보안

안드로이용 스카이프, 사용자 정보 누출 위험

Gregg Keizer | Computerworld 2011.04.19
스카이프는 자사의 안드로이드용 스카이프가 자체 결함 때문에 범죄자들이 스마트폰으로부터 개인적인 정보를 수집하는데 이용될 수 있다고 밝혔다. 사용자 이름이나 이메일 주소, 연락처, 채팅 로그 등이 누출 가능한 정보인 것으로 알려졌다.
 
한 보안 연구가는 이에 대해 “무성의한 코딩”과 “프라이버시에 대한 경시” 때문이라고 꼬집었다.
 
지난 주 보안 전문 블로그인 안드로이드 폴리스(Android Police)의 정기적인 기고자인 저스틴 케이스는 안드로이드 상의 스카이프가 휴대폰 상에 저장된 몇몇 민감한 데이터 파일에 대한 액세스를 차단하지 않는다고 밝혔다.
 
이들 파일에는 스카이프 계정과 스마트폰 사용자에 대한 상세한 정보가 담겨 있는데, 이름부터 생년월일, 다른 전화번호, 요금제 등은 물론, 채팅 로그와 스카이프 연락처에도 액세스할 수 있는 것으로 알려졌다.
 
케이스는 “스카이프는 이들 파일을 부적절한 허용 상태에 잘못 내버려 뒀고, 이로 인해 누구나, 어떤 앱이라도 액세스할 수 있다”며, “액세스는 물론, 암호화 해제도 가능하다”고 지적했다.
 
케이스는 보안되지 않은 데이터를 빼내는 안드로이드 앱을 만들어 시연해 보이고, 해커가 이와 동일한 방버을 사용할 수 있다고 경고했다. 케이스는 “악의적인 개발자라면 이런 개념의 코드로 기존 앱을 수정할 수 있으며, 이를 안드로이드 마켓으로 배포해 개인 정보가 쏟아져 나오는 것을 지켜보기만 하면 된다”고 덧붙였다.
 
케이스의 우려는 이미 그 위험성이 확인된 것이다. 지난 달 구글은 자사의 안드로이드 마켓에서 악성 프로그램에 감염된 앱을 50개 이상 걸러냈다.
 
그리고 지난 주 금요일 스카이프는 “프라이버시 취약점”이라는 용어를 사용하며 이런 문제를 인정했다. 스카이프는 이 문제를 해결하겠다고 약속했지만, 아직 구체적인 일정은 밝히지 않고 있다.
 
스카이프의 CISO 아드리안 애셔는 공식 블로그를 통해 “우리는 안드로이드용 스카이프 앱의 파일 허용의 보안을 포함해 이 취약점으로부터 보호하기 위해 신속하게 작업을 진행하고 있다”고 밝혔다. 애셔는 또 사용자들에게 어떤 앱을 다운로드하고 설치할 것인지에 대해 신중을 기하기를 당부하기도 했다.
 
하지만 소포스의 보안 연구가 체트 위스니우스키는 애셔의 이런 권고가 별로 받아들일 만한 것이 아니며, 대신 안드로이드 폰에서 스카이프를 삭제하는 것이 가장 안정한 조처라는 입장이다.
 
위스니우스키는 케이스가 발견한 결함은 진정한 의미에서 취약점이 아니라 그냥 성의없는 코딩의 문제일 뿐이라고 주장했다. 또한 과연 아이폰용 스카이프는 괜찮은지에 대해서도 의문을 제기했다.
 
이와는 별도로 케이스는 버라이즌 상의 스카이프 모바일 앱은 이런 문제가 없다고 밝혔다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.