iOS / 모바일 / 보안

iOS에서의 지메일 사용, 데이터 감청 위험 노출

Jeremy Kirk | IDG News Service 2014.07.14
라쿤 모바일 시큐리티는 구글이 애플 모바일 기기에서 지메일을 접속할 때 데이터 감청을 막을 수 있는 보안 기술을 아직 이행하지 않고 있다고 주장했다. 그러나 구글은 이런 주장에 대해 부인했다.

이스라엘과 미국에 기반을 둔 라쿤 모바일 시큐리티 CISO 아비 바산은 "공격자들이 사용자와 구글과의 암호화된 통신을 감청하고 수정하는 것을 막는 보안 기술을 아직도 이행하고 있지 않다고 결론을 내렸다"고 전했다.

웹사이트들은 SSL/TLS(Secure Sockets Layer/Transport Layer Security) 프로토콜을 사용한 데이터 트래픽을 암호화하기 위해 디지털 인증을 사용한다.

그러나 일부 인스턴트의 경우, 트래픽을 지키고 복호화하기 위해 허용된 이 인증은 공격자에 의해 이용당할 수 있다.

이 위협은 애플리케이션에서 합법적인 디지털 인증을 위해 하드 코딩이 가미된 인증서 피닝(pinning)을 통해 없앨 수 있다.

안드로이드와는 달리 구글은 iOS에서는 이런 조치를 취하지 않았다. 이는 공격자가 중간자 공격(man-in-the-middle attack)을 실행할 수 있으며, 암호화된 통신을 읽을 수 있다는 의미다.

바산은 구글은 2월 24일 라쿤이 구글에게 통지한 이후부터 이 문제를 알고 있었지만 아직 이 문제는 해결되지 않았다고 전했다.

구글은 이런 라쿤의 주장에 대해 부인했다.
구글은 애플 iOS에서 지메일 사용자에 대한 보안 미비로 인해 데이터 감청을 할 수 있다는 것에 대해 부인했다.

구글은 이메일을 통해 지메일 내 보안 위험이 현재 남아 있지 않으며, 이는 지메일 앱 내 취약점이 아니라고 공식 답변했다.

구글은 라쿤에 의해 제기된 이 시나리오는 해커에게 그들의 앱에 접속하게 해주는, 특히 악의적인 최상위 인증을 설치한 사용자의 명백한 실수에 의해 일어난다고 전했다.

기업보안제품을 테스트하는 NSS랩 CTO 존 펄크는 이런 구글의 주장에 동의했다. 펄크는 "공격자들은 파일 내에 악의적인 인증서를 보내는 방법을 강구해야 하며, 이를 아이폰 또는 아이폰 사용자가 열어보게끔 속여야 한다"고 설명했다.

펄크는 "소셜 엔지니어링과 같은 방법을 통해 이를 클릭하게끔 유도하지만 그리 가능성이 높지는 않다"고. 피해자가 악성 파일을 열게끔 해야 한다는 것은 라쿤 또한 인지하고 있었다.

라쿤은 해당 표적이 비즈니스 사용자가 된다면 공격자는 보내는 메일 주소를 IT부서로 해 수령인에게 해당 폰의 배치 파일을 설치하라고 요청하는 이메일을 보낼 수 있다고 추정했다.

그러나 펄크는 "이 파일에 최상위 디지털 인증을 포함하고 있다면 피닝을 설치한다고 해도 막을 수 없다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.