Home > 전체기사
이토마토 증권통, 스마트폰 정보 무단 수집 확인!!
  |  입력 : 2010-08-27 14:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

암호화도 안 해, 악성 공격자 해킹의 노림수 될 수 있어...


[보안뉴스 오병민] 증권정보사이트 이토마토(http://www.etomato.com)가 개발해 보급하고 있는 스마트폰 증권정보 어플리케이션 ‘증권통’이 이용자 스마트폰 정보를 추출해 서버로 전송하고 있는 것으로 파악돼 사용자들의 주의가 요구되고 있다.


이 애플리케이션이 추출해 자사의 서버로 전송하는 정보는 'USIM SN(유심 시리얼넘버)'와 ‘IMEI’ 라는 단말기식별 값으로, 이 정보가 외부로 유출되면 휴대폰 복제나 짝퉁 휴대폰, 범죄용도의 대포폰에도 이용될 수 있다.


이 같은 문제는 쉬프트웍스의 안티바이러스(백신)인 브이가드(VGUARD for Android)의 진단을 통해 알려졌다. 실제로 해당 내용을 확인해본 결과, 이토마토의 증권통 애플리케이션은 안드로이드 폰에서 추출된 USIM 정보를 이토마토의 특정서버로 보내지는 것으로 파악됐다.

 

 ▲증권통의 패킷 캡쳐. USIM SN 정보와 IMEI 정보를 이토마토 서버로 보내는 것을 확인할 수 있다  ⓒ쉬프트웍스

 

 ▲실제사용자의 스마트폰. 증권통에서 전송된 USIM SN과 IMEI 정보와 실제 스마트폰 정보와 일치함을 확인할 수 있다. ⓒ쉬프트웍스

 

이토마토에서 이용자 스마트폰 정보를 자사의 서버로 보내 수집하는 이유는, 증권통을 통해 증권정보서비스를 접속하면 스마트폰 정보로 별다른 인증절차 없이 서비스를 이용하도록 편의를 제공하기 위한 것이다.


그러나 편의의 목적이라고 해도 이는 엄연한 불법으로 확인되고 있다. 현행법(통신비밀보호법)상 단말기의 고유번호를 제공하거나 제공받는 것은, 개통처리 및 수리를 위해 이동전화단말기 제조업체와 이동통신사만 가능한 것으로 명시돼 있기 때문이다. 그리고 이를 어길 경우에는 5년 이하의 징역 또는 3천만 원 이하의 벌금에 처해진다.


게다가 더 큰 문제는 증권통에서 이토마토의 서버로 USIM 정보를 보낼 때 암호화도 안 된 상태로 전송한다는 사실이다.


이 경우, 와이파이(WiFi)와 같은 공용 무선랜에 접속할 때 악성 공격자에게 사용자 스마트폰 정보가 강탈될 우려가 있다. 따라서 개인정보나 금융정보 등 대부분 중요한 정보를 인터넷을 통해 보낼 때는 반드시 암호화를 실시해야한다.


상황이 이럼에도 불구하고, 이토마토 측은 해당 내용에 대한 해결책을 제시하기 보다는, 무법적인 진단을 하고 있다며 해당 문제를 진단한 브이가드에게 책임을 돌리고 있는 것으로 전해지고 있다.


쉬프트웍스의 한 관계자는 “해당 문제에 대해 충분히 설명했음에도 불구하고 이토마토 측은 오히려 자사의 뉴스채널 뉴스토마토를 통해 브이가드가 무작위로 안드로이드 애플리케이션을 진단하는 무법백신이라고 뉴스를 내보내고 있어 억울한 상황”이라고 토로했다.


실제로 뉴스토마토는 최근 들어, 쉬프트웍스의 브이가드가 안드로이드 애플리케이션을 무작위로 진단한다며 무법백신이라고 비방하는 기사를 내보낸 것으로 확인됐다. 그리고 최근에는 방송통신위원회가 브이가드에 대한 조사를 착수했다는 기사를 내보내기도 했다.


이에 대해 방송통신위원회의 한 관계자는 “민간업체를 별도로 조사하지는 않는다”며 사실무근이라고 관련 내용을 일축했다.


박나룡 보안전략연구소장은 “이 같은 논란은, 스마트폰 환경에서 개인정보와 통신비밀보호법 등 관련 법률 등에 대한 사업자, 제작자등의 이해 부족과 스마트폰이나, APP 개발시 컴플라이언스 측면의 검토가 부족한 부분도 영향을 미쳤을 것”이라며 “사용자도 모르게 스마트폰의 앱을 통해 빠져나갈 수 있는 개인정보와 중요정보를 어떻게 보안해 주어야 하는지에 대해 더 많은 고민이 필요한 시기”라고 말했다.

