안드로이드 앱들 상당수가 취약점 가지고 있다

안드로이드 앱 3335개를 구성하는 오픈소스를 조사했더니 절반 가까이에서 최소 1개 이상의 취약점이 발견됐다. 오픈소스의 보안 강화가 팬데믹 시대에 더욱 시급하게 다가온다. 하지만 사용자가 할 수 있는 일은 사실상 아무 것도 없다.

[보안뉴스 문가용 기자] 안드로이드 앱치고 오픈소스 요소를 포함치 않는 건 거의 없다고 봐도 무방하다. 그런데 앱 개발에 사용되는 요소들 중 상당수가 취약한 상태라고 한다. 업데이트가 되지 않아 최소 한 가지 이상의 고위험군 취약점이 있다는 것. 보안 업체 시놉시스(Synopsys)가 총 3335개의 모바일 앱을 검토한 결과다.

[이미지 = utoimage]

이번 연구를 위해 선택된 앱들은 게임, 금융, 생산성 등 18개 부문에서 가장 인기가 높은 것들이었다. 그 결과 98%에서 오픈소스 코드가 발견됐다. 한 앱 당 내포되어 있던 오픈소스 코드의 수는 평균 20개였다. 최소 한 개 이상의 고위험군 취약점을 가지고 있던 앱은 46%였다. 발견된 취약점들 중 3/4는 발견된 지 2년이 넘은 것들이었다.

“새로울 것이 없는 조사 결과입니다. 개발자들이 앱을 개발할 때 보안은 여전히 간과되고 있다는 뜻입니다.” 시놉시스의 설명이다. 시놉시스가 말하는 고위험군 취약점이란 이미 해커들의 공격을 받고 있거나 개념증명용 익스플로잇이 존재하는 것을 말한다. 이런 취약점들 중 현재 시점에도 픽스가 존재하지 않는 건 5% 미만이다.

시놉시스의 기술 전문가인 조나단 크누젠(Jonathan Knudsen)은 “시큐어 코딩이 개발 문화의 주축이 되어야 한다”고 주장한다. “오픈소스 요소들을 확인 및 검사하고, 꾸준히 업데이트 하는 것이 기본이 되어야 합니다.” 그러면서 크누젠은 “소프트웨어란 이상해서 고장날 때 고치는 게 아니라 고장날 것이 예정되어 있다고 생각해야 한다”고 말한다.

“툭하면 깨지고 부서지는 뭔가를 만든다고 생각해야 합니다. 만드는 사람부터 조심할 수밖에 없어요. 모든 과정과 요소들을 조심히 다루고 지켜보게 되겠죠? 어떤 취약점이 있거나 발견됐는지도 민감하게 알 수 있어야 하고요. 최대한 부서지거나 고장나지 않도록, 만드는 순간부터 관리에 들어가야 합니다.”

하지만 구글 플레이 스토어라는 공식 스토어에서 가장 인기가 높은 앱들에도 취약한 오픈소스 요소들이 발견되고 있다는 건 안전과 보안을 도모하기 위한 개발 문화가 정착되지 않았다는 것을 드러낸다. 심지어 유료 앱이라고 해서 다를 것이 없었다고 한다. “취약한 요소를 포함한 앱은 전체의 63%였습니다. 하지만 무료 게임의 경우는 무려 96%가 취약 요소를 가지고 있었습니다. 뱅킹 앱은 88%, 예산 관련 앱은 84%였습니다.”

시놉시스의 관리자인 제이슨 슈미트(Jason Schmitt)는 팬데믹 사태 때문에 온라인 앱과 서비스의 중요도가 높아졌으며 그래서 시급히 해결되어야 한다고 강조했다. “팬데믹이 소프트웨어에 대한 우리 모두의 의존도를 강제로 높여 버렸습니다. 모바일 기술 자체가 우리 생활을 잠식하게 된 것이죠. 하지만 적응의 과정 중 보안은 크게 고려되지 않고 있습니다.”

물론 취약점이 존재한다고 해서 앱이 곧바로 취약해지는 것은 아니라고 시놉시스는 덧붙였다. “모든 취약점이 다 위험한 건 아닙니다. 하지만 이번에 발견한 취약점들 중 1% 정도는 원격 코드 실행을 가능케 한 것이었습니다. 원격 코드 실행 취약점은 보통 대단히 위험한 것으로 분류됩니다.” 취약한 요소들 중 가장 많이 사용된 건 오픈SSL(OpenSSL), SQ라이트(SQLite), Curl, 오픈JPEG(OpenJPEG), 리눅스 커널, 오픈CV(OpenCV)인 것으로 집계됐다.

소프트웨어의 문제를 야기하는 건 취약한 오픈소스 요소들만이 아닌 것으로 조사되기도 했다. 정보를 유출시키거나 사용자에게 너무 많은 권한을 요구하는 것도 소프트웨어들에서 자주 나타나는 문제로 꼽혔다.

앱들을 통해서 유출되는 정보는 URL, IP주소, 이메일 주소, 오오스(OAuth) 토큰), 비대칭 비밀 키, AWS 키, 제이슨 웹 토큰(JSON Web Token) 등인 것으로 조사됐다. 한 앱 당 사용자에게 요구하는 권한은 평균 18개였다. 심지어 이 중에는 구글이 “서드파티가 사용하지 않도록 기획된 것” 3가지도 포함되어 있었다. 지불과 관련된 앱들이 가장 많은 권한(평균 24개)을 요구하는 것으로 나타났다.

크누젠은 “안타깝게도 이런 앱들을 이미 사용하고 있는 사람들 입장에서 할 수 있는 일은 애플리케이션들을 언인스톨 하는 것 뿐”이라고 말한다. “선택하기 쉽지 않은 부분이죠. 그럼에도 사용자가 적극적으로 할 수 있는 일이 없는 게 현실입니다. 다만 해당 개발사들이 픽스를 개발한다면 이를 적용함으로써 앱을 안전히 사용할 수 있겠죠.”

3줄 요약
1. 구글 스토어의 앱들, 상당수가 취약한 오픈소스 포함하고 있음.
2. 정보 노출시키거나, 과도한 권한 요구하거나, 너무 낡은 요소 내포하고 있거나.
3. 픽스가 개발될 때까지는 언인스톨만이 답.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)