• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인기 높은 금융 앱 머니러버에서 사용자 민감 정보 유출되고 있어 2023.02.09

머니러버라는 금융 앱에서 문제가 발견됐다. 보안 전문가 한 명이 마침 사용자였던 터라 궁금증을 해소하려다가 발견된 문제들이다. 아직 취약점 정보는 상세히 공개되지 않았지만 패치는 진작에 나왔다. 패치가 시급하다.

[보안뉴스 문가용 기자] 머니러버(Money Lover)라고 하는 금융 앱이 지갑 이름과 이메일 주소 등 사용자의 거래 정보는 물론 그와 관련된 메타데이터까지 유출하고 있다는 사실이 밝혀졌다. 이러한 사실을 발견해 자사 블로그를 통해 발표한 건 보안 업체 트러스트웨이브(Trustwave)다. 머니러버 앱은 베트남의 업체인 핀시파이(Finsify)가 개발했고, 구글 플레이, MS 애플리케이션 스토어, 애플 앱스토어에서 다운로드 받을 수 있으며 1000명이 평균 4.6점의 평점을 남기고 있다.

[이미지 = utoimage]


아직까지 조사된 내용에 따르면 은행 계좌 정보와 신용카드 정보가 직접 유출된 것으로 보이지는 않는다. 그러나 지갑, 이메일, 메타데이터가 유출된 것만으로도 충분한 위협이 될 수 있다고 트러스트웨이브의 수석 연구원 칼 시글러(Karl Sigler)는 경고한다. “어떤 정보라도 일단 유출되었다는 소식이 확인되면 금융 앱으로서는 되돌리기 힘든 신뢰 손상을 입을 수 있습니다. 이것은 커다란 손해로 이어질 겁니다.”

어떤 문제가 있었나?
트러스트웨이브의 보안 연구원 중 트로이 드라이버(Troy Driver)는 원래 머니러버를 사용하던 인물이었다. 어느 날 자신이 즐겨 사용하는 이 앱의 보안 상태가 궁금해졌고, 그래서 머니러버의 웹 인터페이스를 사용해 앱의 트래픽을 프록시 서버로 우회시키기 시작했다. 그랬더니 문제가 발견됐다. 브라우저의 개발자 도구 창의 웹 소켓 탭에서 이메일 주소와 지갑 이름, 실시간 거래 데이터가 보이기 시작한 것이다. “접근 제어가 잘 되지 않을 때 나타나는 전형적인 현상이었습니다. 저같은 사용자가 보면 안 되는 정보에 접근할 수 있게 된 것이거든요.”

보안 업체 체크막스(Checkmarx)의 보안 전문가 스티븐 게이츠(Stephen Gates)는 “자세한 설명이 나오지 않아 확신할 수는 없지만 ‘잘못된 객체 레벨 인증┖ 오류, ‘잘못된 사용자 인증’ 오류, ‘과잉 데이터 노출’ 오류가 다 존재하는 것으로 보인다”고 추측한다. “이런 류의 오류들은 매우 흔히 나타나는 것들입니다. OWASP이 가끔씩 ‘가장 많이 발견되는 취약점’ 목록을 발표하곤 하는데, 접근 관리와 관련된 취약점들은 거의 항상 상위권을 차지합니다. 2021년 버전에는 1위를 했고요.”

어떤 데이터와 장비, 시스템에 누가 접근할 수 있는지 제대로 제어하지 못하게 하는 취약점은 빈번하기도 하지만 위험하기도 하다. 게이츠는 “접근과 관련된 부분에서 문제가 있는 상황을 공격자들이 가장 좋아한다”며 “가져갈 것이 많아지게 하는 효과가 나타나기 때문”이라고 설명한다. “그런 취약점이 있다는 건 공격자 입장에서 오병이어의 기적을 누리게 되는 것과 마찬가지입니다.”

접근 제어 기능과 관련된 문제, 어떤 영향 미치나
굳이 따지자면 이번에 유출되는 것으로 조사된 정보들이 그리 민감한 정보가 아닐 수도 있다. 지불 카드 정보도 아니고 크리덴셜도 아니기 때문이다. 하지만 해커들은 아무런 위협이 되지 않을 것처럼 보이는 정보들을 취합하거나 교차 확인을 하여 실질적인 공격을 가하기도 한다. “예를 들어 이번에 유출된 이메일 주소들을, 과거 침해 데이터와 비교함으로써 계정 탈취 공격 혹은 사칭 공격을 이어갈 수 있게 됩니다.”

시글러는 “지불 카드 정보나 금융 정보가 유출되지 않았다고 사용자들을 안심시키는 행위는 매우 위험한 것”이라고 지적한다. “보통 ‘심각하지 않은 사건이다’라는 것을 강조하기 위해 기업들이 하는 면피성 발언인데요, 이는 사실을 호도하는 것입니다. 해커들의 정보 짜깁기 능력은 우리의 상상을 초월합니다. 아주 작은 실마리를 가지고도 위협적인 공격을 할 수 있습니다. 물론 머니러버 측에서 그런 발표를 한 건 아닙니다만, 너무 많은 기업들에서 사고만 터지면 그런 말부터 한다는 게 우려스러운 건 사실입니다.”

시글러의 말대로 머니러버 앱은 아직까지 금융 정보는 안 나갔으니 안심하라는 발표는 하지 않았고, 1월 27일자로 패치를 진행했다. 트러스트웨이브의 전문가들은 “아직 구 버전 머니러버를 사용하고 있는 사람이 있다면 반드시 최신 버전을 적용하라”고 촉구했다.

3줄 요약
1. 머니러버라는 금융 앱에서 각종 정보가 유출되고 있음.
2. 지불 및 금융과 관련된 직접적인 정보는 아니지만, 힌트가 될 만한 정보들임.
3. 머니러버 사용자라면 최신 버전으로 업데이트 하는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>