모바일 애플리케이션 개발자들 중 HTTPS 꺼두는 경우 상당히 많다

일부 모바일 앱들에서 안전한 데이터 전송 프로토콜인 HTTPS가 일부러 비활성화 된 경우들이 있다고 한다. iOS에는 이런 앱이 5천 개 이상, 안드로이드에서는 2천 개 이상 발견됐다.

[보안뉴스 문가용 기자] 많은 모바일 애플리케이션 개발자들이 사용자 브라우저에서부터 수집한 데이터를 서버로 보낼 때 일부러 HTTPS 기능을 활용하지 않는다는 연구 결과가 나왔다. 이 때문에 공격자가 민감한 정보를 중간에서 가로챌 수 있게 된다고 한다. 개발자들이 이런 안전하지 못한 선택을 하는 이유 중 하나는 광고를 노출시키기 위해서라고 보안 업체 시만텍(Symantec)이 발표했다.

[이미지 = utoimage]

다소 충격적일 수 있는 이러한 연구 결과는 지난 5년 동안 애플과 구글에 등록된 수십만 개의 iOS 및 안드로이드 모바일 앱들을 분석해서 나온 것이다. 개발자가 의도적으로 HTTPS를 배제하는 경우는 iOS 환경에서 7%, 안드로이드 환경에서 3.4%인 것으로 나타났다. 사용자 정보가 전혀 안전하지 않은 채널을 통해 오가고 있었다고 한다.

시만텍의 수석 보안 연구원인 케빈 왓킨스(Kevin Watkins)는 “개발자들이 HTTPS를 일부러 배제시키는 이유를 명확히 알 수가 없어서 현재 부차적인 연구 과제로 놓고 조사하고 있다”고 설명했다. 연구 중에 한 가지 재미있는 사실을 발견했는데 개발자들을 위한 도구들 중 이해할 수 없는 부분들이 존재한다는 것이다. “구글이 직접 배포한 개발자 도구 등 일부에서는 ATS라는 네트워크 보안 기능을 비활성화 시키도록 강제하고 있습니다. iOS에서는 9.0부터 지원되던 기능이죠.”

애플의 경우 개발자들이 ATS를 완전히 혹은 부분적으로 비활성화 시키려 할 때 정당한 이유를 대도록 하고 있다. 이 때 사유가 정당하다면 ATS를 꺼두는 게 가능한데, 이렇게 한 번 허락을 받은 개발자들은 그 다음부터 안전하지 못한 채널로 모든 데이터를 전송할 수 있다. 한 번 허락이 어렵지, 그 다음부터는 ‘프리패스’가 주어진다는 것. “그래서인지 보안 기능을 비활성화 한 iOS 앱의 숫자는 놀라울 정도였습니다.” 왓킨스의 설명이다.

시만텍은 2017년부터 2021년까지 iOS의 ATS와 같은 보안 및 프라이버시 보호 기능을 일부러 비활성화시킨 앱들을 쭉 적발하고 분석해 왔다. 그 결과 4만 5158개의 앱(전체의 7.6%)에서 안전하지 않은 특징들이 있음을 찾아냈고, 이는 보안이 강조되는 것과 반대로 해가 갈수록 늘어나고 있다고 한다. “2020년 기준 4만 5158개의 불안전한 앱이 등록됐는데, 지난 5년 중 최고 수치입니다.”

반면 안드로이드 환경에서 암호화 되지 않은 통신 채널을 일부러 차용한 앱의 경우 매년 감소하는 추세를 보이고 있다. 2017년에는 이러한 앱들이 전체의 5%를 차지하고 있었는데, 지금은 2.4%에 그친다. 총 12243개로(2020년 기준), 올해는 현재까지 2376개가 이러한 과정으로 제작된 것이 적발된 상황이다.

시만텍은 다양한 항목의 앱들에서 이러한 특징을 발견할 수 있었다고 한다. 그러나 1위를 차지한 건 게임 앱들이었다. “게임 앱들은 대량의 데이터를 안전하지 않은 채널로 전송하고 있었습니다. 여기에는 게임에 필요한 데이터도 포함되어 있습니다. 흥미로운 건 각종 민감 정보를 다루는 금융권 앱들에서도 HTTPS가 사라진 경우가 많다는 겁니다. 게임에 이어 2위를 차지했어요. 대형 금융 서비스 업체의 iOS 앱에서도 HTTPS가 부재해 수많은 고객들이 불안전한 상태에서 로그인을 하더군요. 물론 다음 버전에서 이 문제는 해결이 됐습니다.”

게임 앱과 금융 앱 사용자들 뿐만 아니라 많은 iOS와 안드로이드 앱 사용자들이 이러한 문제를 해결하기 위해 할 수 있는 일은 사실상 없다고 봐야 한다. “그게 제일 안타까운 점입니다. 설치 안 하거나 구매를 안 할 수 있지만, 어떤 앱들은 대체 불가능할 수도 있지요. 구글과 애플에서 이러한 앱들을 허용하지 않아야만 실질적인 해결이 가능합니다. 아니면 괜찮은 VPN을 늘 사용함으로써 HTTPS를 기반으로 하지 않는 앱이라도 비교적 안전하게 이용할 수도 있습니다. 아마 소비자 입장에서 가장 능동적인 대처는 그것뿐일 겁니다.”

4줄 요약
1. 많은 앱 개발자들이 HTTPS를 비활성화 시킨 상태에서 데이터를 주고 받음.
2. 비율로 보면 얼마 되지 않지만, 절대 수치는 5천 개 이상이라 무시하기 힘든 상황.
3. 게임 앱과 금융 앱에서 이러한 경우가 가장 많이 발견됨.
4. 사용자들이 할 수 있는 일은 VPN 설치 후 사용이 거의 전부.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)