안드로이드, "SSL도 안전치 않다"

일반입력 :2012/10/22 10:47

손경호 기자

구글 안드로이드 운영체제(OS)에서 은행 및 포털 등 보안기능이 강화된 사이트에 접속하는 과정에서 사용되는 '보안접속(SSL) 기능'도 해킹 위협에서 안전치 않은 것으로 나타났다. 독일 연구원들은 1만3천개의 안드로이드 애플리케이션(앱)을 분석해본 결과 약 1천개 이상의 앱이 SSL 기능 활용시 심각한 취약점을 갖고 있다는 연구결과를 발표했다.

21일(현지시간) 외신들은 독일 라이프니츠 대학교와 필립스 대학교가 공동연구한 결과, 전체 조사 대상 중 17% 가량의 SSL 사용 앱에서 중간자 공격 취약점(MITM)이 발견됐다고 보도했다.

MITM은 SSL 인증 과정에서 공격자가 클라이언트에게 공격자의 주소를 원래 웹서버의 주소인 것처럼 위장해 중요한 개인정보를 빼낸다. 연구진은 아메리칸 익스프레스, 다이너스 클럽 페이팔, 은행계좌, 페이스북, 트위터, 구글, 야후, 마이크로소프트 라이브 ID, 워드프레스, 원격제어서버, 이메일, IBM 세임타임 등에서 신용정보를 훔쳐낼 수 있다고 밝혔다.

백신 역시 SSL을 이용한다. 연구진은 백신 앱에 악성코드를 주입해 바이러스 탐지를 차단할 수 있도록 하는 경우도 있다고 말했다.

SSL은 온라인 상에서 안전하게 정보를 전달하기 위해 넷스케이프 사가 정한 인터넷통신규약프로토콜이다. 이는 클라이언트와 서버 사이에 통신과정에서 인증 암호화 기능을 수행한다. 암호화 통신을 통해 웹브라우저와 웹서버 간에 서로 상대방을 확인한다. 다음, 네이버는 물론 주요 금융기관 등이 모두 이 방식을 사용하고 있다.

안드로이드4.0 소프트웨어개발키트(SDK)는 네트워크에 접속할 수 있는 편리한 방법들을 제공한다. 'java.net', 'javax.net', 'android.net', 'org.apache.http packages' 등은 서버소켓이나 HTTP(S) 연결 등 SSL인증을 구현하는데 자주 사용된다. 'org.webkit' 패키지는 웹브라우저에 기능적으로 접근할 수 있도록 한다. 안드로이드는 SSL사용을 최적화하기 위한 설정을 바꿀 수 있다.

문제는 개발자들이 안드로이드 API가 제공하는 SSL설정을 오용하고 있다는 점이다. 안드로이드 API 개발자들은 SSL을 통한 보안인증방식을 임의로 설정할 수 있다. 이 과정에서 연구원들은 모든 증명서를 '신뢰할 만한 내용'으로 인증하는 앱들을 발견했다. MITM 테스트를 통해 100개 중 21개 앱에서 이러한 내용이 확인됐다.

관련기사

이 중 20개의 MITM 테스트를 거친 앱들은 호스트네임에 상관없이 인증에 동의하도록 설정이 돼있었다. 예를 들어 페이팔에 연결되는 앱은 또 다른 도메인으로부터의 인증도 별다른 확인과정 없이 허용한다.

추가로 연구원들은 많은 앱들이 사용자들에게 충분치 않은 피드백을 주고 있다는 점을 지적했다. 사용자의 신용정보를 전송하기 위해 SSL을 사용하던지 그렇지 않던지에 대해 제대로 통보해주지 않고 있다는 설명이다.