| 이토마토 증권통, 스마트폰 정보 무단 수집 확인!! | 2010.08.27 | ||||
암호화도 안 해, 악성 공격자 해킹의 노림수 될 수 있어... [보안뉴스 오병민] 증권정보사이트 이토마토(http://www.etomato.com)가 개발해 보급하고 있는 스마트폰 증권정보 어플리케이션 ‘증권통’이 이용자 스마트폰 정보를 추출해 서버로 전송하고 있는 것으로 파악돼 사용자들의 주의가 요구되고 있다. 이 애플리케이션이 추출해 자사의 서버로 전송하는 정보는 ┖USIM SN(유심 시리얼넘버)┖와 ‘IMEI’ 라는 단말기식별 값으로, 이 정보가 외부로 유출되면 휴대폰 복제나 짝퉁 휴대폰, 범죄용도의 대포폰에도 이용될 수 있다. 이 같은 문제는 쉬프트웍스의 안티바이러스(백신)인 브이가드(VGUARD for Android)의 진단을 통해 알려졌다. 실제로 해당 내용을 확인해본 결과, 이토마토의 증권통 애플리케이션은 안드로이드 폰에서 추출된 USIM 정보를 이토마토의 특정서버로 보내지는 것으로 파악됐다.
이토마토에서 이용자 스마트폰 정보를 자사의 서버로 보내 수집하는 이유는, 증권통을 통해 증권정보서비스를 접속하면 스마트폰 정보로 별다른 인증절차 없이 서비스를 이용하도록 편의를 제공하기 위한 것이다. 그러나 편의의 목적이라고 해도 이는 엄연한 불법으로 확인되고 있다. 현행법(통신비밀보호법)상 단말기의 고유번호를 제공하거나 제공받는 것은, 개통처리 및 수리를 위해 이동전화단말기 제조업체와 이동통신사만 가능한 것으로 명시돼 있기 때문이다. 그리고 이를 어길 경우에는 5년 이하의 징역 또는 3천만 원 이하의 벌금에 처해진다. 게다가 더 큰 문제는 증권통에서 이토마토의 서버로 USIM 정보를 보낼 때 암호화도 안 된 상태로 전송한다는 사실이다. 이 경우, 와이파이(WiFi)와 같은 공용 무선랜에 접속할 때 악성 공격자에게 사용자 스마트폰 정보가 강탈될 우려가 있다. 따라서 개인정보나 금융정보 등 대부분 중요한 정보를 인터넷을 통해 보낼 때는 반드시 암호화를 실시해야한다. 상황이 이럼에도 불구하고, 이토마토 측은 해당 내용에 대한 해결책을 제시하기 보다는, 무법적인 진단을 하고 있다며 해당 문제를 진단한 브이가드에게 책임을 돌리고 있는 것으로 전해지고 있다. 쉬프트웍스의 한 관계자는 “해당 문제에 대해 충분히 설명했음에도 불구하고 이토마토 측은 오히려 자사의 뉴스채널 뉴스토마토를 통해 브이가드가 무작위로 안드로이드 애플리케이션을 진단하는 무법백신이라고 뉴스를 내보내고 있어 억울한 상황”이라고 토로했다. 실제로 뉴스토마토는 최근 들어, 쉬프트웍스의 브이가드가 안드로이드 애플리케이션을 무작위로 진단한다며 무법백신이라고 비방하는 기사를 내보낸 것으로 확인됐다. 그리고 최근에는 방송통신위원회가 브이가드에 대한 조사를 착수했다는 기사를 내보내기도 했다. 이에 대해 방송통신위원회의 한 관계자는 “민간업체를 별도로 조사하지는 않는다”며 사실무근이라고 관련 내용을 일축했다. 박나룡 보안전략연구소장은 “이 같은 논란은, 스마트폰 환경에서 개인정보와 통신비밀보호법 등 관련 법률 등에 대한 사업자, 제작자등의 이해 부족과 스마트폰이나, APP 개발시 컴플라이언스 측면의 검토가 부족한 부분도 영향을 미쳤을 것”이라며 “사용자도 모르게 스마트폰의 앱을 통해 빠져나갈 수 있는 개인정보와 중요정보를 어떻게 보안해 주어야 하는지에 대해 더 많은 고민이 필요한 시기”라고 말했다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
