Home > Security
인기 SNS 틱톡에서 영상 콘텐츠 조작 가능케 하는 취약점 발견돼
  |  입력 : 2020-01-09 10:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
틱톡, 중국에서 개발한 SNS...전 세계 10억 명 넘는 사용자 보유해
미국 내에서 서서히 ‘위협적 존재’로서 인지되기 시작...이번 취약점 발견도 한 몫해


[보안뉴스 문가용 기자] 보안 업체 체크포인트(Check Point)의 연구원들이 인기 앱인 틱톡(TikTok)에서 다수의 취약점을 발견했다. 악용될 경우 사용자의 영상 데이터는 물론 개인정보에까지 접근할 수 있게 해주는 취약점이라고 한다. 틱톡의 개발사인 바이트댄스(ByteDance)는 이 문제에 대한 내용을 보고 받고 픽스를 개발해 배포하고 있다.

[이미지 = iclickart]


틱톡은 10대 청소년들이 주로 사용하는 앱으로, 영상을 녹화, 저장, 공유할 수 있게 해주는 SNS 플랫폼이다. 틱톡에서 만든 영상은 선택적으로 전체 공개 혹은 비공개로 지정할 수 있다. 전 세계적으로 10억 명이 넘는 사용자를 가지고 있다고 알려져 있으며, 150개 국가, 75개 언어로 제공된다. 가장 많이 다운로드 되는 앱 중 하나로 기록되어 있기도 하다.

이번에 체크포인트가 발견한 취약점은 공격자가 피해자의 틱톡 계정에 침투하여 콘텐츠를 마음대로 조작할 수 있게 해주는 것이다. 영상을 삭제하거나, 피해자가 비공개로 지정한 것을 공개로 전환하고, 계정에 등록된 개인정보(이름, 이메일 주소, 생년월일 등)도 열람할 수 있다.

제품 취약점 연구 수석인 오데드 바누누(Oded Vanunu)는 “사슬처럼 이어진 취약점들을 찾아냈다”고 설명한다. “그냥 일부 코드에서 기능이 뭔가가 누락되거나 조잡하게 짜여진 수준이 아닙니다. 비즈니스 로직 전체에 보안이라는 개념이 희박해요. 계정을 탈취하고 콘텐츠를 조작하는 등의 행위가 간단히 이뤄집니다. 이런 종류의 플랫폼에서는 특히나 작다고 보기 힘든 일입니다.”

한 가지 가능성 높은 공격 시나리오에는 SMS 링크 스푸핑이란 것이 있다. 앱의 내부 구조에 버그가 하나 있는데, 이를 익스플로잇 할 경우 아무 전화번호로 틱톡이 보낸 것처럼 SMS 메시지를 보낼 수 있게 된다. “틱톡 웹사이트 방문자들은 전화번호를 입력해 앱 다운로드 링크를 SMS로 받을 수 있습니다. SMS 링크 스푸핑 공격을 실시할 경우 악성 링크를 방문자에게 보내 장비를 감염시킬 수 있습니다.”

그 외에도 교차 사이트 스크립팅(XSS), 요청 조작(CSRF), 민감한 정보 노출 공격을 사용자 동의 없이 실행하는 게 가능하다는 사실도 추가 연구를 통해 발견됐다. “XSS 취약점과 링크 스푸핑 공격을 함께 실행할 경우, 자바스크립트 코드를 강제로 실행시키는 것도 가능합니다. 피해자가 악성 링크를 한 번만 클릭하면 됩니다.”

다양한 틱톡 서브도메인에서 몇 가지 API 호출이 발견되기도 했다. 이 API들에 요청을 보낼 경우, 사용자의 지불 관련 데이터, 이메일 주소, 생년월일과 같은 민감한 정보가 노출될 수 있다는 것도 연구원들은 알아냈다. “이 공격의 가장 큰 문제는 사용자들이 알아채기 힘들다는 겁니다. 공격자가 비디오 콘텐츠를 눈에 띄게 바꿔놓지 않은 이상 사용자가 알 수 있는 방법은 거의 없습니다.”


체크포인트는 이와 같은 내용을 틱톡 측에 상세히 알렸다. 2019년 11월의 일이었다. 바이트댄스는 2~3주 정도에 걸쳐 픽스를 개발했고, 현재 배포 중에 있다. 틱톡의 보안 팀장인 루크 데쇼텔즈(Luke Deshotels)는 “틱톡은 사용자 데이터 보호에 많은 관심을 가진 기업으로, 외부 보안 전문가들의 의견을 적극 받아들이고 있다”고 설명한다. “체크포인트는 이번 취약점을 알리고 공개하는 데 있어 충분히 책임감 있는 모습을 보여주기도 했습니다.”

체크포인트는 지난 2년여 동안 수천만 명이 넘는 사용자들을 보유한 플랫폼과 기술들을 조사해왔다고 한다. 바누누는 “그 결과 사이버 공격자들이 이런 플랫폼들을 굉장히 좋아하며, 공격을 성공시키기 위한 연구를 끝없이 이어가고 있다는 것을 알게 됐다”고 설명한다. “사람이 많은 곳에 해커들이 몰린다는 진리는 변함이 없습니다.”

현재 틱톡은 프라이버시 및 보안과 관련하여 논란이 되고 있는 앱이다. 작년 말 경 미국의 입법자들은 일제히 틱톡의 잠재적인 위험성에 대해 평가해야 한다고 주장했다. 중국 정부가 틱톡을 통해 스파이 행위를 하고 있을지도 모른다는 두려움 때문이었다. 한 때 신병 모집을 틱톡으로 했던 미군 역시 현재는 틱톡 사용을 공식적으로 금지시킨 상태다. 적어도 미국 내에서만큼은 틱톡이 점점 보안 위협으로 인식되기 시작했다.

3줄 요약
1. 중국의 인기 SNS 앱 틱톡에서 다수 취약점 발견됨.
2. 이 취약점 통해 사용자 콘텐츠 조작은 물론 개인정보 열람도 가능.
3. 틱톡 개발사는 2~3주 만에 패치 개발해 배포하기 시작함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)