Home > 전체기사
트럼프 대통령의 재선 운동 위한 앱 통해 비밀 유출되고 있어
  |  입력 : 2020-06-18 14:48
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
‘오피셜 트럼프 2020’...안드로이드 설치용 APK에서 키 정보 등 노출되고 있어
트럼프 캠프, 서둘로 패치 준비...하지만 개발 과정에서의 안전치 못한 점 드러나


[보안뉴스 문가용 기자] 도널드 트럼프 미국 대통령의 재선 캠페인을 위해 개발된 모바일 앱인 ‘오피셜 트럼프 2020(Official Trump 2020)’에서 심각한 취약점이 발견됐다. 주요 기밀과 키가 노출되는 취약점이라고 웹사이트 플래닛(Website Planet)이 발표했다.

[이미지 = utoimage]


웹사이트 플래닛 측은 오피셜 트럼프 2020 앱을 분석하는 과정에서 “안드로이드용 APK가 트위터 애플리케이션 키, 구글 앱 및 구글 지도 키 등 민감하면서도 중요한 기밀들을 노출하고 있다는 사실을 알아냈다”고 발표했다.

앱을 통해 노출된 키를 통해 웹사이트 플래닛의 분석가들은 애플리케이션의 여러 부분들에 접근할 수 있었다고 한다. 다만 사용자 계정에는 접근하는 데 실패했다. “앱을 설치한 사용자의 계정에 접근하려면 또 다른 키가 필요합니다만 다행히도 이 키는 노출되어 있지 않았습니다. 노출되어 있었다면 트럼프 대통령 본인의 계정에도 접근할 수 있었을 것으로 보입니다.”

그러나 웹사이트 플래닛이 사용자 계정에 접근하기 위해서 모든 노력을 쏟아 부은 건 아니었다. “사용자 계정에 굳이 접근하려고 시도하지 않았습니다. 이미 ‘일부 기밀과 키들이 노출되어 있다’는 것만으로도 충분히 위험하다고 판단했기 때문입니다. 그리고 트럼프 캠프 측에 이 사실을 알렸습니다.”

실제 지금 노출되어 있는 정보만으로도 해커들은 가짜 ‘오피셜 트럼프 2020’ 앱을 진짜처럼 보이게 만들 수 있고, 이를 통해 여러 가지 악성 행위를 할 수 있다고 한다. 트럼프 캠프 측은 보고를 접수한 뒤 얼마 지나지 않아 패치를 진행하기도 했다.

웹사이트 플래닛은 “이는 개발자의 ‘인간적 실수’ 때문에 발생한 일로 보인다”며 “개발 과정 전반에 보다 엄격한 규정과 정책을 적용함으로써 실수를 최소화할 수 있다”고 강조했다. “이런 종류의 취약점은 조금만 더 엄격한 개발 과정을 도입하면 얼마든지 예방할 수 있습니다.”

그러면서 “비밀 키들을 인터넷을 통해 노출시키지 않는다는 건 기본 중의 기본”이고, “앱의 최종 점검 단계에서 이러한 부분들을 놓치지 않았는지 확인하는 것 역시 기본 중 기본”이라고 지적했다.

3줄 요약
1. 트럼프 재선 운동 위해 만들어진 공식 앱에서 취약점 발견됨.
2. 여러 비밀 키가 노출되어 있어 각종 악성 행위 실행할 수 있음.
3. 현재는 패치된 상태이지만, 개발 과정에서의 기본기 부족함이 드러나기도 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상