[아이뉴스24 최은정 기자] 최근 클라우드 기반으로 운영되는 다수 애플리케이션이 개발자의 설정 오류 등 관리 문제로 인해 사용자 개인정보가 유출될 위험에 놓였던 것으로 나타났다.
보안기업 체크포인트 연구진(CPR)은 지난 20일(현지시간) 모바일 안드로이드 앱 23개를 조사한 이 같은 분석 결과를 발표했다.
CPR 측은 "최근 몇달 새 여러 앱 개발자들이 클라우드 서비스를 구성하고 이를 앱에 통합할 때 일부 구성을 잘못하는 등 모범 사례를 따르지 않은 것을 발견했다"며 "이 때문에 수백만명 사용자의 개인정보뿐 아니라 업데이트 작동 관련, 스토리지 등의 개발자 내부 정보까지 노출될 위험에 처했다"고 말했다.
특히 회사는 고객 아이디·비밀번호 등 개인정보를 별도 DB가 아닌 서비스가 제공되는 동일 클라우드에 저장해둔 경우, 문제가 될 수 있다고 짚었다.
CPR 측은 "모바일 화면 녹화 앱인 '스크린 리코더'를 분석한 결과, 개발자는 사용자 영상이 업로드되는 동일 클라우드 서비스에서 사용자의 개인정보를 저장하고 있는 것으로 보인다"고 지적했다.
팩스 앱인 '아이팩스(iFax)'의 경우, 클라우드 스토리지에 접근할 때 필요한 키를 앱 자체에 내장했다는 설명이다.
더불어 일부 앱들은 실시간(리얼 타임·real-time) 운영 DB 접근 시 사용자 인증 과정이 활성화되지 않은 상태였다. 이 때문에 누구나 해당 DB에 접근해 각종 정보들을 확인할 수 있는 위험이 있다는 것. 실시간 DB는 고객 데이터를 클라우드 상에 자동 동기화해 저장하도록 지원하는 인프라다.
CPR에 따르면 1천만번 이상 다운로드된 유명 운세·손금 앱인 '아스트로 구루(Astro Guru)'가 해당 사용자 인증을 거치지 않고 있었다. 운세를 보기 위해 입력되는 이름, 생년월일, 성별, 장소, 이메일 주소 등이 유출될 수 있는 가능성이 있었다는 설명이다.
택시 서비스 앱 '티레바(T’Leva)'도 마찬가지였다. CPR 측은 고객과 운전기사 간의 채팅 메시지에 접근하고, DB 접근 요청 하나로 고객의 이름, 연락처, 픽업장소 등을 확보할 수 있었다고 했다. 회사는 이를 아스트로 구루, 티레바 측에 알려 보안 관련 재설정할 수 있도록 지원했다.
체크포인트 관계자는 "최근 악성 앱, 네트워크, 운영체제(OS)를 악용한 각종 사이버 공격이 급증하고 있다"며 "해커는 확보한 정보를 통해 2차 공격 등을 감행할 수 있는 만큼 사용자들은 보안을 각별히 주의해야 한다"고 말했다.
/최은정 기자(ejc@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기