[보안뉴스 주소형] IBM의 X-Force팀이 안드로이드용 드롭박스 소프트웨어 개발 킷(SDK)에서 취약점을 발견했다. 드롭드인(DroppedIn)으로 불리는 해당 취약점은 드롭박스 SDK 버전 1.5.4에서 1.6.1까지 영향을 끼친다. 이는 해커들이 그들의 드롭박스 계정으로 사용자들의 안드로이드 앱에 접속할 수 있게 만든다.

드롭드인은 인증 방식의 허점을 악용하여 드롭박스에 접근한다. 사용자가 로그인을 하기 위해 아이디와 비밀번호를 기입하면 이 정보를 SDK가 받아 랜덤 숫자로 전환하여 드롭박스로 보내게 된다. 문제는 여기서 발생된다. 해커가 SDK내에서 접속이 가능한 임의의 토큰을 생성하여 이를 사용하여 방화벽을 완벽히 우회할 수 있기 때문이다.

모바일 기기가 악성 앱에 감염되는 요인은 사용자가 스스로 다운받아서 일수도 있고 사용자도 모르게 저절로 다운되어져 있을 수도 있다. 그런데 어떻게 감염되든 간에 한번 감염되면 해커는 해당 사용자의 모바일 기기에 자유롭게 드나들 수 있다. 이는 민감한 개인정보와 파일을 빼낼 수 있다. 또한 거꾸로 해커가 멀웨어가 삽입된 그들의 드롭박스 파일을 밀어 넣을 수도 있다.

해당 문제를 살펴보면 컴퓨터가 아니라 안드로이드 기기에서 발생되고 있다.

다행히 지금은 드롭박스가 해당 취약점에 대한 패치를 배포한 상황이다. 취약점 발견 4일 만에 완료한 것으로 파악됐다. 게다가 드롭박스 앱이 안드로이드 기기에 설치되면 SDK 취약점은 실행이 불가해진다.

물론 드롭박스 앱을 사용하지 않는 이와는 무관한 취약점이다. IBM X-Force팀에 따르면 안드로이드 앱 상위 500개 가운데 1.4%가 드롭박스 SDK를 사용하고 있다.

모바일 멀웨어는 점점 늘어나는 추세다. 특히 안드로이드에서 유난히 많이 발생하고 있다. 금주 보안 소프트웨어 솔루션 업체인 베라코드(Veracode)사가 발표한 보고서를 보면 평균적으로 글로벌 기업은 약 2,400개의 불안전한 모바일 어플리케이션에 노출되어 있다고 한다.

베라코드가 이 불안전한 앱들을 조사한 결과, 85%가 민감한 정보가 노출되어 있고 35%는 사용자 개인정보를 공유하고 있으며 37%의 플랫폼이 보안 조치를 하고 있다. 여기서 보안 조치는 1)기기가 루트나 탈옥됐을 가능성을 점검 2)사용자의 대화를 감청하거나 안티멀웨어의 작동을 방해하는 슈퍼유저로 행해질 수 있는 가능성 점검 3)펌웨어 교체 4)은행 비밀번호와 같은 기밀 사항 노출 가능성 여부 점검 등이다.

“직원들의 모바일 기기에 깔려있는 약 3%의 앱은 악성코드가 있다고 보면 됩니다”라고 베라코드 부사장 테오도라 티토니스(Theodora Titonis)가 말했다. 그녀는 35%의 앱이 사용자 개인정보들을 공유하고 있다는 사실에 놀랐다며 “해당 수치는 예상보다 너무 높았다”라고 설명했다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>