Home > 전체기사
온라인 데이팅 앱, 사용자의 민감한 정보 마구 노출 중
  |  입력 : 2019-08-13 16:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
위치 정보 통해 집과 직장, 각종 만남의 장소 추적 가능해
“데이팅 앱의 목적 자체가 노출인데, 왜 굳이 사용?” 묻는 전문가도 있어


[보안뉴스 문가용 기자] 네 개의 온라인 데이팅 앱을 통해 1천만 명의 민감한 정보가 유출되고 있다는 사실이 밝혀졌다. 이를 발견한 보안 업체 펜 테스트 파트너즈(Pen Test Partners)에 의하면 “그 덕분에 사용자의 ID만 알면, 위치를 추적할 수 있게 된다”고 한다. “집이 어디고 직장이 어디이며, 주로 어디서 여가 시간을 갖는다는 걸 거의 실시간으로 알 수 있게 됩니다.”

[이미지 = iclickart]


문제의 데이팅 앱은 그라인더(Grindr), 로미오(Remeo), 레콘(Recon), 스리펀(3fun)이다. 펜 테스트 파트너즈에 의하면 “위도와 경도 정보를 스푸핑 해서, 여러 지점으로부터 사용자 프로파일의 거리가 어느 정도 되는지 측정할 수 있으며, 이를 통해 정확한 위치를 계산하는 게 가능하다”고 한다. 그라인더의 경우 삼변측량까지도 가능하다고 한다.

펜 테스트 파트너즈는 “특별한 도구나 솔루션을 사용해 해킹한 것도 아니”라고 강조했다. “오로지 공개된 API들만을 사용했을 때 정확한 위치 추적이 가능했습니다.”

이런 정보는 상황에 따라 위험한 데에 악용될 수 있다. 특히 성소수자 등 은밀한 성적 비밀이나 성향, 취향을 가진 자들이 많이 사용하는 앱일 경우 사용자가 사회적으로 매장을 당하거나 큰 수치를 당할 수 있게 된다. 심지어 어느 국가에 사용자가 있느냐에 따라 목숨이 위험해질 수도 있다. “아니면 스토커에게 쉽게 쫓길 수도 있게 됩니다. 그것도 역시 위험한 상황으로 이어질 수 있죠.”

그러나 보안 업체 벡트라(Vectra)의 보안 분석 책임자인 크리스 모랄레스(Chris Morales)는 “자신의 신분이나 특성이 드러나길 싫어하는 사람이 데이팅 앱을 사용하는 것 자체가 이상한 것”이라는 입장이다. “데이팅 앱을 사용하는 목적 자체가 ‘누군가에게 발견되기 위해서’가 아닌가요? 정말 숨기려고 하는 사람이면 데이팅 앱을 사용할 이유가 없죠. 그래서도 안 되고요. 물론 집요한 추적도 문제고, 너무 정확한 정보가 마구 공개되는 것도 문제지만, 애초에 데이팅 앱들이 역사적으로 안전한 사례가 거의 없었어요.”

그러면서 모랄레스는 “성소수자라는 사실 때문에 사형까지 받을 수 있는 나라에서 공개적으로 데이팅 앱을 사용한다는 건, 앱보다 사용자의 문제가 더 크다고 생각한다”고 말했다. 위 네 가지 앱의 사용자들 중에는 사우디아라비아에 위치한 사람도 있는 것으로 나타났다.

모랄레스의 말대로 데이팅 앱들은 거의 대부분 공격적으로 사용자의 정보를 수집하고 안전하지 않은 방법으로 보관 및 공유해왔다. 지난 6월 프라이버시 전문 단체인 프로프라이버시(ProPrivacy)는 매치(Match)나 틴더(Tinder) 등 수많은 데이팅 앱들이 사용자의 모든 데이터를 수집하고 있다는 사실을 적발했다. 순수하게 사람과 사람을 연결시켜주는 데 사용하는 것도 아니었다. 광고사에 팔아 주머니를 불리는 게 거의 전부였다.

지난 7월에는 또 다른 성소수자 전용 데이팅 앱인 젝드(Jack'd)가 데이터 유출 때문에 24만 달러의 벌금을 낸 바 있다. 당시 잭드를 해킹한 공격자들은 각종 민감한 개인정보는 물론 사용자들의 알몸 사진들도 전부 가져가는 데 성공했었다. 올해 2월에는 커피 미츠 베이글(Coffee Meets Bagel)과 오케이 큐피드(OK Cupid)라는 데이팅 앱에서도 크리덴셜 유출 사고가 발생했었다.

“데이팅 앱은 보안 개념이 거의 하나도 섞이지 않은 채 허술하게 만들어지는 경우가 대부분입니다. 실제 최근 사례들만 봐도 이는 쉽게 증명할 수 있습니다. 데이팅 앱 사용자들은 이를 전혀 몰라요. 이런 사례를 모른다고 하더라도, ‘가까운 곳에 있는 친구를 찾아준다’는 것부터 의심할 수는 있어야죠. 아무 정보도 공유하지 않고 자신과 가까이 있는 또 다른 사용자를 어떻게 앱이 알 수 있을까요? 데이팅 앱은 서로가 서로를 발견해내고자 만든 앱입니다. 사용하는 순간 프라이버시는 저만치 날아가는 겁니다.” 모랄레스의 설명이다.

펜 테스트 파트너즈는 문제의 데이팅 앱 개발사들에 연락해 조치를 취해달라고 요청했다. 그러나 돌아오는 답변들이 그리 호의적이진 않았다고 한다. “로미오는 사용자가 선택한 부분이지 디폴트 옵션이 아니기 때문에 어쩔 수 없다라고 했습니다. 레콘은 일부 위치 정보 관련 정책을 수정해 그리드에 사용자가 아주 정확하게 나타나지 않도록 했습니다. 그러나 크게 변한 건 아닙니다.” 가장 위험하다고 보이는 그라인더와 스리펀의 경우 아예 응답이 없었다.

펜 테스트 파트너즈는 “데이팅 앱에서 사용할 수 있을 정도로만 위치를 노출시키되, 사람의 신원은 감출 수 있는 기술들이 존재한다”며, “그런 기술들을 앱 개발사들이 사용한다면 안전하게 데이팅 앱을 사용할 수 있을 것”이라고 주장한다. 하지만 모랄레스는 “정말 안전하고 싶고, 정말 자신을 감추고 싶다면 아예 시작도 하지 않는 게 최선”이라고 반박했다.

3줄 요약
1. 비정상 데이팅 앱들 네 개, 사용자의 위치 정보도 마구 노출 중.
2. 사실 거의 모든 데이팅 앱들에서 공통적으로 나오는 문제. 앱 개발사는 공격적으로 정보 수집해 광고 시장에 판매.
3. 데이팅 앱의 목적 자체가 ‘노출’이기 때문에 정말 안전하고 싶다면 아예 사용하지 않는 게 정상.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제