2011년 6월 27일 전자신문 1면에 본과에 대한 내용이 실렸습니다. 다음은 기사내용입니다.
스마트폰용 애플리케이션 서버와 데이터 전송구간에서 개인정보 탈취 등이 가능한 것으로 확인됐다. 정부와 통신사업자, 보안 당국의 적극적 대응이 요구된다.
26일 본지와 본교는 취약한 스마트폰 애플리케이션(이하 앱) 서버 보안환경을 이용해 세션정보를 탈취한 후 타인의 아이디로 앱에 무단 접속 가능하다는 것을 직접 시연했다.
그 결과 타인의 아이디, 비밀번호 등의 탈취는 물론이고 마일리지 탈취, 과금 부가 등을 일으킬 수 있었다.
스마트폰 사용자는 일반적으로 앱을 경유한 서비스 제공자 서버에 접속할 때 인증수단으로 아이디와 패스워드를 사용한다. 대다수 앱은 사용자들이 접속할 때 부여하는 세션 값(일종의 쿠키정보)을 미리 저장해두고 재인증시 이를 바로 내려주는 방식으로 작동한다.
본지와 본교는 이 같은 취약점을 발견하고 미끼용 가짜 AP를 만들었다. 이후 가짜 AP에 접속한 사용자 세션 값을 스니퍼로 탈취했다. 앱이 서버에 데이터를 요청하는 구조를 파로스(Paros) 프로그램으로 파악, 분석한 뒤 동일한 세션 값을 생성했고, 이를 서버에 보내 접속하는 데 성공했다. 타인의 쿠키값을 탈취해 다른 사람 명의로 접속한 셈이다.
