이석원 기자
모바일 보안 서비스 기업인 짐페리움(Zimperium)이 조사를 통해 외부 클라우드 서비스를 사용하는 iOS와 안드로이드용 앱 가운데 1만 8,000개에서 전화번호와 주소 등 개인 정보가 유출될 위험이 있다는 걸 발견했다. 앱 개발자가 클라우드 서비스 지침을 따를 걸 게을리한 게 원인이라고 설명하고 있다.
앱 사용 상황 등 정보를 저장하고 응용 프로그램이 서버에 액세스해 실시간으로 정보를 조회할 수 있는 기능 등이 모바일앱 개발에 중요한 설계 중 하나다. 짐페리움에 다르면 상당수 앱이 이런 기능에 필요한 클라우드 서비스를 아마존S3나 마이크로소프트 애저 등 외부 서비스에 의존하고 있다.
클라우드 서비스는 데이터를 쉽게 저장하고 앱에서 액세스할 수 있는 편리함이 있지만 이런 편리함은 설정에 따라 누구나 데이터에 액세스해버리는 위험이 있다. 클라우드 서비스를 제공하는 기업은 액세스를 보호하는 방법에 대해 자세한 지침을 공개하고 있지만 앱 개발자가 이에 따르지 않고 기본 상태나 설정을 잘못 사용할 가능성이 높다고 지적하고 있다.
짐페리움이 130만 개 이상 앱을 조사한 결과 자체 서버가 아닌 클라우드 서비스를 이용하는 앱은 13만 1,000개이며 이 가운데 14%인 1만 8,485개에서 응용 프로그램 설정 오류가 사용자 개인 정보나 비밀번호, 의료 정보에 쉽게 액세스할 수 있는 상태로 되어 있는 걸 확인했다. 클라우드 서비스를 통해 개인 정보에 액세스할 수 있도록 해 앱 종류는 음악이나 게임 등 다방면에 걸쳐 있으며 그 중에는 수백만 명에 달하는 사용자를 보유한 것도 있었다고 한다.
짐페리움은 사용자 개인 정보 외에 개발자 서버 인프라 스크립트, 서버 등 전체가 공개되는 경우를 발표하고 이 경우 악의적 사용자가 SSH 키를 확인할 수 있으며 앱 개발자 서버에 액세스할 수 있는 상태였다고 한다. 짐페리움은 실제로 피해가 발생했는지 여부에 대해선 개별 확인하지 않고 앱 개발자에 대해 무단 액세스나 정보 유출을 방지하기 위해 클라우드 서비스 설정을 검토하라고 호소하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
이원영 기자
