76개의 앱에서 취약점 발견, 그 원인은 웹에서 코드를 잘못 사용?

iOS의 App Store에서 공개되어 있는 76개의 응용 프로그램이 보안 측면에서 취약점에 노출되어 있다는 것이 발견되었다.


총 1,800만이나 다운로드 된 만큼, 개발자 측의 조속한 대응이 시급한 상황이다.


- 개인 보안 정보가 포함 된 응용 프로그램도


76개의 응용 프로그램에 취약점이 있다는 것을 밝혀낸것은, Sudo Security Group의 윌 스트랫 최고 경영자이다. 그에 의하면, 이것은 개발자 측이 잘못된 코드를 앱에 기재 한 것 때문에 생긴 문제로, 이 응용 프로그램은 원래대로라면 무효이어야 할 TLS(전송 계층 보안) 인증서까지 인증 해버리는 사양으로 되어있다고 한다.



TLS는 응용 프로그램이 인터넷에 연결할 때, 응용 프로그램의 커뮤니케이션을 안전하게 하는 역할을 담당하고 있다. TLS없이는, 해커는 로그인 정보 등, 앱이 전송 한 데이터를 Wi-Fi 네트워크 너머로 훔쳐 볼 수 있게 된다는 것.


문제가 되고있는 76종류의 응용 프로그램 중, 33개는 보유하고 있는 사용자의 정보가 E 메일 주소에 머물고 있기 때문에, 만일 공격하더라도 위험도는 낮다는 것이지만, 나머지 43종류는 은행이나 의료 등의 응용 프로그램이며, 공격 받으면 기밀성이 높은 개인 정보가 유출 될 수 있다.




이러한 중대성을 감안하여, 해당 응용 프로그램에 대한 자세한 내용은 공개하지 않지만, 이미 스트랫 씨는 앱 개발자 측에 연락하여 문제를 복구하도록 요청하고 있다는 것.


- 개발자가 이해하지 못한 것이 원인?



그런데 왜 무효 TLS를 허용 해버리는 코드가 광범위한 응용 프로그램에 공유되어 있었던걸까?


"네트워크 관련 코드를 삽입할 때나 응용 프로그램의 동작을 변경할 때는, 매우 조심해야 한다"는 스트랫씨. "이번 문제의 일부는 앱 개발자들이 잘 이해하지 못하고 웹에서 코드를 차용 한 것에 기인하고 있다"


즉, 깊은 생각없이 웹 사이트에 공개 된 코드를 개발자들이 차용 한 결과, 이 같은 문제가 여러 응용 프로그램에서 일어나고 말았다는 것이다.


스트랫 씨에 따르면, 문제가 되고 있는 응용 프로그램을 사용하는 사용자는, 공공장소에서는 Wi-Fi 를 오프함으로써 공격을 막을 수 있게 된다고 한다. Wi-Fi 대신 셀룰러 회선에서도 공격은 가능하지만, Wi-Fi에 비해 엄청난 비용이 들기 떄문에 위험은 낮다라는 것이다.