‘트랙마겟돈’, 이용자 위치 정보부터 개인정보까지 유출할 위험 커
패치한 업체 단 4곳... 연구자들, “업체 폭로 이후 패치되기 시작”

[보안뉴스 오다인 기자] GPS 등 위치 추적 서비스에 영향을 끼치는 일련의 취약점이 발견됐다. 보안 연구자들은 이를 묶어 ‘트랙마겟돈(Trackmageddon)’이라고 명명했다.


보안 연구자 반젤리스 스티카스(Vangelis Stykas)와 마이클 그룬(Michael Gruhn)은 공격자가 특정 서비스들의 취약점을 통해 이용자의 지리위치 정보를 수집할 수 있다고 경고했다. GPS 기능이 있는 스마트 기기들, 예컨대 애완동물 추적기나 차량 추적기 같은 기기들의 위치 정보가 사이버 공격자에게 유출될 수 있다는 의미다.

해외 IT 전문 매체 블리핑컴퓨터(Bleeping Computer)에 따르면, 이른바 트랙마겟돈은 쉽게 추측할 수 있는 디폴트 비밀번호(‘123456’), 외부로 노출된 폴더들, 안전하지 않은 API 엔드포인트, 취약한 직접 객체 참조(Insecure Direct Object References) 등을 아우르는 취약점들의 집합이다.

스티카스와 그룬의 연구 결과, 공격자는 트랙마겟돈을 이용해 이용자의 GPS 좌표와 전화번호, IMEI 일련번호나 MAC 주소 같은 기기 정보, 심지어는 개인정보까지 빼돌릴 수 있는 것으로 나타났다.

이들은 지난 수개월 간 트랙마겟돈과 관련된 100여개 서비스 업체에 연락해 취약점을 제보했으나 단 4곳만이 취약점을 패치했다고 밝혔다. 정보 유출 위험이 있는 업체들을 일일이 열거한 보고서에서 스티카스와 그룬은 관련 업체들에게 패치할 시간을 충분히 줬음에도 대부분이 패치하지 않았기 때문에 패치를 끝낸 업체와 아직 패치하지 않은 업체들을 모두 폭로하게 됐다고 설명했다. 업체 목록을 공개하기로 결정한 이후 “(패치) 상황이 극적으로 바뀌었다”고도 덧붙였다.

이들은 정보 유출을 막기 위해 디폴트 비밀번호를 변경할 것, 취약점이 패치되지 않은 기기의 사용을 중단할 것, 취약점이 패치되지 않은 서비스에서 개인정보를 최대한 삭제할 것을 이용자에게 권고했다.

스티카스와 그룬의 트랙마겟돈 보고서는 이곳(https://0x0.li/trackmageddon/)에서 볼 수 있다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>