NEWS

HOME

SECURITY NEWS

[보안뉴스] PDF 변환 앱 코밋닥스, 암호화 없이 파일 전송해
  • 관리자
  • |
  • 2162
  • |
  • 2020-02-21 10:07:38
보안 업체 완데라, “암호화 없이 문서 파일을 전송하는 파일 관리 앱 처음 봐”
코밋닥스 측은 “규정 위반 아니”라며 “허위 사실 발견되면 법적 조치 취할 것”이라 협박


[보안뉴스 문가용 기자] 인기 높은 파일 관리 앱들에서 민감한 정보가 유출될 수 있는 취약점이 발견됐다. 이 관리 앱들은 전부 코밋닥스(Cometdocs)라는 모바일 앱 개발사가 만든 것으로, 29개 앱들 중 23개가 파일을 전송할 때 암호화를 하지 않아 위험할 수 있다고 한다. 보안 업체 완데라(Wandera)가 애플의 앱 스토어와 구글 플레이 스토어에서 이와 같은 사실을 발견해 알렸다.

[이미지 = iclickart]


“코밋닥스의 애플리케이션들은 암호화 기술을 전혀 사용하지 않고 파일을 전송하고 있습니다. 이 때문에 악성 행위자가 파일을 저장하거나 빼돌려 민감한 정보를 가져갈 수 있게 됩니다.” 완데라가 보고서를 통해 발표한 내용이다. 또한 공격자가 피해자와 같은 와이파이 망에 있다면, 코밋닥스 서버로부터 오가는 파일들에도 접근할 수 있게 된다고 한다.

완데라의 부회장인 마이클 코빙턴(Michael Covington)은 “네트워크를 가로질러 문서를 전송하는데 강력한 암호화 기능을 전혀 사용하지 않는 건 생전 처음 보는 일”이라고 말한다. “덕분에 공격자가 중간에서 이 문건들을 들여다보고자 했을 때, 투자할 것이 거의 없습니다.”

이래서 조직들은 각 구성원이 자기 마음대로 앱을 고르고 설치하도록 할 때 큰 위험에 처할 수 있는 거라고 완데라 측은 주장했다. “앱이나 IT 장비에 대한 모든 것을 완벽히 이해하지 않은 상태에서 일부 기능만을 보고 업무 환경에 연결시킨다면, 꽤나 큰 위험을 감수해야 합니다. ‘나는 일을 잘 하려고 했다’지만, 그것이 IT 및 보안 담당자들에게는 엄청난 골칫거리가 될 수 있습니다.”

완데라는 작년 12월과 올해 1월 사이, 이러한 연구 결과를 코밋닥스 측에 세 번 알렸다. 하지만 아직까지 코밋닥스 측은 아무런 답변도 없고 조치를 취하고 있지도 않다.

코밋닥스는 모바일 장비를 사용해 PDF 문서를 워드, 엑셀, 파워포인트, 오토캐드, HTML 등의 포맷으로 변형시킬 수 있는, 일종의 파일 변환 앱과 서비스를 제공하는 업체다. 다양한 형태의 파일을 PDF로 바꾸는 것도 가능하다고 한다. 또한 클라우드 스토리지도 제공해 사용자가 언제 어디서든 파일에 접근할 수도 있으며, 지메일, 아이클라우드, 드롭박스, 원드라이브 등 인기 파일 호스팅 서비스에도 로그인 해 파일을 직접 가져오는 것도 가능하다.

코밋닥스 측의 홍보에 따르면 전 세계 300만 명이 코밋닥스의 소프트웨어를 사용하고 있다. 무료 버전과 유료 버전 모두 시장에 나와 있는 상태다. 코빙턴은 “실제 업무 환경에서 코밋닥스 앱이 꽤나 널리 사용되고 있는 것 같다”고 말한다. “완데라의 대형 고객들의 IT 인프라에서도 코밋닥스 제품들이 적잖이 나오더군요.”

코빙턴은 “코밋닥스의 인기 비결은 PDF를 변환시키는 기능을 가지고 있다는 것”이라고 설명한다. “PDF는 은근히 다루기 힘든 문서 형태죠. 하지만 널리 사용되고 있고요. 실무를 담당하는 입장에서는 이 PDF를 가지고 이리 저리 다른 작업을 많이 할 텐데, 그럴 때 PDF의 유연하지 못함이 거슬릴 때가 많습니다. 코밋닥스처럼 간편히 변환시켜주는 툴이 있으면 고마운 상황인 겁니다. 이게 바로 코밋닥스의 인기 비결이죠.”

그러면서 코빙턴은 “여기서 기본적인 보안 실천 사항이 지켜지지 않았다고 해서 사용자들이 사용을 중단할 거 같지는 않다”고 추측한다. “왜냐하면 언제나 안전성보다는 편리성이 우위를 점하기 때문입니다. 그러니 더더욱 코밋닥스 측에서 자동 업데이트를 푸시해야 한다고 생각합니다.”

한편 보안 외신인 시큐리티위크(SecurityWeek)는 코밋닥스와 연결하는 데 성공했다고 보도했는데, “꽤나 공격적인 태도”를 접했다고 보도했다. “전화 통화를 하는 동안 그들은 ‘조금이라도 사실과 다른 면이 보도된다면 고소하겠다’는 말을 반복했습니다.” 또한 코밋닥스는 “구글과 애플의 스토어 정책을 위반한 사실이 하나도 없다”는 입장을 고수하는 것으로 알려졌다.

 

3줄 요약

1. PDF 파일을 변환해 주는 인기 앱 코밋닥스, 문서 전송할 때 암호화하지 않음.

2. 이는 민감한 정보를 별다른 노력 없이 제3자가 얻을 수 있게 해주는 것.

3. 코밋닥스 측은 앱 스토어 정책을 어긴 적 없다며 고소한다고 협박 중. 

 

[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86542&page=1&mkind=1&kind=1]

이전글 [보안뉴스] 사이버 공격자들 사이에서 인기 높아지는 공격 도구, 클라우드
다음글 [보안뉴스] 구글 플레이에서 발견된 하켄 멀웨어, 8가지 앱에서 발견돼
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP