• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

수천 억원 오가는 금융 거래 플랫폼, 알고 보면 살얼음판 2018.07.09

유명 온라인, 웹, 데스크톱용 거래 플랫폼 79개 분석했더니 ‘오류투성’
오래된 기술과 프로토콜 난무...오가는 돈에 비해 보안 수준 형편 없어

[보안뉴스 문가용 기자] 은행 애플리케이션 개발자들은 여러 시행착오를 통해 자신들의 소프트웨어를 강력하게 만드는 방법을 익혀가고 있다. 그렇지만 핀테크 분야에서 사용되고 있는 소프트웨어들은 아직 안심하기에는 이르다. 기본적이면서도 치명적인 취약점들이 계속해서 존재하는 것이다.

[이미지 = iclickart]


다음 달 열리는 보안 행사 블랙햇(Black Hat)에서 보안 업체 아이오액티브(IOActive)의 전문가들은 현재 핀테크와 온라인 주식 거래 플랫폼에 존재하고 있는 여러 가지 충격적인 취약점들을 선보일 예정이다. 이들이 분석한 건 ‘마이너한’ 플랫폼이 아니라 전 세계에서 수백만 명이 사용하고 있는 것이라고 한다.

아이오액티브의 수석 컨설턴트인 알레잔드로 헤르난데즈(Alejandro Hernandez)는 “요즘 활발히 사용되고 있는 모바일 혹은 웹 플랫폼을 분석하다보면 향수가 느낄 때가 있다”고 말한다. “마치 2010년으로 되돌아온 듯한 느낌이에요. 너무 낡고 오래되고 구식이라는 것이죠.” 그는 작년에 이어 올해도 여러 금융 기관에서 제공하는 웹, 모바일 애플리케이션들을 분석한 결과를 발표할 것이라고 한다.

헤르난데즈는 총 79개의 애플리케이션들을 분석했다. “그 결과 모든 앱에서 보안 관련 장치가 현저하게 부족함을 알 수 있었습니다. 수십 년 전 사용되던 통신 프로토콜이 나오는 경우도 부지기수였습니다. 암호화되지 않은 채 민감한 정보를 저장하고, 비밀번호를 굳이 설정하지 않아도 되는 경우도 있었습니다. 자동 로그아웃이 되는 앱도 몇 개 없었지요.”

금융권에서, 금융 거래를 위해 배포한 앱이므로 고객들은 ‘당연히 안전할 것’이라고 여기는데, 이는 큰 착각이며 주의할 부분이라고 헤르난데즈는 강조한다. “은행들은 안전한 편이 맞습니다. 은행 강도도 요즘에 와서는 잘 일어나지 않고, 보안의 측면에서도 은행은 강력한 곳이라고 알려져 있으니까요. 그러니 은행이 주는 모바일 앱 역시 강력할 거라고 생각들을 하는데요, 이는 절대적으로 잘못된 믿음입니다.”

헤르난데즈에 의하면 SSL 인증조차 없는 모바일 거래 앱이 다수라고 한다. 즉 중간자 공격이 수월한 상태로 수천억 달러가 오가는 것이다. 게다가 리버스 엔지니어링 공격을 막는 장치도 대부분 갖추지 않고 있었다. 누군가 앱을 받아 리버스 엔지니어링 하는 게 가능했고, 헤르난데즈 자신도 그런 식의 분석을 시도했다. “그랬을 때 하드코드 된 비밀들을 찾아낼 수도 있었습니다.”

웹 애플리케이션의 경우 보안 조치 없이 세션 쿠키가 만들어지는가 하면 HTTP 보안 헤더들을 사용하는 경우도 드물었다고 한다.

데스크톱 애플리케이션의 경우 더 심각했다. “데스크톱 앱은 모바일이나 웹 플랫폼보다 많은 기능을 가지고 있습니다. 그래서 오류들도 훨씬 다양하고 많았습니다. 즉 공격 표면이 더 넓었다는 말입니다. 예를 들어 추가 플러그인이나 애드온을 염두에 두고 개발된 데스크톱 앱은 커스터마이징 된 프로그래밍 언어로 만들어진 경우가 많은데, 이 점을 이용한 악성 플러그인 공격 방어 체제는 발견하기 어려웠습니다. 거의 다 기본적으로 디도스 공격에 노출되어 있기도 했고요.”

헤르난데즈가 시험한 앱들은 대부분 일반 투자자들이 사용하도록 만들어진 것이었다. 일부 기관 투자자들도 사용하고 있기도 했다. “그런 투자자들 전부가 지금 대단히 위험한 상태로 금융 거래를 하고 있다는 걸 이번 조사를 통해 알 수 있었습니다. 오류의 종류도 무궁무진할 정도입니다. 아이덴티티 도난과 디도스에 대한 위협은 물론, 머리만 조금 더 쓰면 주가 조작도 가능케 하는 오류들도 있었습니다.”

게다가 헤르난데즈는 자신의 연구를 두고 “표면만 긁은 것”이라고 표현한다. “저의 이번 분석은 전혀 깊이 들어간 것이 아닙니다. 오류가 총 몇 가지나 있나 세어보기 위한 연구였기 때문에, 각 오류에 대해 깊이 있는 연구를 할 수는 없었어요. 그러니 백엔드 서비스나 네트워크, 백엔드 프로토콜 등에 대해서는 건드려보지도 못했죠. 파헤치면 뭐가 더 나올지 무서울 지경입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>