중요한 비밀키 아무렇게나 방치되어 있어 \r\n

사실상 대문을 열어놓고 다니는 꼴

\r\n

\r\n

최근 콜롬비아 대학 측에서는 플레이드론(PlayDrone)이라는 크롤러를 사용해 구글 플레이의 보안망을 지나쳐 백만 개가 넘는 앱을 다운로드 한 후 90만여개의 무료 앱들을 디컴파일링 해 스토어와 앱들의 보안성을 점검했다.

\r\n

\r\n

\r\n\r\n\r\n

\r\n

\r\n

“구글 플레이에는 백만 개가 넘는 앱들이 있으며 다운로드 회수는 5천억 건이 넘어갑니다. 하지만 여태껏 그 누구도 구글 플레이 자체에 뭐가 남아있는지 조사해보지 않았습니다. 25달러만 내면 아무나 제한 없이 업로드가 가능한 공간인데 말이죠.” 콜롬비아 대학의 컴퓨터 공학 교수인 제이슨 니에(Jason Nieh)의 설명이다. “구글 플레이는 게다가 인기가 엄청 높은 앱이죠. 그러니 이 공간에 위험요소가 잠재되어 있다면 아주 많은 사람들에게 영향을 끼칠 것입니다. 안 좋은 영향을요. 그렇기 때문에 저희가 이번에 가상 공격을 감행한 것이고요.”

\r\n

\r\n

많은 사람들이 오가는 곳에 있던 등잔 밑을 플레이드론으로 비췄을 때 어떤 결과가 나왔을까? 구글 플레이의 기본 성능에도 문제가 있다는 것, 등록된 전체 앱의 1/4이 기존 것을 똑같이 베낀 거라는 문제가 드러났다. 하지만 가장 큰 발견은 수천 개의 비밀 인증키가 앱과 스토어에 아무렇게나 저장되어 있다는 사실이었다. 이 비밀 인증키를 공격자가 사용할 경우 아마존과 페이스북에 있는 정보와 리소스들까지도 공략이 가능해진다.

\r\n

\r\n

“구글, 아마존, 페이스북과 긴밀하게 힘을 모았습니다. 먼저는 위험요소들을 함께 찾아내고, 사용자들에게 어떤 위험요소가 있는지 알렸습니다. 그렇게 해서 구글 플레이의 안정성을 보강할 수 있었지요.” 이번 프로젝트에 참여했으며 현재 콜롬비아 대학에서 박사학위를 심사 받고 있는 니콜라스 비엔놋(Nicholas Viennot)의 설명이다. “구글에서도 저희 기술을 빌려갔어요. 지금 앱들을 한창 점검하고 있을 겁니다. 더 큰 문제가 발생하기 전에 할 수 있는 건 다 해야 하니까요.” 실제 구글은 현재 앱 개발자들에게 구글 플레이의 취약점을 알리고 비밀키를 지워달라는 권고 메시지를 보내고 있다.

\r\n

\r\n

보안전문가들은 플레이드론이 구글에게 단단히 망신을 준 셈이라고 평한다. “이번 프로젝트가 재미있는 게 먼저는 해킹을 좋은 방향으로 활용한 예시가 되었으며 동시에 IT 분야에 있어서 세계에서 가장 앞선 기업이라는 구글 역시 완벽하지 않다는 걸 공표했기 때문입니다.

구글 역시 여타 개발자들처럼 ‘은둔 보안 방식(security through obscurity : 보안방식을 숨겨둠으로써 보안을 강화한다는 뜻으로 보통은 허술한 보안상태를 조롱하는 의미로 사용한다)’을 사용하고 있었다는 게 드러났죠”라고 스텔스비츠 테크놀로지(StealthBits Technologies)의 앱 개발자인 조나단 샌드(Jonathan Sander)는 말했다.

\r\n

\r\n

“앱 개발자가 비밀키를 그렇게 놔뒀다는 건 마치 외출할 때 대문 열쇠를 현관문 앞에 있는 발판 밑에 숨겨놓고 대문에다가 ‘아빠 잠깐 나갔다 올게. 열쇠는 발판 밑에 있어’라고 포스트잇으로 붙여놓는 것과 마찬가지입니다. 비밀키를 공격자가 가지고 가면 시스템에 불법 로그온을 해서 중요한 데이터를 마음대로 빼 갈 수 있거든요. 시간에 민감해야 하는 앱 개발자들은 조금이라도 더 빨리 시장을 선점하기 위해 비밀키를 그런 식으로 처리해서 개발을 마무리했을 겁니다.”

\r\n

한편 보다 상세한 크롤로의 구조나 구글 플레이 분석결과는 콜롬비아 대학 측에서 무료로 공개하고 있다.

\r\n

ⓒDARKReading

\r\n

[국제부 문가용 기자(globoan@boannews.com)]

\r\n

\r\n

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>