개발자들의 보안 고려않는 태도, 개인정보 흘린다

BaaS, 데이터 저장과 호환성 문제 해결해주는 간편한 서비스

앱 개발하려는 개발자들, BaaS 사용시 보안 신경 안 써

[보안뉴스 문가용] 많은 이들이 웹 앱 개발에 진출하고 있다. 그러나 기능과 수익성에만 집중한 나머지 보안 문제는 뒷전으로 팽개쳐져 있는 게 보통이고, 그래서 재밌고 화려해보이긴 하지만 바람구멍이 숭숭 뚫린 채 출시되는 이런 앱들은 인터넷에 연결되어 있는 수백, 수천만의 사람들을 위험으로 내몰고 있다.

독일의 로위(LOEWE)라는 고급보안기술센터의 전문가들은 최근 웹 앱에 대한 보고서를 발간하며 파스(Parse)나 AWS와 같은 클라우드 데이터베이스에서 암호화 같은 보호책 없이 떠돌아다니는 5천 6백만 건의 데이터를 발견했다고 밝혔다. 여기서 데이터라 하면 이메일 주소, 암호, 의료 기록 등을 포함하고 있다.

여기서 특히 문제가 되는 개념은 Backend as a service, 즉 BaaS로 한마디로 외주 클라우드 서비스의 일종이다. 페이스북의 파스와 아마존의 AWS가 이에 해당한다. 웹 앱을 만드는 개발자들이 BaaS와의 호환성 작업에 특히 실패하고 있기 때문에 클라우드에 민감한 정보가 돌아다닌다는 것이다.

그러면 웹 개발자들이 BaaS를 굳이 사용하는 이유는 무엇일까? 파스나 AWS와 같은 클라우드 데이터베이스 서비스는 데이터 저장 문제와 다양한 플랫폼에서의 싱크로 맞추는 문제를 쉽게 해결해주기 때문이다. BaaS 기술 덕분에 이제 개발자들은 자신만의 서버를 따로 구축해 데이터를 저장하고 싱크를 맞출 필요가 없어졌다는 것이다. “BaaS를 사용하는 앱 개발자들은 코드 몇 줄만 사용해서 미리 설정된 서버에 자신들의 앱을 연결하면 끝이었습니다. 그러면 저장과 싱크문제가 모두 해결되는 것이었지요.”

즉, BaaS와 막 개발한 따끈따끈한 소프트웨어를 연결시키기만 하면 개발의 과정에 소요되는 노력이 확 줄어든다는 것이다. 그런데 이렇게 개발 작업의 중요한 한 축이 너무 쉬워졌다는 데서부터 새로운 문제가 발생한다. 소프트웨어와 서비스의 연결을 너무 ‘느슨하게’ 한다는 것이다. 물론 페이스북이나 아마존과 같은 클라우드 서비스 업체에서도 BaaS 사용시 보안 수칙과 관련된 내용을 장문의 문서에 담아 사용자들에게 배포하고는 있다. 그러나 그걸 꼼꼼하게 읽어볼 사람은 거의 없다고 봐도 무방하다. 즉 보안을 지키려는 실질적인 노력을 하는 이를 찾기가 매우 힘이 드는 게 현실이다.

이번에 로위의 전문가들은 7십 5만개의 애플리케이션을 해체해 분석했다. 모두 구글의 플레이스토어와 애플의 앱 스토어에서부터 다운로드 받은 것들이었다. “현재 앱 개발과 관련이 있는 데이터에 접근하려면, 암호키만 있으면 됩니다. 그 말은 암호키를 추출할 줄 아는 사람이라면 BaaS 시스템 맨 깊숙이에 있는 심연의 데이터를 끄집어낼 수 있다는 뜻이죠.”

이번 보고서를 통해 확연히 드러난 것은 애플리케이션 프로그래밍 인터페이스, 즉 API에 기반을 둔 애플리케이션 인증 시스템 및 환경에 리스크가 매우 크게 자리 잡고 있다는 것이라고 시큐리티스코어카드(SecurityScorecard)의 알렉스 헬드(Alex Held)는 설명한다. “많은 웹 앱 개발자들이 BaaS를 염두에 두고 작업을 시작합니다. 그래야 컴파일 과정과 적용 등의 공정이 간편해질 수 있으니까요. 그러나 보안에 대한 고민은 0에 가깝습니다.”

개발자가 앱과 BaaS 시스템과의 연결점을 단단하게 만들어 버릇을 하지 않았다면 결국 비슷한 기능의 가짜 애플리케이션이 등장해 소중한 데이터베이스에 침투할 것이라고 설명하는 알렉스 헬드. “API만 있으면 아무리 가짜 사이트라도 페이스북과 AWS는 그걸 못 알아봅니다. 그냥 깜빡 속아서 허락해주는 것이죠. 그러면 그게 사고로 이어집니다.”

그러면 어떻게 대처해야 할까? 사용자로서는 사실 할 수 있는 일이 거의 없다는 게 로위의 의견이다. 이는 개발단계에서 잘못된 것이므로 사용자 단계에서는 당하는 수밖에 없다는 것이다. “그렇다고 BaaS를 제공하는 업체 잘못도 아니죠. 무신경하고 보안에 대해 신경 안 쓰는 개발자들의 잘못이 전적입니다.”

일단 로위는 페이스북, 아마존, 구글, 애플에 메일을 보냈다. 거기에다가 취약한 것으로 밝혀진 애플리케이션의 목록과 제작자들의 목록을 첨부했다. “일단 저희는 할 수 있는 데까지는 다 해봤습니다. 이제 개발자들이 보안 수칙과 같은 문서를 좀 더 읽고 실천에 옮기는 일만 남았습니다.”

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)