틱톡 외 53개 앱, 이용자 복사·붙여넣기 훔쳐봤다

틱톡, 3월에 시정 약속했지만 훔쳐보기 지속

컴퓨팅입력 :2020/06/29 11:16    수정: 2020/06/29 16:21

중국 기반 소셜미디어 틱톡이 지속적으로 이용자의 클립보드 데이터를 훔쳐보고 있었다는 폭로가 나왔다. 이용자가 스마트폰에서 패스워드나 비트코인 계정 같이 민감한 정보를 복사할 때마다 클립보드를 통해 이를 염탐한 것이다. 틱톡 이외에도 53개 앱이 관행적으로 클립보드에 접근하고 있어, 운영체제(OS) 개발사들의 빠른 조치가 필요하다는 지적이다.

28일(현지시간) IT전문 외신 아스테크니카는 보안 전문가를 인용해 이같이 보도했다.

보안 전문가인 토미 마이스크는 아스테크니카와 인터뷰에서 "틱톡은 클립보드 감시를 한순간도 멈춘적 없다"고 지적했다.

마이스크는 지난 3월 자신의 블로그를 통해 틱톡과 53개 유명 앱이 iOS와 아이패드에서 이용자의 클립보드를 무차별적으로 모니터링하고 있다는 내용의 보안 보고서를 공개한 바 있다.

보고서에 따르면 틱톡이 접근해온 데이터에는 패스워드, 암호화폐 지갑 주소, 계정 재설정 링크, 사적인 메시지 등 최고 민감한 데이터들이 포함 됐다.

틱톡 (사진=씨넷)

틱톡은 보안 보고서가 공개되고 즉시 이런 관행을 근절하겠다고 약속했지만, 이후에도 계속 일부 iOS 단말 이용자의 클립보드 데이터에 접근해 왔다는 게 마이스크의 주장이다.

마이스크는 자신의 트위터를 통해 최근 틱톡을 살펴본 결과 "사용자가 코멘트를 작성하는 동안 구두점이나 스페이스바를 입력하는 순간 마다 클립보드 읽기를 시도하고 있다"고 밝혔다.

이는 틱톡이 거의 3초 마다 클립보드를 훔쳐본 것으로, 3월 보고서에서 드러난 것보다 훨씬 공격적으로 이런 행위가 이뤄졌다는 것을 의미한다고 보도는 해석했다.

틱톡뿐 아니라 인기 앱 53개도 클립보드 훔쳐보기 

3월 보안 보고서에 따르면 틱톡뿐 아니라 53개 앱이 이용자 클립보드를 훔쳐보고 있는 것으로 드러났다. 웨이보, 스카이 티켓, 호텔스닷컴, ABC, CBS, CNBC, 폭스, 뉴욕타임즈, NPR, 로이터 등이 여기에 포함됐다.

이런 앱들은 클립보드에 상주하면서 이용자가 복사, 붙여넣기 기능을 이용할 때마다 모든 텍스트를 반복적으로 읽어들였다. 또, 이용자 클립보드에서 데이터를 불러오는 행위를 숨기기 위해 이런 기능을 마치 정상적인 기능인 것처럼 'iOS 프로그래밍 인터페이스'라고 명명하기도 했다.

더 심각한 문제는 이용자 단말기의 클립보드뿐 아니라 애플ID 계정을 사용하는 단말기 간 상호 복사·붙여넣기 기능인 '유니버셜 클립보드'까지 침범했다는 점이다. 즉, 한 단말기에만 이 같은 앱이 설치됐다고 해도, 애플ID로 연결된 다른 단말기의 클립보드까지 데이터 노출 위험이 있다는 얘기다.

이 같은 사실은 애플이 최신 모바일 운영체제 iOS14에 앱이 클립보드를 읽을 때마다 알림을 제공하는 기능을 탑재하면서 다시 한번 주목 받고 있다. iOS14 베타 버전이 배포되면서, 많은 사람들이 실제 얼마나 많은 앱이 그동안 클립보드를 훔쳐보고 있었는지 확인할 수 있게 된 것이다.

OS 개발사, 클립보드 접근 허가 기준 마련해야

안드로이드 기기라고 클립보드 훔쳐보기 문제에서 자유로운 것은 아니다. 

마이스크는 오히려 안드로이드 단말기에서 클립보드 훔쳐보기가 더 심각한 문제를 일으킬 수 있다고 경고했다. 

"iOS 기기의 경우 활성화된 앱에서만 클립보드를 읽거나 조회할 수 있는 반면 안드로이드는 10버전 직전까지 백그라운드에서 실행되는 앱도 클립보드 읽기를 허용해 왔기 때문이다"고 그는 설명이다.

관련기사

무차별적인 클립보드 훔쳐보기는 심각한 프라이버시 침해 문제로 이어지지만, 택배 조회처럼 실제 클립보드를 이용한 복사 붙여넣기 기능이 필요한 앱도 많다. 따라서, 애플과 구글 등 운영체제(OS) 개발사들이 클립보드 접근에 대한 명확한 기준을 마련할 필요가 제기되고 있다.

마이스크는 "애플의 알림 기능은 좋은 출발이지만 궁극적으로 애플과 구글이 마이크와 카메라에 대한 접근 허용 기준을 둔 것처럼 클립보드 접근에 대해서도 이런 기준을 마련해야 한다. 또 앱 개발사가 어떤 클립보드 데이터에 접근했고 그 데이터로 어떤 작업을 수행했는지 명확히 공개하도록 요청할 필요가 있다"고 제언했다.