세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > Security
포트나이트 안드로이드, 생태계에 커다란 보안 구멍 낼까
  |  입력 : 2018-09-10 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인기 게임, 수수료 문제 때문에 구글에서부터 독립하기로 결정
사용자들 보안 옵션 조정 강제해, 생태계 내 커다란 보안 구멍 생길 예정


[보안뉴스 문가용 기자] 인기 게임 포트나이트(Fortnite)의 제작사인 에픽 게임즈(Epic Games)가 포트나이트 안드로이드 버전을 공식 구글 플레이 스토어가 아닌 자사 웹 사이트를 통해 제공하겠다는 계획을 그대로 유지할 것으로 보인다. 이에 따라 대규모 안드로이드 사용자들의 보안 상태가 약화될 수 있다는 우려의 목소리가 계속해서 나오고 있다.

[이미지 = iclickart]


지난 달 에픽 게임즈는 안드로이드용 포트나이트를 설치하려면 구글 플레이 스토어가 아니라 자사 웹사이트를 통해 apk 파일을 다운로드 받아야 한다고 발표했다. 그런데 이렇게 하려면 안드로이드 OS의 기본 보안 옵션을 조정해야 한다. 구글 플레이 스토어가 아닌 외부 출처를 통해 앱 설치가 가능하도록(디폴트 상 이는 금지된 행위이다) 해야 한다는 것이다.

에픽 게임즈가 이 같은 결정을 내린 건 구글 측과 수수료를 결정하는 데 있어 협상에 성공하지 못했기 때문이라고 한다.

‘알려지지 않은 출처로부터 앱 설치 허용’ 옵션을 활성화시키면 비교적 나이가 어린 편에 속하는 수많은 게이머들의 기기에 보안 구멍이 생기게 된다는 커다란 문제가 발생한다. 이 옵션을 켜두면 악성 앱 설치가 훨씬 쉬워지기 때문이다. 이 옵션 허용 하나로 사용자가 실수로 혹은 속아서 악성 앱을 설치할 가능성이 높아진다.

보안 전문가들은 포트나이트의 인기와 안드로이드 사용자들의 수를 생각했을 때 안드로이드 생태계에 커다란 보안 구멍이 뚫리는 걸 막을 수 없을 것으로 예상하고 있다. 이 구멍의 크기는 포트나이트의 인기와 에픽 게임즈의 홍보 수준, 사용자들의 반응에 따라 결정될 것으로 보인다.

그러면서 보안 전문가들은 에픽 게임즈 측이 게임 앱의 설치 파일을 얼마나 안전하게 유통하느냐, 또한 설치 과정에서 사용자들의 안드로이드 옵션을 어떤 식으로 돌려놓는가도 중요하게 작용할 것이라고 말한다.

에픽 게임즈가 염두에 두어야 할 것은 또 있다. 바로 SEO 사기 공격이다. 안드로이드용 포트나이트를 찾기 위해 많은 사용자들이 포털 검색을 할 것으로 보이는데, 이를 노린 공격자가 검색 순위를 조작해 악성 다운로드 파일을 호스팅하는 방법으로 사용자들을 노릴 수 있다. 게다가 이 사용자들은 아무 파일이나 다운로드 및 설치가 가능하도록 폰의 옵션을 조정한 상태일 테니 이러한 공격의 효과는 배가될 것이 분명하다.

보안 업체 멀웨어바이츠(Malwarebytes)의 전문가들은 이 문제와 관련된 보고서를 발표하기도 했다. 그러면서 “이미 포트나이트 앱의 독특한 설치 과정(플레이 앱 스토어를 통하지 않는다는 점) 자체만으로도 보안 커뮤니티는 들썩이고 있다”고 설명했다.

그러면서 “맨 인 더 디스크(Man in the Disk) 공격에 유의해야 한다”고 경고했다. “포트나이트 앱은 일부 데이터의 외부 저장을 허용하는데, 이러한 앱들의 경우 맨 인 더 디스크 공격에 취약합니다. 이를 악용해 공격자들이 사용자들 모르게 뒤에서 여러 익스플로잇을 실행할 수 있습니다. 정상 앱이 이렇다는 말입니다.”

이는 에픽이나 포트나이트만의 문제가 아니다. 멀웨어바이츠는 “사용자들이 ‘알려지지 않은 출처로부터 앱 설치 허용’ 옵션을 활성화시켜야만 사용이 가능한 앱들이 꽤 된다”며 “이러한 앱들을 개발하는 회사들 모두 사용자들의 안전에 더 신경 써야 할 것”이라고 강조했다. 그러나 가장 안전한 건 이러한 앱들을 애초에 설치하지 않는 것이다. 포트나이트는 PC나 iOS 버전을 사용하는 편이 더 안전할 것이다.

3줄 요약
1. 포트나이트, 수수료 문제로 구글 플레이 스토어에 입점하지 않기로 결정.
2. 따라서 포트나이트 사용하려면 ‘외부 프로그램 설치 허용’ 옵션을 활성화시켜야 함.
3. 이는 안드로이드 환경 내 적잖은 보안 구멍 낼 것으로 우려됨.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술