개발 과정에서 사용했다가 출시와 함께 지워야 하는 요소...개발자들 자꾸 잊어

요약 : 보안 외신 시큐리티위크에 따르면 1800개가 넘는 모바일 앱들에서 AWS 크리덴셜이 하드코딩 된 채로 발견됐다고 한다. 보안 업체 시만텍(Symantec)이 안드로이드와 iOS용 앱들 전부를 분석했는데, 하드코딩된 크리덴셜이 포함되어 있던 건 거의 대부분 iOS 앱들이었다고 한다. 누구나 앱들을 통해 이 크리덴셜을 확보하면 사설 클라우드 서비스에 접속할 수 있게 된다는 뜻이다. 아마존 S3 스토리지에 저장된 파일들에 접근할 수 있는 사례들도 절반 정도나 된 것으로 분석됐다.


배경 : 개발자들은 앱 개발 과정에서 클라우드와의 연동을 보다 간편히 하기 위해 회사에서 마련한 계정의 크리덴셜을 곧잘 코드 안에 포함시킨다. 그리고 앱이 완성되면 이를 지워서 출시해야 하는데, 깜빡 잊는 경우가 많다. 인간적 실수로 인한 보안 오류로 분류되는데, 좀처럼 개선되지 않고 있다. 회사 계정이 이런 식으로 드러나는 경우가 많아 공격자들이 하나의 앱만이 아니라 그 회사 전체의 개발 프로젝트를 오염시킬 수 있다.

말말말 : “앱 개발 과정에 코드 스캔을 추가하면 이런 사고를 막을 수 있습니다. 개발자의 기억에 의존하지 않더라도 충분한 솔루션들이 존재한다는 것이죠. 앱 내에 존재하는 소프트웨어 개발 키트(SDK)와 프레임워크도 충분히 스캔하는 것이 좋습니다.” -시만텍-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>