 시작도 하지 않는 게 최선”이라고 반박했다.

3줄 요약
1. 비정상 데이팅 앱들 네 개, 사용자의 위치 정보도 마구 노출 중.
2. 사실 거의 모든 데이팅 앱들에서 공통적으로 나오는 문제. 앱 개발사는 공격적으로 정보 수집해 광고 시장에 판매.
3. 데이팅 앱의 목적 자체가 ‘노출’이기 때문에 정말 안전하고 싶다면 아예 사용하지 않는 게 정상.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
보안전문 기자들이 뽑은 2021년 보안 핫키워드 10개 가운데 가장 관심이 높은 키워드는?
민간인증서부터 융복합인증까지, 인증의 시대 열린다
랜섬웨어 공격, ‘불특정 다수’에서 ‘표적형’으로 진화
데이터 프라이버시가 기업들의 목을 죈다
재택근무와 주 52시간 근무제, 오피스 보안 ‘혁신’ 예고
영상·음성까지 합성 ‘딥페이크’, 비대면 사회 침투하나
의료·제약 분야, 코로나19 다음은 해커
스마트공장 구축은 OT/ICS 보안 정립부터
드론, 융합보안 산업의 핵심 아이템이 되다
몸집 키운 ADT캡스-에스원 대격돌, 보안시장 지각변동
CCTV 시스템온칩 대란, 중소기업 생존까지 위협