모바일 / 보안 / 애플리케이션

"구글, 애플 앱 스토어에 평균 2,400개의 위험한 앱이 있다"...베라코드

Maria Korolov | CSO 2015.03.12
모바일 보안업체 베라코드(Veracode)에 따르면, 애플과 구글과 같은 글로벌 업체의 스토어에 평균 2,400개의 위험한 앱들이 있다.

베라코드는 애플과 구글 앱 스토어에서 이용할 수 있는 인기있는 애플리케이션 40만 개 이상을 분석했는데, 이 가운데 약 3%인 1만 4,000개의 앱들이 보안 문제를 갖고 있는 것을 발견했다.

예를 들어, 1만 4,000개 위험한 앱 가운데 85%는 위치, 연락처, 문자 메시지와 같은 민감한 데이터를 노출했다.

일부는 좀더 심각했다. 약 37%의 앱들은 해당 기기의 루트나 탈옥 여부를 파악하고, 악성코드를 무력화하거나 다른 프로그램을 실행하는 등 의심스러운 행동들을 한다.

그리고 35%는 브라우저 이력과 같은 개인 정보에 접속해 이 정보들을 의심스러운 곳으로 보낸다.
많은 사용자들이 무료 인기 애플리케이션에서의 애드웨어와 그의 사촌격인 스파이웨어를 용인하고 있다.

베라코드 모바일 부문 부사장 테오도라 티토니스는 "이 앱들이 무료일 때, 그 사용자는 제품이 된다"고 말했다.

그러나 일부 애플리케이션들은 훨씬 더 많은 것들을 가져간다. 예를 들어 전등 앱을 사용할 때 그 앱은 상당히 중요한 위치 데이터를 온 세계에 보내고 있다.

그럼에도 불구하고 스토어에 있는 앱들은 지금 현재에도 다운로드되고 있는데, 기업에서 중요한 점은 이런 앱들이 회사 직원들의 기기에 깔린다는 점이다.

티토니스는 예시로 구글 플레이 스토어를 통해 이용할 수 있는 안드로이드 폰 용 오디오북 앱인 레이지 리슨(Lazy Listen)을 제시했다. 무료이며 중국어 앱인 이 앱은 센젠스 원라인 테크놀로지(Shenzen's Oneline Technology Co., Ltd)에서 제공하는 것으로, 이미 50만~100만 대의 안드로이드 스마트폰에 설치됐다.

이 앱은 전화가 걸려올 때, 메시지를 보내기 위해, 음성을 기록하기 위해, 루트 파일 시스템을 읽기 위해 사용자의 위치를 추적한다. 또한 인증 정보를 획득하기 위해 사용자와 이 기기, 그리고 가입 통신업체에 대한 정보를 확인한다.

티토니스는 "이 행동을 분석해보면 이 정보들이 고객들의 경험 향상을 위해 사용되지 않는다는 것을 알 수 있다"고 말했다.

이 정보들은 원 서버로 옮겨져 이 앱을 모니터링하는 데 사용되어질 수 있다. 또한 잠재적으로 알지못하는 곳이나 신뢰성이 없는 서드파티 데이터 브로커들에게 팔릴 수도 있다.

베라코드의 클라우드 기반 모바일 앱 보안 애플리케이션은 VM웨어의 에어와치(AirWatch), 모바일아이론(MobileIron)과 IBM의 파이버링크(Fiberlink)와 같은 모바일 기기관리 업체를 통해 사용된다.

예를 들어 보안 평가에서 떨어진 블랙리스트 앱을 자동적으로 정리한다. 기업들은 사용자에게 이 앱이 위험하다고 경고하거나 회사 이메일에 접속하는 걸 제한할 수 있다. 심지어는 이 앱이 기업에게 보다 높은 위험성을 가하는 경우 특정 기기에서 지울 수도 있다.

티노니스는 기업들에 의해 블랙리스트에 등재되어 있는 대표적인 앱 3개를 공개했는데, 그 3인방은 앵그리 버드(Angry Birds), 페이스북(Facebook), 그리고 넷플릭스(Netflix)다.

"앵그리 버드는 지원 광고가 붙어있다. 보안 측면에서 본다면, 스파이웨어보다 정규 애드웨어가 더 광범위한 위험성을 갖고 있다. 앵그리 버드는 오히려 생산성을 죽이는 앱이기 때문에 블랙리스트에 등재됐을 가능성이 높다"고 덧붙였다. editor@itworld.co.kr
 Tags 베라코드

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.