[오병민 기자(boan4@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
왕개미쩜   2010-12-22 오후 4:44:12
아뇨 보안만 잘해도 막을수있습니다. 맨날사용하는뎅 ㅎㅎ
왕개미   2010-08-30 오후 12:42:29
아래 개미님 열심히 증권통 이용하고 돈도 벌고 개인정보도 유출되세요.. 그쪽 알바생같군요.. ㅋㅋㅋㅋㅋㅋㅋㅋ
개미   2010-08-29 오후 11:55:31
주시가하는 한사람으로써 증퀀통을 애용하고 있습니다. 모 증권사 프로그램에서 브이가드 백신 프로그램이 있는데.패튼 업데이트 열라 오래 걸리고(업뎃포기)검사하면8개 위험하다고 나옵니다.네이버서치.교보이북.조선일보.범프.머니투데이.nhn.증권통 이렇게 검색되는데.. 다 이렇게 정보를 빼가는지..아님 다른회사와는 좋은관계라.아무 언급이 없는건지 궁금 하네요...꼭 증권사 브이가드만 위험하다고 나오고.스마트폰지킴이나 브이3모바일로 검색하면 이상이 없다고.나옵니다.혼자 결론은 필요한 사람은 증권통 공짜로 잘 사용하시고 꺼림직 한부는 다른 프로그램을 이용하는것이 좋겟죠..전 열심히 이용하고 돈벌랍니다.ㅎㅎㅎㅎ
그러님   2010-08-28 오후 9:56:54
저는 평소 백신이나 해킹쪽에 관심있고 사회 경제상황에 관심을 가지고있는 학생 입니다 우선!!이글을 읽고 이기사좀 봐주세요★http://www.carstory.co.kr/1064 ★
열정   2010-08-28 오후 6:00:25
이토마토 측이 정말 황당하게 기사를 많이 썻네요 ㅡㅡ;; 그게 할짓인지
얼씨구   2010-08-28 오후 1:04:43
제발 통신사에 전화 한통화라도 하고 기사 쓰자... 기자 양반..
김정한   2010-08-28 오전 12:04:44
증권통 아니 이토마토 기사 보도하는 수준을 보니 아주 발악을 하는 모습!! 이 기사를 읽어보지 않았다면 이토마토 기사만 믿을뻔했내요 그런데 자기네 일이라 그런가 자기네만 그런 기사를 쓰나보군요 한심한.. 쯧쯧쯧
나그네   2010-08-27 오후 11:44:06
이토마토측,. 사용자한테 공지는 했나몰겠네요
더욱이 정보 암호화도 안하고..중요정보 암호화는 기본일텐데..;;
책임전가 식의 대응도 마음에 안듭니다;;
인정하고, 발전적인 얘기를 하면 좋을텐디..;; 좀 실망이네요
벤처인   2010-08-27 오후 11:19:16
그냥 썅똥인데(개똥은 약에도쓴다하니) 무시해버리시지 굳이 에너지 쏟아가며 고생하시는 쉬프트웍스 대표님
세로숫길   2010-08-27 오후 11:16:55
모두의 기사를 번갈아가며 처음부터 읽어온 결과 내가 생각하기에 이토마토는 언론사라는 이점을 남용해서 공격적인 비지니스(좋게말해서 그런거고 그냥 양아치짓)로 열심히 해보려는 한 중소기업을 죽이려고 발버둥치는 의도로 밖에 보이지 않는다. 순수하게 기술력으로 어떻게든 승부해보려고 하는 어떻게 보면 우리의 미래일 수도 있는 벤처 기업을 이지경까지 몰아가다니. 돈놀이하는 너희들보다는 그나마 이런 회사가 양심도 있고 가슴의 뜨거운 열정을 가지고 일을 하고 있는것으로 보인다.
lps   2010-08-27 오후 11:14:18
무단으로 정보 수집에 암호화도 안해놓고 그것을 진단한 백신업체에 책임을 돌리다니

무슨 저런 회사가 다있습니까?
레이든   2010-08-27 오후 8:10:38
결국 이토마토가 오버한거구만
네로   2010-08-27 오후 7:19:20
통신사에 사실 확인도 안하고 사기꾼 같은 놈들 말만 듣고 그대로 복사했지?
하긴 진짜 유심카드 복사 가능한지 확인해줄 통신사 담당자 전화번호는 알겠냐?
쉬프트워크랑 같이 니들도 이제 골로 가는거다.
토마토   2010-08-27 오후 2:40:50
증권 찌라시... 그럴지 알았다..
이런..   2010-08-27 오후 2:31:48
헐.. IEMI랑 USIM 정보 알면 다 아는거 아닌가요?? 거기에 폰번호까지 알면 복제도 가능하겠네요... IEMI 값을 변경해서 통신망에 접속하면 위치 추적이나 이런것들도 안된다고 하던데.. 조심해야겠네요..


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)