요약 : 보안 외신 블리핑컴퓨터에 의하면 AWS와 애저(Azure)라는 거대 공공 클라우드의 인증 키들이 안드로이드와 iOS 앱들에서 발견되었다고 한다. 클라우드와 연계된 앱들을 만들고 제공하는 과정에서 크리덴셜 및 인증 키 정보를 코드 안에 넣어두고서 잊어버렸을 때 이런 일이 자주 일어난다. 이걸 누군가 발견하면 해당 앱의 사용자 정보와 소스코드 등 민감한 정보에 접근할 수 있게 된다. 구글 플레이에서는 Pic Stitch, Meru Cabs, Sulekha Business 등의 앱이, 앱스토어에서는 Crumbl, Eureka, Videoshop 등의 앱이 이 문제에 노출된 상태다. 이 앱들의 다운로드 수를 합하면 수천 만 번이 넘는다.


배경 : 크리덴셜을 하드코딩 한 채 소프트웨어를 출시하는 경우는 대단히 많다. 개발 과정에서 여러 가지 이유로 크리덴셜을 코드 안에 입력해 두고 작업을 하는데, 거기까지는 충분히 용인될 수 있다. 문제는 개발이 완료되고서다. 완료 후에는 코드에 저장되어 있는 크리덴셜 정보를 지우고 출시해야 하는데, 이를 종종 잊어버린다. 깃허브에 공유되는 오픈소스의 코드들에도 이런 정보들이 꽤나 많은 것으로 알려져 있다.

말말말 : “누군가 앱의 소스코드에만 접근할 수 있게 된다면 크리덴셜을 자유롭게 악용할 수 있습니다. 크리덴셜을 코드 안에 넣어 두었다면 그것을 엄격하게 관리해야 합니다.” -시만텍(Symantec)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>