• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

인기 높은 주식 거래 앱 21개에서 취약점 다량 발견 2017.09.27

비밀번호 평문 저장...암호화 되지 않은 민감 정보...기기 빼앗으면 ‘금광’
HTTP 사용하는 앱이 2개...내부 개발 환경 관련된 정보가 노출되어 있기도

[보안뉴스 문가용 기자] 인기가 높은 모바일 주식거래 애플리케이션 21개에서 취약점이 발견됐다. 이 검사를 실시한 건 보안 업체 IO액티브(IOActive)로, 구글 플레이와 앱 스토어에 등록된 공식 거래 앱 중 인기가 많은 순서대로 보안 분석을 실시했다. 사용자들은 이러한 앱들을 설치해 주식을 매매할 수 있고, 지분을 추적할 수 있으며, 가용한 구매력을 알아볼 수 있다. 특정 임계치에 다다랐을 때 알람을 울리기도 한다.

[이미지 = iclickart]


IO액티브는 1) 바이오메트릭 인증 지원, 2) 암호화, 3) 세션 관리, 4) 클라이언트 사이드 데이터 관리, 5) 안전한 데이터 저장, 6) 로그 내 민감한 데이터, 7) 루트 탐지 등을 포함해 14가지 보안 관련 항목을 점검했다고 밝혔다. 실험은 iOS 10.3.3 버전으로 운영되는 아이폰 6 기기와 루팅된 7.11 버전의 안드로이드 기기로 진행됐다.

IO액티브의 수석 컨설턴트인 알레얀드로 헤르난데스(Alejandro Hernandez)는 “2013년에도 비슷한 실험을 진행한 바 있다”며 “그때나 지금이나 가장 인기가 높은 앱들이 오히려 더 취약하다는 특징을 보이고 있다”고 설명한다. “예를 들어 네 개의 앱에서는 사용자의 비밀번호가 평문으로 저장되고 있었습니다. 로깅 콘솔에서나 기기 내의 설정 파일 어디에서도 암호화 처리의 흔적이 발견되지 않았어요. 21개 앱들 중 대다수가 2중 인증 옵션을 가지고 있지 않기도 했습니다. 거의 다 ‘비밀번호’만으로 보안을 해결하고 있다고 보면 됩니다.”

또 21개 앱들 중 60%가 잔고, 투자 이력 등의 정보를 암호화하지 않은 채 저장하거나 로깅 콘솔에 그대로 저장하고 있기도 했다. 이처럼 취약한 주식거래 앱이 설치된 전화기에 접근만 가능하다면 이런 민감한 정보를 얼마든지 활용할 수 있게 된다고 한다. “사용자 본인이야 로깅 콘솔을 열어볼 일이 없습니다. 그러나 공격자들이라면 다르죠. 특히 전화기를 훔치거나 뺏어서 물리적 접근을 한 경우라면 더욱 그렇고요. 그런 경우 핸드폰 자체가 금광이나 다름이 없습니다. 로그 파일에 저장된 데이터는 다른 애플리케이션을 통해서도 읽을 수 있는데, 여기엔 멀웨어도 포함됩니다.”

다행인 점은 이번 조사로 발견된 일부 취약점은 물리적인 접근이 있어야만 익스플로잇이 가능하다는 것이다. “하지만 반대로 생각했을 때 누군가 주식거래를 활발히 하고 있다는 사실을 파악하고 나서 공격자가 물리적으로 전화기를 빼앗거나 훔쳐내기만 하면 된다는 겁니다. 계좌 잔금 정보나 투자 이력과 같은 데이터는 가치가 높은 정보지요.”

그러나 원격에서 익스플로잇이 가능한 취약점들도 존재한다. “21개 중 2개의 앱에서는 HTTP 채널을 통해 모든 정보를 주고받도록 설정되어 있었습니다. 사용자 이름, 비밀번호, 거래 정보 등 민감한 정보들도 포함해서 말입니다. 이는 중간가 공격에 당할 소지를 높이는 구조로, 사용자가 공공 와이파이까지 이용하고 있다면, 정보들을 제발 가져가달라고 부탁하는 것과 다름없는 상태가 됩니다.”

나머지 19개 앱들에서는 HTTPS가 사용되고 있었다. 그러나 13개는 통신하려는 원격 서버를 인증하는 절차가 마련되지 않은 채였다. “이를 SSL 피닝(SSL Pinning)이라고 하는데 구축되어 있지 않을 경우 원격 공격의 가능성이 굉장히 높아집니다. 그래서 공격자들은 가짜 SSL 인증서를 사용자들이 설치하도록 속이는 등의 시도를 하죠. 심지어 이번에 실험한 앱들 중 10개는 자바스크립트 코드를 실행하는 게 가능하도록 설정되어 있었는데, 이는 XSS 공격을 열어둔 것이나 마찬가지입니다.”

크립토그래피 키나 서드파티 서비스 파트너용 비밀번호 등과 같이 고도로 민감한 정보가 앱 안에 하드코딩된 경우도 60%, 내부 호스트 이름, 앱 개발 및 실험이 실제 진행된 곳의 IP 주소 등과 같은 정보가 그대로 남아있는 앱도 10개나 됐다. “이런 정보는 앱 개발사의 내부 사정을 공격자들에게 알려주게 됩니다. 앱 개발사는 보통 금융사나 중개업체겠고요. 조직 자체에 대해 더 자세히 이해할 수 있게 된다는 겁니다.”

IO액티브는 자신들이 발견한 내용을 13개 업체에 보내 앱을 보완하도록 권고했다. 그러나 아직까지 응답을 보내온 곳은 두 곳에 불과했다고 한다. IO액티브는 안전을 이유로 21개 앱의 이름을 하나도 밝히고 있지 않다.

또한 북한의 사이버 공격을 전문적으로 연구하는 그룹의 한 전문가는 익명으로 인용될 것을 요청하며 “북한 사이버 공격자들이 최근 한국의 증권 쪽에 관심을 보이고 있다”며 “관계자의 각별한 주의가 요구된다”고 본지를 통해 밝혔다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>