보안 / 소셜미디어

페이스북, 왓츠앱 보안 심사에 신중

Antone Gonsalves | CSO 2014.02.27
페이스북이 190억 달러를 들여 인수한 모바일 메시징 서비스인 왓츠앱은 여러가지 보안 약점을 갖고 있었다.

앱 보안 개발업체 프리토리언(Praetorian)은 최근 미션크리티컬한 결점은 발견되지 않았다고 말했다. 대신 프리토리언은 안전한 모바일 앱을 대표하는 왓츠앱이 깜박한 실수라고 표현했다.

모바일 보안 개발업체 비아포렌식스(viaForensics) 사장 앤드류 후그는 또한 "드러난 결점이 높은 수준의 위험한 결점은 아니"라고 말했다

왓츠앱이 모바일 폰과 회사의 백엔드 서버와 연결할 때 SSL(Secure Sockets Layer) 피닝(pinning)을 강제하지 않는 것은 많은 모바일 앱이 갖고 있는 일상적인 약점이다.

SSL 피닝은 서버에서 신뢰받는 검증 데이터에 인증하는 것을 의미하는데, 클라이언트를 검사하는 것을 포함한다.

이 프로세스는 보통 SSL 프로토콜에서 또 다른 하나의 단계를 추가하면 되기 때문에 이행하는 것이 어려운 것이 아니라 왓츠앱과 같은 환경에서 사용자에게 영향을 줄 수 있다. 왓츠앱에서는 4억 5,000만의 디바이스에서 다른 모바일 디바이스로 메시지를 보내고 있다.

대부분의 보안 결점은 사용자에게 영향을 주느냐의 여부에 달린 것처럼 이 위협에 대해서도 이렇게 평가해야 한다. 이런 관점에서 본다면, 이 결점은 공격자가 트래픽을 가로채려는 시도 자체가 복잡하고 어렵기 때문에 심각하지 않다는 것이다.

메시지 트래픽을 가로채 도청하기 위해 SSL 피닝의 약점을 악용하려면 공격자는 독립적인 연결 장치를 만들어야 한다. 그런 뒤 해당 클라이언트에서 운영되는 빌트인 보안 프로그램을 다운그레이드하기 위한 방법을 찾고 왓츠앱에서 사용할 수 있는 불법적인 계정 하나를 획득해야 한다.

그럼에도 불구하고 SSL 피닝은 많은 개발자들이 얘기하는 예방책이다. 몇년전부터 아주 소수의 애플리케이션들이 인증서 피닝(certificate pinning)을 하고 있다.
후그는 "우리는 인증서 피닝이 점점더 늘어나고 있음을 보고 있다"며, "인증서 피닝은 가장 최선의 방안"이라고 말했다.

또다른 해킹 방안은 왓츠앱은 40비트에서 56비트 암호화 스키마를 사용한 자체 백엔드 서버를 허용하고 있다. 해커들은 중간자 공격을 통해 통신을 다운그레이드할 수 있으며 무작위 공격(brute-force attack)으로 암호 해독이 가능하다.

이제 페이스북에게로 공이 넘어갔다. 페이스북이 왓츠앱 보안에 주요한 변화를 줄 지는 두고 봐야 할 것이다. 페이스북은 향후 모바일 앱 개발에 대한 보안 정책에 대해 수많은 선택지를 갖고 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.