모바일 애플리케이션을 통해 수십억명 정보가 노출될 수 있다는 지적이 나왔다. 프라운호퍼 연구소와 다름슈타트 공과대학 보안 연구진이 최근 데이터를 온라인에 저장하는 1000여개 유명 모바일 앱에서 비밀번호, 주소, 장소 등 개인정보 유출 가능성을 경고하고 나섰다.
연구진은 게임, 소셜네트워크서비스(SNS), 메시지, 메디컬 및 은행 환전 앱 등 거의 모든 카테고리 모바일 앱에서 보호되지 않은 데이터 총 5600만건을 발견했다.
에릭 보든 연구 책임자는 “결국 수십억명 정보가 빠져나갈 수 있다는 의미”라며 “이는 앱을 제작하거나 만들어 파는 개발자가 사용자 데이터베이스(DB)를 저장하는 설계를 하면서 발생한다”고 말했다.
대부분 모바일 앱은 아마존웹서비스(AWS)나 페이스북 모바일 앱 개발 플랫폼 파스(Parse) 저장소에 사용자 정보를 공유하거나 백업한다. 이 서비스는 저마다 데이터를 보호할 수 있는 기능을 제공하고 있지만 다수 개발자는 기본 옵션을 선택한다. 기본 옵션은 문자와 숫자로 구성된 내장 소프트웨어 코드인 일명 ‘토큰(token)’이 기반이다.
에릭 보든 연구 책임자는 “해커는 앱 토큰을 추출해 쉽게 조정할 수 있다”며 “정보가 저장된 서버에 접근해 모든 사용자 개인 정보를 볼 수 있는 셈”이라고 지적했다.
연구진에 따르면 아직 이 취약점을 악용한 사례는 없다. 어떤 앱인지는 공개하지 않았다. 연구진은 “애플이나 구글 앱스토어에서 유명 앱을 포함해 수만개 앱이 이 문제를 가진 상태”라고 밝혔다.
연구진은 애플, 구글, 아마존, 페이스북 4개 업체에 이 연구결과를 보냈다. 애플 측에서는 개발자에게 앱스토어에 앱을 올릴 때 보안 세팅을 두 번 체크하도록 하겠다는 입장이다. 구글은 답변을 거부했고 아마존은 응답하지 않았다. 페이스북 대변인은 회사가 이 연구결과에 연관된 개발자와 논의 중이라고 전했다.
연구진은 모바일 앱이 데스크톱PC·노트북PC보다 사용자 데이터 보호에 실패할 확률이 높다고 경고했다. 뉴해븐대학 사이버보안 랩(Lab)을 이끄는 아브라힘 바길리는 “모바일 앱은 개발자가 빨리 내놓기 위해 서두르기 때문에 강력한 보안을 구현하기 더 어렵다”고 말했다.
데이터 전송 과정에서 취약점을 지적하기도 했다. 보안업체 파이어아이(FireEye) 브라이스 볼랜드 아시아태평양 최고기술운영자(CTO)는 “개발자가 사용자 이름이나 비밀번호를 암호화하지 않고 보내는 경우가 일반적”이라며 “이런 상황에 정보를 안전하지 않게 저장하는 것도 당연하다”고 꼬집었다.
앱 개발팀에 보안 취약점을 알려주면 누군가가 책임을 져야 하기 때문에 이를 회피할 수밖에 없다는 의견도 나왔다. 모바일 보안 업체 앱소리티(Appthority) 도밍고 구에라 공동창업자는 “가장 좋은 방법은 클라우드 서비스 제공자나 앱스토어에서 앱 취약성을 검증해 바로잡는 것”이라고 주장했다.
김주연기자 pillar@etnews.com