3200개의 앱에서 트위터 API 키가 노출되는 취약점이 발견됐다. 개발자들이 하드코딩을 해 놓고 출시 전에 삭제하는 걸 깜빡 한 것으로 보인다. 이 앱들을 통해 트위터 계정을 송두리째 가져가는 것도 가능하다고 한다. 모바일 생태계가 점점 더 위험해지고 있다.

[보안뉴스 문가용 기자] 수많은 모바일 앱들이 트위터 API 키들을 유출시키고 있다는 사실이 드러났다. 이 중 어떤 건 트위터 계정 탈취 공격마저도 가능하게 하기 때문에 꽤나 위험할 수 있다고 한다. 인도의 보안 업체 클라우드섹(CloudSEK)이 발견한 것으로, 현재까지 3207개의 모바일 앱에서 이러한 문제가 발견됐다고 하며, 트위터가 아니라 다른 플랫폼의 API 키까지 조사를 한다면 더 많은 앱들에서 문제가 발견될 수도 있다고 한다.

​

[이미지 = utoimage]

이러한 앱들을 통해 계정 장악에까지 성공한 경우라면 공격자들은 다양한 악성 행위를 실시할 수 있게 된다. 메시지 열람 및 리트윗, 좋아요 누르기, 메시지 삭제, 팔로워 삭제, 새로운 계정 팔로우, 프로파일 변경 등이 여기에 포함된다. 클라우드섹은 “가짜뉴스를 대량으로 살포하기 위한 계정으로 활용하기에 딱 알맞게 된다”고 설명했다.

애플리케이션 개발자 오류

문제의 앱들은 누군가 공격 캠페인을 기획하고 악의적으로 앱을 위장시켜 플레이 스토어에 업로드 한 것이 아니다. 단순 개발자들의 인증 크리덴셜 관리 오류일 가능성이 높다고 클라우드섹은 설명한다. 앱 개발을 진행하는 과정에서 인증 크리덴셜을 편리하게 사용하고 특정 API를 활용하기 위해 삽입했다는 것이다. “예를 들어 어떤 게임 앱을 개발하던 사람이, 사용자가 기록한 최고 점수가 자동으로 트위터에 올라가도록 하는 기능을 추가했다면 트위터 API를 활용해야 합니다. 거기까진 좋은데, 이 트위터 API를 활성화시키는 데 필요한 크리덴셜과 키까지 코딩 안에 넣어놓고 잊어버리는 경우가 많습니다.”

API 보안 업체 스택호크(StackHawk)의 CSO인 스콧 걸락(Scott Gerlach)은 “모든 접근이 가능한 API 키를 노출시킨다는 건 사실 현관문을 활짝 개방하고 사는 것과 같다”고 설명한다. “사용자가 API에 어떻게 접근하는지를 개발자가 앱 개발 할 때 생각하고 관리해야 합니다. 그래야 안전하게 API를 사용할 수 있게 할 수 있습니다. 이 부분을 간과하면 사실상 악성 앱을 만든 것이나 다름이 없다고 봐도 무방합니다.”

노출된 API 키와 토큰, 크리덴셜을 악용할 수 있는 방법은 다양하다. 클라우드섹 측은 다음과 같은 방법들이 있음을 알리면서 경고했다.

1) 스크립트에 엠베드 하면 트위터 봇 군대를 만들 수 있고, 이 봇 군대를 통해 가짜뉴스를 살포할 수 있다.

2) 수많은 계정들을 빠르고 효과적으로 탈취할 수 있게 된다.

3) 멀웨어를 트위터 계정들을 사용해 퍼트릴 수 있다.

4) 스팸 캠페인을 펼칠 수 있다.

5) 자동화 된 피싱 공격을 실시할 수 있다.

보안 업체 설트시큐리티(Salt Security)의 야니브 발마스(Yaniv Balmas)는 “클라우드섹이 이번에 발견한 API 키 노출 문제는, 과거 비밀 API 키가 실수로 노출된 사건들을 상기시킨다”고 설명한다. “다만 이전 사건들과 이번 사건의 차이점은 노출된 API 때문에 가장 위험해지는 것이 누구냐인데, 이전 사건들에서는 주로 애플리케이션 개발사나 개발자였고, 이번 사건에서는 앱을 다운로드 받아 설치한 사용자입니다.”

발마스는 과거 AWS S3 API 키가 깃허브에 노출되었던 사건을 예로 든다. “그 사건은 개발사의 개발자가 사용하던 API 키가 노출된 것이었습니다. 개발을 하면서 자기 키를 사용했다가, 삭제하는 걸 잊어버렸던 것이죠. 이번 사건의 경우, 문제가 됐던 앱들이 사용자의 트위터 계정에 대한 접근 권한을 요청하고, 그 과정에서 사용자의 트위터 계정에 접근하게 되므로 사용자가 위험해집니다.”

모바일과 사물인터넷 생태계, 계속해서 위험해져

클라우드섹의 보고서가 나온 시점에 버라이즌(Verizon)도 새 보고서를 발표했다. 모바일과 사물인터넷 생태계의 장비들을 노리는 위협이 매년 22%씩 증가한다는 내용이다. 이 조사에 참가한 기업들의 23%는 대규모 모바일 보안 위협을 경험한 바 있다고 했는데, 대부분 도소매, 금융, 의료, 제조, 공공 분야에 있는 조직들이었다. 버라이즌은 지난 2년 동안 하이브리드 업무 체계가 급증하면서 생겨난 현상으로 이를 해석하고 있다.

“모바일 장비들에 대한 공격은 앞으로 꾸준히 늘어날 것입니다. 모바일 장비의 사용량도 계속해서 늘어날 것이고요. 하이브리드 업무 체제라는 게 잠깐 있다가 사라지는 유행이 아닐 가능성이 높기 때문입니다. 그런 의미에서 모바일 생태계가 계속해서 위험해지고 있다는 사실 자체가 놀랍지는 않습니다만, 매년 22%씩 증가하고 있다는 것은 무시무시한 일입니다. 작은 숫자가 절대 아니거든요.” 버라이즌의 솔루션 전문가 마이크 라일리(Mike Riley)의 설명이다. 모바일과 사물인터넷 장비를 겨냥한 위협이 조직에 미칠 수 있는 가장 큰 피해는 데이터 손실과 업무 마비라고 라일리는 덧붙였다.

보안 업체 룩아웃(Lookout)의 수석 솔루션 매니저인 행크 슐레스(Hank Schless)는 “모바일에 대한 위협이 증가하고 있다는 지금의 이 트렌드는 클라우드에 저장된 데이터가 늘어나고 있다는 트렌드와 같은 선상에서 바라보아야 한다”고 강조한다. “모바일 장비의 자유로움은 클라우드 기술로 극대화 됩니다. 클라우드로 연결되는 고리가 바로 모바일 장비라는 것이죠. 결국 공격자들이 항상 노리는 건 데이터이고, 데이터로 가는 길목에 있는 모든 것들을 뚫어낼 것입니다.”

3줄 요약

1. 모바일과 사물인터넷에 대한 공격, 해마다 22% 증가 중.

2. 최근 사용자들의 트위터 API 키들을 노출시키는 앱들 수천 개가 발견되기도 함.

3. 공격자들이 노리는 최종 목표는 데이터.​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=108847&page=1&mkind=1&kind=1)]