Home > Security
인기 SNS 틱톡에서 영상 콘텐츠 조작 가능케 하는 취약점 발견돼
  |  입력 : 2020-01-09 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
틱톡, 중국에서 개발한 SNS...전 세계 10억 명 넘는 사용자 보유해
미국 내에서 서서히 ‘위협적 존재’로서 인지되기 시작...이번 취약점 발견도 한 몫해


[보안뉴스 문가용 기자] 보안 업체 체크포인트(Check Point)의 연구원들이 인기 앱인 틱톡(TikTok)에서 다수의 취약점을 발견했다. 악용될 경우 사용자의 영상 데이터는 물론 개인정보에까지 접근할 수 있게 해주는 취약점이라고 한다. 틱톡의 개발사인 바이트댄스(ByteDance)는 이 문제에 대한 내용을 보고 받고 픽스를 개발해 배포하고 있다.

[이미지 = iclickart]


틱톡은 10대 청소년들이 주로 사용하는 앱으로, 영상을 녹화, 저장, 공유할 수 있게 해주는 SNS 플랫폼이다. 틱톡에서 만든 영상은 선택적으로 전체 공개 혹은 비공개로 지정할 수 있다. 전 세계적으로 10억 명이 넘는 사용자를 가지고 있다고 알려져 있으며, 150개 국가, 75개 언어로 제공된다. 가장 많이 다운로드 되는 앱 중 하나로 기록되어 있기도 하다.

이번에 체크포인트가 발견한 취약점은 공격자가 피해자의 틱톡 계정에 침투하여 콘텐츠를 마음대로 조작할 수 있게 해주는 것이다. 영상을 삭제하거나, 피해자가 비공개로 지정한 것을 공개로 전환하고, 계정에 등록된 개인정보(이름, 이메일 주소, 생년월일 등)도 열람할 수 있다.

제품 취약점 연구 수석인 오데드 바누누(Oded Vanunu)는 “사슬처럼 이어진 취약점들을 찾아냈다”고 설명한다. “그냥 일부 코드에서 기능이 뭔가가 누락되거나 조잡하게 짜여진 수준이 아닙니다. 비즈니스 로직 전체에 보안이라는 개념이 희박해요. 계정을 탈취하고 콘텐츠를 조작하는 등의 행위가 간단히 이뤄집니다. 이런 종류의 플랫폼에서는 특히나 작다고 보기 힘든 일입니다.”

한 가지 가능성 높은 공격 시나리오에는 SMS 링크 스푸핑이란 것이 있다. 앱의 내부 구조에 버그가 하나 있는데, 이를 익스플로잇 할 경우 아무 전화번호로 틱톡이 보낸 것처럼 SMS 메시지를 보낼 수 있게 된다. “틱톡 웹사이트 방문자들은 전화번호를 입력해 앱 다운로드 링크를 SMS로 받을 수 있습니다. SMS 링크 스푸핑 공격을 실시할 경우 악성 링크를 방문자에게 보내 장비를 감염시킬 수 있습니다.”

그 외에도 교차 사이트 스크립팅(XSS), 요청 조작(CSRF), 민감한 정보 노출 공격을 사용자 동의 없이 실행하는 게 가능하다는 사실도 추가 연구를 통해 발견됐다. “XSS 취약점과 링크 스푸핑 공격을 함께 실행할 경우, 자바스크립트 코드를 강제로 실행시키는 것도 가능합니다. 피해자가 악성 링크를 한 번만 클릭하면 됩니다.”

다양한 틱톡 서브도메인에서 몇 가지 API 호출이 발견되기도 했다. 이 API들에 요청을 보낼 경우, 사용자의 지불 관련 데이터, 이메일 주소, 생년월일과 같은 민감한 정보가 노출될 수 있다는 것도 연구원들은 알아냈다. “이 공격의 가장 큰 문제는 사용자들이 알아채기 힘들다는 겁니다. 공격자가 비디오 콘텐츠를 눈에 띄게 바꿔놓지 않은 이상 사용자가 알 수 있는 방법은 거의 없습니다.”


체크포인트는 이와 같은 내용을 틱톡 측에 상세히 알렸다. 2019년 11월의 일이었다. 바이트댄스는 2~3주 정도에 걸쳐 픽스를 개발했고, 현재 배포 중에 있다. 틱톡의 보안 팀장인 루크 데쇼텔즈(Luke Deshotels)는 “틱톡은 사용자 데이터 보호에 많은 관심을 가진 기업으로, 외부 보안 전문가들의 의견을 적극 받아들이고 있다”고 설명한다. “체크포인트는 이번 취약점을 알리고 공개하는 데 있어 충분히 책임감 있는 모습을 보여주기도 했습니다.”

체크포인트는 지난 2년여 동안 수천만 명이 넘는 사용자들을 보유한 플랫폼과 기술들을 조사해왔다고 한다. 바누누는 “그 결과 사이버 공격자들이 이런 플랫폼들을 굉장히 좋아하며, 공격을 성공시키기 위한 연구를 끝없이 이어가고 있다는 것을 알게 됐다”고 설명한다. “사람이 많은 곳에 해커들이 몰린다는 진리는 변함이 없습니다.”

현재 틱톡은 프라이버시 및 보안과 관련하여 논란이 되고 있는 앱이다. 작년 말 경 미국의 입법자들은 일제히 틱톡의 잠재적인 위험성에 대해 평가해야 한다고 주장했다. 중국 정부가 틱톡을 통해 스파이 행위를 하고 있을지도 모른다는 두려움 때문이었다. 한 때 신병 모집을 틱톡으로 했던 미군 역시 현재는 틱톡 사용을 공식적으로 금지시킨 상태다. 적어도 미국 내에서만큼은 틱톡이 점점 보안 위협으로 인식되기 시작했다.

3줄 요약
1. 중국의 인기 SNS 앱 틱톡에서 다수 취약점 발견됨.
2. 이 취약점 통해 사용자 콘텐츠 조작은 물론 개인정보 열람도 가능.
3. 틱톡 개발사는 2~3주 만에 패치 개발해 배포하기 시작함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)