‘오피셜 트럼프 2020’...안드로이드 설치용 APK에서 키 정보 등 노출되고 있어
트럼프 캠프, 서둘로 패치 준비...하지만 개발 과정에서의 안전치 못한 점 드러나

[보안뉴스 문가용 기자] 도널드 트럼프 미국 대통령의 재선 캠페인을 위해 개발된 모바일 앱인 ‘오피셜 트럼프 2020(Official Trump 2020)’에서 심각한 취약점이 발견됐다. 주요 기밀과 키가 노출되는 취약점이라고 웹사이트 플래닛(Website Planet)이 발표했다.


웹사이트 플래닛 측은 오피셜 트럼프 2020 앱을 분석하는 과정에서 “안드로이드용 APK가 트위터 애플리케이션 키, 구글 앱 및 구글 지도 키 등 민감하면서도 중요한 기밀들을 노출하고 있다는 사실을 알아냈다”고 발표했다.

앱을 통해 노출된 키를 통해 웹사이트 플래닛의 분석가들은 애플리케이션의 여러 부분들에 접근할 수 있었다고 한다. 다만 사용자 계정에는 접근하는 데 실패했다. “앱을 설치한 사용자의 계정에 접근하려면 또 다른 키가 필요합니다만 다행히도 이 키는 노출되어 있지 않았습니다. 노출되어 있었다면 트럼프 대통령 본인의 계정에도 접근할 수 있었을 것으로 보입니다.”

그러나 웹사이트 플래닛이 사용자 계정에 접근하기 위해서 모든 노력을 쏟아 부은 건 아니었다. “사용자 계정에 굳이 접근하려고 시도하지 않았습니다. 이미 ‘일부 기밀과 키들이 노출되어 있다’는 것만으로도 충분히 위험하다고 판단했기 때문입니다. 그리고 트럼프 캠프 측에 이 사실을 알렸습니다.”

실제 지금 노출되어 있는 정보만으로도 해커들은 가짜 ‘오피셜 트럼프 2020’ 앱을 진짜처럼 보이게 만들 수 있고, 이를 통해 여러 가지 악성 행위를 할 수 있다고 한다. 트럼프 캠프 측은 보고를 접수한 뒤 얼마 지나지 않아 패치를 진행하기도 했다.

웹사이트 플래닛은 “이는 개발자의 ‘인간적 실수’ 때문에 발생한 일로 보인다”며 “개발 과정 전반에 보다 엄격한 규정과 정책을 적용함으로써 실수를 최소화할 수 있다”고 강조했다. “이런 종류의 취약점은 조금만 더 엄격한 개발 과정을 도입하면 얼마든지 예방할 수 있습니다.”

그러면서 “비밀 키들을 인터넷을 통해 노출시키지 않는다는 건 기본 중의 기본”이고, “앱의 최종 점검 단계에서 이러한 부분들을 놓치지 않았는지 확인하는 것 역시 기본 중 기본”이라고 지적했다.

3줄 요약
1. 트럼프 재선 운동 위해 만들어진 공식 앱에서 취약점 발견됨.
2. 여러 비밀 키가 노출되어 있어 각종 악성 행위 실행할 수 있음.
3. 현재는 패치된 상태이지만, 개발 과정에서의 기본기 부족함이 드러나기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>