[전자신문1면] 사이버해킹보안과 스마트폰 해킹 시연 기사 게재




6월 27일자 전자신문 1면에 본교 사이버해킹보안과 관련 기사가 게재 되었습니다.



스마트폰 해킹 시연



본교는 26일 사이버해킹보안과 보안관제센터에서 취약한 스마트폰 애플리케이션 서버 보안환경을 이용해 타인의 아이디로 앱에 무단 접속 가능한가를 시연했다.


박지호기자 jihopress@etnews.co.kr



신문 바로가기








스마트폰 앱, 취약한 앱 서버 탓에 '개인정보 줄줄 샌다



스마트폰 앱 서버 해킹 구조도스마트폰용 애플리케이션 서버와 데이터 전송구간에서 개인정보 탈취 등이 가능한 것으로 확인됐다. 정부와 통신사업자, 보안 당국의 적극적 대응이 요구된다.


26일 본지와 본교는 취약한 스마트폰 애플리케이션(이하 앱) 서버 보안환경을 이용해 세션정보를 탈취한 후 타인의 아이디로 앱에 무단 접속 가능하다는 것을 직접 시연했다.


그 결과 타인의 아이디, 비밀번호 등의 탈취는 물론이고 마일리지 탈취, 과금 부가 등을 일으킬 수 있었다.


스마트폰 사용자는 일반적으로 앱을 경유한 서비스 제공자 서버에 접속할 때 인증수단으로 아이디와 패스워드를 사용한다. 대다수 앱은 사용자들이 접속할 때 부여하는 세션 값(일종의 쿠키정보)을 미리 저장해두고 재인증시 이를 바로 내려주는 방식으로 작동한다.


본지와 본교는 이 같은 취약점을 발견하고 미끼용 가짜 AP를 만들었다. 이후 가짜 AP에 접속한 사용자 세션 값을 스니퍼로 탈취했다. 앱이 서버에 데이터를 요청하는 구조를 파로스(Paros) 프로그램으로 파악, 분석한 뒤 동일한 세션 값을 생성했고, 이를 서버에 보내 접속하는 데 성공했다. 타인의 쿠키값을 탈취해 다른 사람 명의로 접속한 셈이다.


충격격인 것은 이 같은 조작이 네트워크와 프로그램에 대한 약간의 지식만 있으면 누구나 가능하다는 점이다.


무작위로 앱을 시험해본 결과 10개 가운데 5~6개 가량의 앱이 공격에 무너졌다. 스마트폰 앱을 만드는 회사 대부분이 영세해 앱 개발 시 보안성을 고려하지 않은 데다 서버를 보안하기 위한 시스템을 갖춘 곳도 거의 없기 때문이다. 일부러 앱 구동을 편리하게 하고 사용자 요청에 빠르게 응답하기 위해 보안을 적용하지 않은 경우도 많다.


원일용 본교 사이버해킹보안과 교수는 “스마트폰에 저장된 개인정보를 탈취하거나 스마트폰을 도청도구로 사용하는 등 스마트폰 자체의 취약성을 지적하는 시연이 주를 이뤘지만 이보다 위험한 것은 실제 스마트폰 앱이 구동되는 뒷단인 서버”라며 “해킹에 따른 2차 범죄를 막기 위해선 대책 마련이 시급하다”고 강조했다.


원 교수는 “향후 앱 개발 시 보안코드를 사용해 제작하고 데이터 전송구간을 반드시 암호화하는 등 사용자 정보를 지키기 위한 노력이 필요하다”며 “사용자들도 함부로 앱을 내려 받을 것이 아니라 보안성이 높은 앱인지 현명하게 판단해야 한다”고 경고했다.



장윤정기자 linda@etnews.co.kr




신문 바로가기

첨부파일 :

375794.jpg