Home > 전체기사
삼성 키보드처럼 유지 보수 중단된 앱들, 보안 위협 된다
  |  입력 : 2020-06-01 16:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개발자가 신경 쓰지 않는 앱...아무도 책임자 없는 오픈소스...위험 가능성 높아
삼성 키보드가 대표적으로 ‘개발 행위도 없는데 설치되어 있는’ 위험한 앱


[보안뉴스 문가용 기자] 지속적인 개발 및 계발 행위가 이뤄지지 않는 소프트웨어 라이브러리들이 꽤나 위험한 요소로서 작용한다는 경고가 나왔다. 보안 업체 완데라(Wandera)가 보고서를 통해 “스마트폰과 태블릿에, 개발자들이 더 이상 관여하지 않는 앱들이 자주 설치되는 상황”이라며 “이 때문에 조직들이 무시할 수 없는 위험에 처해지게 되었다”고 주장했다.

[이미지 = utoimage]


완데라의 부회장인 마이클 코빙턴(Michael Covington)은 “제일 먼저는 취약점이 있더라도 패치가 될 가능성이 0에 가깝기 때문”이라고 설명한다. “버려진 애플리케이션들은 업데이트가 진행되지 않습니다. 당연히 점검도 이뤄지지 않고요. 공격자들이 이런 앱에서 취약점을 발견할 경우 상황이 심각하게 위험해질 수 있습니다.”

개발자들이 버렸지만 사용자들이 여전히 존재하기 때문에 위험성이 높은 것으로 보이는 앱들은 대부분 ‘생산성 앱’으로 분류되는 것들이라고 한다. 삼성이 일부 스마트폰 제품에 기본 탑재시켰던 삼성 키보드(Samsung Keyboard) 소프트웨어가 현재 가장 많이 설치되어 있는, 버려진 생산성 앱으로 나타났다. 2위인 손전등 앱에 비해 40배나 많은 수를 기록했다고 한다.

“삼성 키보드 앱에는 공개된 취약점이 존재합니다. 만약 지금 당신의 스마트폰에 삼성 키보드 앱이 설치되어 있다면 주의해야 합니다. 심지어 삼성 키보드 앱은 메타데이터 열람을 제한하고 있어 사용자가 버전 확인마저 힘들죠. 다른 키보드로 대체하시는 편이 안전합니다.” 한편 손전등 앱은 약 1.2%의 스마트폰에 설치되어 있다고 한다. 문제는 이 중 대부분이 개발사가 손도 대지 않고 있다는 것이다.

개발자 선에서조차 관리가 되지 않는 애플리케이션과 코드베이스들은 여러 산업 내에서 흔히 발견되는 문제다. 앱 개발 산업에서는, 유지 보수가 되지 않는 오픈소스 코드를 취약점 점검 없이 사용하는 경우가 늘 발생한다. 앱의 91%에서 버려진 오픈소스가 발견될 정도이며, 대부분 마지막 업데이트가 진행된 지 4년이 넘은 것들이라고 한다.

“소프트웨어에도 나이란 게 있습니다. 나이가 들수록 보살펴줘야 해요. 오픈소스도 마찬가지입니다. 오픈소스를 잘 활용하고 있다면 개발자들이 이를 좀 체계적으로 유지 관리할 필요가 있습니다. 하지만 현상은 전혀 반대로 나타나죠. 소프트웨어에도 ‘연령’이 있다는 걸 인지한 개발 문화가 형성되어야 합니다.”

애플은 자사 맥 플랫폼에 사용되는 코드를 새 것으로 유지하기 위한 장치를 마련하고 있는 상태다. 애플리케이션이 OS 버전과 잘 호환되지 않을 경우, 사용자에게 “해당 앱의 개발자가 아직 최신 맥OS에 맞는 업데이트를 진행하지 않고 있는 상태”라고 안내를 내보내는 것이다. 하지만 모바일 플랫폼에는 이러한 장치가 존재하지 않는다.

“애플은 애플리케이션 최신화에 있어서는 꽤나 공격적인 태도를 취하고 있습니다. 하지만 동시에 사용자들이 ‘강제로 뺐겼다’는 느낌을 갖는 것도 원하지 않죠. 그래서 ‘해당 앱이 최신화 되어 있지 않다’는 경고만 내보내는 겁니다. 그러나 아직 좀 더 행동을 취할 여지가 남아 있습니다. 애플뿐만 아니라 구글도 모바일 환경에서의 앱 정리에 조금 더 신경을 써줬으면 합니다. 먼저는 개발 행위가 일정 기간 없었던 앱을 찾아내 사용자들에게 알려주는 것부터 시작해되 되지 않을까요?” 코빙턴의 설명이다.

코빙턴이 말하는 것과 비슷한 기능은 iOS 장비에 옵션으로서 제공된다. 바로 ‘Offload Unused Apps’가 바로 그것이다. 설정을 통해 조정이 가능하다. 버려진 앱이 아니라 사용하지 않는 앱을 제거해주는 것으로 코빙턴이 설명하는 것과 완전히 똑같지는 않지만 어느 정도 비슷한 위험을 제거하는 데 도움이 된다고 한다.

“어느 정도 컴퓨터를 능률적으로 사용하고 싶어 하는 사람들은 바탕화면을 정리하죠. 오래된 파일을 삭제하고, 꼭 필요한 바로가기만 바깥으로 빼놓는 등을 통해서요. 이제 모바일 앱들도 그런 식으로 관리되어야 합니다. 주기적으로 업데이트 해주고 사용하지 않는 앱은 찾아서 제거하는 식으로요. 요 두 가지만 잘 실천해도 모바일 환경이 어느 정도 안전해질 수 있습니다.”

3줄 요약
1. 개발자들이 더 이상 관리하지 않는 앱, 큰 보안 구멍 될 가능성 높음.
2. 하지만 이런 앱들을 사용자들은 여전히 설치하고 있음. OS 차원에서 알려줘야 함.
3. 사용자들은 사용하지 않는 앱 주기적으로 찾아 지우고, 업데이트 해야 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상