안드로이드 앱 변경 ‘아파치 코도바’ 취약점 주의!

코도바 프레임워크 사용 개발자 최신버전 업그레이드 해야

[보안뉴스 김태형] 원클릭으로 안드로이드 앱을 변경할 수 있는 ‘아파치 코도바(Apache Cordova)’ 취약점이 발견됐다.

트렌드마이크로 모바일 위협 연구팀은 URL만 클릭하면 공격자가 앱 활동을 변경할 수 있도록 허용하는 취약점을 아파치 코도바(Apache Cordova) 앱 프레임워크에서 발견하고 아파치와의 협력을 통해 문제 해결에 관한 보안 공지 Cordova Android 버전 4.0.2를 발표했다고 밝혔다.

트렌드마이크로 모바일 위협 분석팀은 “기본적인 앱 활동에 대한 적절한 보안이 적용되어 있지 않고 환경 설정이 기본값으로 되어 있을 경우, 공격자는 환경 설정을 변경하고 앱의 활동과 표시 형식을 변경할 수 있다”고 밝혔다.

특수 제작된 URL을 클릭하도록 사용자를 유인하는 이 고위험군의 취약점은 구글 플레이에서 제공되는 전체 앱의 5.6%에 해당하는 코도바 기반 앱 대부분을 악용할 수 있고 해당 앱에 미칠 수 있는 문제점은 다음과 같다.

- 앱 표시형식 변경

- 팝업

- 텍스트 및 실행 화면 삽입

- 기본 기능 변경 및 앱 작동 불능

코도바 프레임워크를 사용하는 안드로이드 앱 개발자들이 최신 버전(4.0.2버전)으로 업그레이드하고 새로운 앱 버전을 다시 제작하도록 권장하고 있다. 이로써 이 취약점을 악용하는 공격자들이 앱을 변경하지 못하도록 막을 수 있을 것이라고 공지했다.

[김태형 기자(boan@boannews.com)]

AI 및 AI 보안 솔루션이 보안 인력의 업무에 어떤 식으로 영향을 미칠것이라고 생각하시나요
	부족한 인력 보충: 만성적인 인력 부족 문제를 해결하는 보완재 역할을 하고 있다(100% 대체는 불가)
	업무 영역의 분리: AI는 대량 데이터 처리를, 전문가는 고도의 전략적 판단을 맡는 등 역할이 완전히 다르다
	업무 총량의 전이: 단순 업무는 줄었으나, AI 모델 관리·검증 등 새로운 형태의 운영 업무가 발생해 전체 업무량은 비슷하다
	인력 대체 가능: 단순 반복 업무를 넘어 분석/판단 영역까지 대체하여 인력을 줄일 수 있다
	신뢰도 부족: 아직은 AI의 오탐이나 환각(Hallucination) 우려로 인해 사람이 일일이 재검토해야 하므로 실질적인 도움은 적다