• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

트위터와 페이스북, 앱 타고 퍼지는 악성 SDK에 대한 경고 발표 2019.11.28

원오디언스와 모비번이라는 단체가 관리하는 SDK...개인정보 수집해
개발자들에게 돈 지불하면서 SDK 사용해달라고 요청하기도...SNS에서 축출돼

[보안뉴스 문가용 기자] 트위터와 페이스북이 모바일 애플리케이션에 임베드 되어 유포되기도 하는 일부 소프트웨어 개발 키트(SDK)가 사용자의 개인정보 수집에 활용되고 있다고 경고했다. 문제의 SDK는 원오디언스(oneAudience)와 모비번(MobiBurn)이라는 곳에서 유지하고 있는데, 아직 원오디언스 측으로부터의 피드백은 없는 상태다.

[이미지 = iclickart]


원오디언스와 모비번의 SDK들은 모바일 앱 개발자들이 악성 애플리케이션을 만들 때, 특히 사용자들의 소셜 미디어 관련 정보에 접근하는 앱을 제작할 때 활용할 수 있다. 소셜 미디어 관련 정보에 접근할 수 있게 되면, 이메일 주소, 사용자 이름, 성별, 마지막으로 올린 트윗이나 게시글 등을 알 수 있다고 한다.

트위터는 최근 공지를 통해 “원오디언스에서 관리하는 SDK가 사용자들의 개인정보에 접근하고 있다는 증거를 확보했다”고 밝혔다. 특히 안드로이드 환경에서 트위터를 사용하는 사람들의 정보가 주요 목표인 것으로 보인다고 한다. 아직 iOS 환경에서는 악성 행위에 대한 증거가 나오지 않았다. 그러면서 “한 애플리케이션 내 서로 다른 SDK 간 경계가 명확하지 않다는 점을 노린 악성 모바일 앱이 모바일 생태계를 유린하는 경우가 늘어나고 있다”고 경고하기도 했다.

이러한 행위는 무엇보다 트위터의 데이터 프라이버시 정책을 위반하는 것이다. 트위터는 서드파티 요소들이 프로파일 정보를 금전적인 목적으로 수집하는 것을 금지하고 있기 때문이다. 페이스북에서 캠브리지 애널리티카(Cambridge Analytica) 스캔들이 터지면서부터 생긴 변화다. 당시 페이스북은 캠브리지 애널리티카라는 서드파티 업체가 사용자들의 개인정보를 수집하도록 허용했었고, 이 때문에 큰 비판을 받았다.

트위터는 문제의 SDK들이 애플리케이션 속에 숨어 개인정보를 수집하고 있다고 구글과 애플에도 알렸다고 한다.

한편 페이스북은 SDK 개발사 혹은 유지 책임 조직인 원오디언스와 모비번이 지속적으로 악성 행위를 일삼는 곳이라고 규정하기도 했다. “보안 전문가들이 최근 저희에게 두 악성 행위 단체에 대해 알려온 바 있습니다. 원오디언스와 모비번입니다. 이들은 개발자들에게 자신들의 악성 SDK를 사용하도록 권장하며, 그 대가로 돈을 지불하고 있다고 합니다. 이렇게 만들어진 앱들은 이미 인기 앱 스토어에서 거래되고 있습니다.”

페이스북 역시 캠브리지 애널리티카 사태 이후 서드파티를 통한 개인정보 수집 행위를 플랫폼 내에서 금지시켰다. 따라서 위 SDK를 사용한 앱들은 그 무엇보다 규정 위반이었다. “조사를 통해 그러한 행동 패턴을 보이는 앱들을 전부 찾아냈고, 생태계에서 삭제했습니다. 또한 원오디언스와 모비번에 규정 위반으로 인한 정지 명령을 보냈습니다.”

페이스북은 짧은 시일 안에 정보가 새나가는 등 어떠한 형태로도 악성 SDK의 영향을 받은 것으로 보이는 사용자들에게 해당 사실을 통보하고 안전 권장 사항을 전달할 계획이다. “악성 SDK가 포함된 앱을 설치하면서 소셜 미디어에 접근하는 걸 허용한 사람들은 전부 해당됩니다.” 그러면서 페이스북은 “어떠한 플랫폼에 있든지, 앱이 설치 시 지나치게 많은 부분을 허용해달라고 요청하면 일단 설치를 멈추고 의심하라”고 권고하기도 했다.

모비번은 트위터와 페이스북에서 이러한 조치가 취해지자 해당 SDK의 사용을 중단했다. 동시에 “페이스북으로부터 금전적인 목적으로 데이터를 수집하지 않는다”고 발표했다. “모비번은 개발자들과, 데이터를 현금화시키는 기업들을 연결시켜줄 뿐, 직접 데이터를 수집 및 판매하지는 않습니다. 그럼에도 이번 사건을 계기로 모비번은 해당 SDK와 관련된 모든 행위를 즉각 중단하겠습니다.”

원오디언스 측은 아직 침묵을 지키고 있다.

3줄 요약
1. 원오디언스와 모비번이라는 곳에서 관리하는 SDK, 개인정보 수집 기능 가지고 있음.
2. 페이스북은 이 두 조직이 개발자들에게 돈을 주고 SDK를 사용하라고 권장했다 함.
3. 안드로이드용 트위터와 페이스북에서 악성 앱들 전부 삭제한 상태.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>