• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

개발자들, 앱에서 하드코드 된 크리덴셜 지우지 않는다 2017.11.10

서드파티 활발히 사용하는 앱 개발 환경...피해 일파만파 퍼져
한 계정으로 여러 앱 만든다면 하드코드 된 크리덴셜 삭제 반드시 해야

[보안뉴스 문가용 기자] 클라우드 메시징 플랫폼인 트윌리오(Twilio)의 음성 및 SMS 소프트웨어 개발 킷(SDK)와 API를 사용하는 모바일 앱 개발자들이 수천만 건의 모바일 통신 내용을 유출시켰다. 앱을 개발한 후 하드코드 된 크리덴셜을 삭제하지 않았기 때문이다.

[이미지 = iclickart]


이러한 개발자들의 실수로 인해 발생한 취약점을 소위 이브즈드로퍼(Eavesdropper)라고 하는데, 이를 활용하면 공격자들이 통화 기록, 통화 시간, 음성 녹음 시간과 같은 정보를 수집할 수 있고 저장된 녹음 파일을 듣거나, SMS와 MMS 문자 메시지를 볼 수도 있다. 이러한 사실은 보안 업체 앱소리티(Appthority)의 연구원들이 발견했다.

앱소리티는 1100개의 iOS 및 안드로이드 앱을 검사했고, 이 중 685개가 이브즈드로퍼 취약점을 내포하고 있다는 걸 파악했다. 이 중 75개 앱은 아직도 구글 플레이에서 유통되고 있으며 102개는 앱스토어에 존재하고 있다. 심지어 취약한 앱들 중 33%는 기업용 앱이었다. 해커들이 앱을 통해 WAV 파일에 접근할 수 있게 된다면 회의 내용, 개인적인 대화, 영업과 관련된 정보를 얻을 수 있게 된다.

개발자들이 하드코드 된 크리덴셜을 앱에서 제거하지 않는 실수를 저지르는 건 어제 오늘 일이 아니다. 그만큼 흔한 실수고, 해커들도 잘 알고 있는 내용이라고 볼 수 있다. 그리고 데이터 유출을 일으키는 치명적인 사고로 이어질 수 있다. 지금의 모바일 생태계는 이러한 취약점이 특히 큰 사건으로 번질 수 있는 상태다.

왜? 현대의 모바일 생태계에서는 아마존이나 트윌리오와 같은 서드파티 서비스가 활발히 사용되고 있기 때문이다. 즉 개발자들이 새로운 앱을 한 개의 서드파티 서비스 계정 안에서 다량으로 빠르게 출시할 수 있다는 뜻이다. 앱소리티의 보안 연구 책임자인 세스 하디(Seth Hardy)는 “모바일 생태계 전체가 성급해지고 있고, 이러한 와중에 치명적인 데이터가 마구 새나간다”고 설명한다.

이번에 앱소리티에서 밝힌 트윌리오의 경우, 앱소리티 연구원들은 원래 또 다른 모바일 취약점인 호스피탈가운(HospitalGown)을 연구하다가 우연히 발견했다고 한다. “개발자가 하드코드 된 크리덴셜을 삭제하지 않은 것을 공격자가 발견했다고 하면, 그 개발자가 트윌리오 계정 안에서 만든 모든 앱들에 접근할 수 있게 됩니다. 하드코드 된 크리덴셜을 99개 앱에서 꼼꼼히 지워내고 딱 하나 실수로 1개 앱에 이브즈드로퍼 취약점을 남겨두면, 100개 앱 전부가 침해된다는 겁니다.”

즉 개발자들이 현재 만들고 있는 앱들에서만이 아니라 예전에 만들었던 앱들에서도 이러한 부분을 점검해야 한다는 것이다. 트윌리오의 경우 취약점이 발견된 모바일 앱이 등록된 계정 중 가장 오래된 건 2011년까지로 거슬러 올라간다. “자기 계정만이 아니라 자기가 만든 앱을 사용하는 모든 사용자들까지도 위험에 처하게 합니다. 수백만~수천만 명에 이르는 사람이 자기가 저지르지 않은 실수로 데이터를 노출시키게 된다는 겁니다.”

이번 사건은 트윌리오의 잘못이 아니다. 개발자 개개인들의 실수인 것이 명백하다. “이브즈드로퍼는 굉장히 만연한 취약점입니다. 트윌리오만이 아니라 여러 개발자 플랫폼에서 흔히 나타나죠. 개발자들도 일반 사용자들처럼 같은 ID와 비밀번호를 여러 군데서 사용하기 때문에 문제는 더 확산됩니다.”

앱소리티는 이러한 사실을 발견한 후 개발자들 전부에게 연락을 취했다. 하지만 그 누구도 답장을 보내오거나 조치를 취하지 않았다고 하디는 말했다. “픽스는 간단해요. 하드코드 된 크리덴셜을 모든 앱에서 삭제하기만 하면 됩니다. 그리고 트윌리오 계정 비밀번호를 한 번 바꾸고요. 그리고 패치를 배포하면 끝입니다. 하지만 그 일을 아무도 하지 않았습니다.”

하디는 “아마 개발자들 중 이브즈드로퍼 취약점을 심각하게 인지하는 사람은 없을 것”이라고 말한다. 이메일을 보내기 전에 기대도 하지 않았다고도 말했다. “그래서 트윌리오와 아마존에도 연락을 취했습니다. 플랫폼 운영사가 메시지를 보내면 뭐라도 달라질까 해서요. 이브드드로퍼는 분명히 고쳐져야 하는 문제거든요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>