(씨넷코리아=권봉석 기자) 미국 모바일 보안회사인 나우시큐어가 현지시간으로 16일(수) 밝힌 바에 따르면 삼성전자 갤럭시S4를 시작으로 최근 2년간 6억 대 이상 출시된 삼성전자 갤럭시 스마트폰에 기본 탑재된 키보드 앱에 심각한 문제가 있다. 이 문제를 악용하면 거의 모든 종류의 개인정보가 유출된다.
가장 큰 문제는 기본 키보드 앱은 지울 수 없는데다 다른 키보드 앱을 쓴다고 해도 근본적인 해결은 되지 않는다는 것이다. 삼성전자는 18일 공식 블로그를 통해 ‘이 문제를 해결하기 위해 근시일 내에 보안 업데이트를 내놓겠다’고 밝혔다.
애플 앱스토어 심사 통과한 앱도 위험
미국 인디애나 대학 연구팀은 악성코드를 심은 iOS용 앱도 애플의 심사를 통과할 수 있다는 사실을 발견했다. 이런 앱을 아이폰에 설치한 다음 OS X와 연동시키면 키체인을 통해 각종 ID와 비밀번호, 에버노트 접속에 필요한 정보까지 빼돌릴 수 있다. 연구진들은 이런 방법을 통해 에버노트에 저장된 메모와 주소록은 물론 모바일 메신저 ‘위챗’으로 주고받은 사진까지 빼돌리는 데 성공했다고 밝혔다.
아래 영상에서는 위 연구진이 올린 악성 앱이 페이스북 접속에 필요한 정보를 빼돌리는 것을 볼 수 있다. 핀터레스트에 접속하기 위해 페이스북 창에 ID와 비밀번호를 입력하지만 사실 이 앱은 페이스북 공식 앱을 가장한 가짜 앱이다. 핀터레스트 접속은 성공적으로 이뤄지지만 이 순간 페이스북 접속에 필요한 정보는 해커들에게 넘어간다.
개인정보를 마구 흘리고 다니는 앱들
독일 프라운호퍼 대학과 다름슈타트 대학 연구진들은 수없이 많은 앱들이 ID와 비밀번호, 주소, 위치정보, 심지어 현관문 비밀번호 등 치명적인 정보를 허술하게 저장하고 있다고 밝혔다. 두 대학 연구진들이 구글플레이와 애플 앱스토어에 올라온 75만 개의 앱을 조사한 결과 이와 같이 밝혀졌다.
앱에 저장하고 담아 둔 정보는 온라인 클라우드 서비스인 아마존 웹서비스, 혹은 페이스북 파스로 옮겨지는데 이 정보를 열어보기 위한 비밀번호 역할을 하는 토큰(Token)을 쉽게 뽑아낼 수 있다는 것이다. 문제는 이런 식으로 개인정보를 관리하는 앱이 수천 개 이상이며 이 때문에 위험에 처한 개인정보도 수십억 건에 이른다.
또 로이터통신에 따르면 보안업체 파이어아이는 대부분의 앱들이 전혀 암호화하지 않은 상태로 서버와 ID와 비밀번호를 주고 받는다는 사실도 밝혀냈다.
