트럼프 대통령의 재선 운동 위한 앱 통해 비밀 유출되고 있어

‘오피셜 트럼프 2020’...안드로이드 설치용 APK에서 키 정보 등 노출되고 있어
트럼프 캠프, 서둘로 패치 준비...하지만 개발 과정에서의 안전치 못한 점 드러나

[보안뉴스 문가용 기자] 도널드 트럼프 미국 대통령의 재선 캠페인을 위해 개발된 모바일 앱인 ‘오피셜 트럼프 2020(Official Trump 2020)’에서 심각한 취약점이 발견됐다. 주요 기밀과 키가 노출되는 취약점이라고 웹사이트 플래닛(Website Planet)이 발표했다.

[이미지 = utoimage]

웹사이트 플래닛 측은 오피셜 트럼프 2020 앱을 분석하는 과정에서 “안드로이드용 APK가 트위터 애플리케이션 키, 구글 앱 및 구글 지도 키 등 민감하면서도 중요한 기밀들을 노출하고 있다는 사실을 알아냈다”고 발표했다.

앱을 통해 노출된 키를 통해 웹사이트 플래닛의 분석가들은 애플리케이션의 여러 부분들에 접근할 수 있었다고 한다. 다만 사용자 계정에는 접근하는 데 실패했다. “앱을 설치한 사용자의 계정에 접근하려면 또 다른 키가 필요합니다만 다행히도 이 키는 노출되어 있지 않았습니다. 노출되어 있었다면 트럼프 대통령 본인의 계정에도 접근할 수 있었을 것으로 보입니다.”

그러나 웹사이트 플래닛이 사용자 계정에 접근하기 위해서 모든 노력을 쏟아 부은 건 아니었다. “사용자 계정에 굳이 접근하려고 시도하지 않았습니다. 이미 ‘일부 기밀과 키들이 노출되어 있다’는 것만으로도 충분히 위험하다고 판단했기 때문입니다. 그리고 트럼프 캠프 측에 이 사실을 알렸습니다.”

실제 지금 노출되어 있는 정보만으로도 해커들은 가짜 ‘오피셜 트럼프 2020’ 앱을 진짜처럼 보이게 만들 수 있고, 이를 통해 여러 가지 악성 행위를 할 수 있다고 한다. 트럼프 캠프 측은 보고를 접수한 뒤 얼마 지나지 않아 패치를 진행하기도 했다.

웹사이트 플래닛은 “이는 개발자의 ‘인간적 실수’ 때문에 발생한 일로 보인다”며 “개발 과정 전반에 보다 엄격한 규정과 정책을 적용함으로써 실수를 최소화할 수 있다”고 강조했다. “이런 종류의 취약점은 조금만 더 엄격한 개발 과정을 도입하면 얼마든지 예방할 수 있습니다.”

그러면서 “비밀 키들을 인터넷을 통해 노출시키지 않는다는 건 기본 중의 기본”이고, “앱의 최종 점검 단계에서 이러한 부분들을 놓치지 않았는지 확인하는 것 역시 기본 중 기본”이라고 지적했다.

3줄 요약
1. 트럼프 재선 운동 위해 만들어진 공식 앱에서 취약점 발견됨.
2. 여러 비밀 키가 노출되어 있어 각종 악성 행위 실행할 수 있음.
3. 현재는 패치된 상태이지만, 개발 과정에서의 기본기 부족함이 드러나기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)