시만텍(Symantec) 최근 분석에 따르면, 수백만 명이 사용하는 인기 모바일 애플리케이션들이 아마존 웹 서비스(AWS)와 마이크로소프트 애저 블롭 스토리지(Microsoft Azure Blob Storage) 같은 클라우드 서비스의 인증 정보를 코드 내에 하드코딩하고 암호화하지 않은 상태로 포함하고 있는 것이 밝혀졌다. 이로 인해 사용자 데이터가 외부로 유출되거나 악의적인 공격자가 데이터를 조작할 수 있는 위험성이 커졌다.
시만텍 연구진은 “광범위하게 사용되는 여러 애플리케이션에서 하드코딩된 클라우드 서비스 자격 증명이 코드베이스에 포함되어 있는 사실을 발견했다”며, “이는 해당 앱의 바이너리 또는 소스 코드에 접근할 수 있는 누구든지 자격 증명을 추출하여 데이터를 조작하거나 유출할 수 있다는 것을 의미한다”고 밝혔다.
구글 플레이에서 발견된 대표적인 앱들로는 픽 스티치(Pic Stitch), 메루 캡스(Meru Cabs), 레사운드 티니투스 릴리프(ReSound Tinnitus Relief) 등이 있으며, 이들은 수백만 건의 다운로드를 기록한 바 있다. 마찬가지로, 애플 앱 스토어에서도 크럼블(Crumbl), 비디오샵(VideoShop)과 같은 앱들이 같은 문제를 일으키고 있었다.
시만텍은 이번 문제의 주요 원인으로 개발 단계에서의 잘못된 보안 관행을 꼽았다. 개발자들이 편의상 자격 증명을 하드코딩하고 이를 암호화하지 않은 채로 남겨두는 경우, 이후 배포된 애플리케이션에서 이러한 민감 정보가 그대로 노출되는 위험이 발생한다.
2022년에도 시만텍은 1,800개 이상의 iOS 및 안드로이드 앱에서 AWS 자격 증명이 노출된 사례를 발표했으며, 당시 77%의 앱에서 유효한 액세스 토큰이 포함된 것으로 나타났다. 이번 조사에서도 마찬가지로 많은 앱들이 유효한 클라우드 서비스 자격 증명을 포함하고 있어 공격자들이 이를 통해 사용자 데이터를 무단으로 접근할 수 있는 상태였다.
전문가들은 개발자들에게 자격 증명을 환경 변수로 저장하고, AWS 시크릿 매니저(AWS Secrets Manager)나 애저 키 볼트(Azure Key Vault)와 같은 비밀 관리 도구를 사용할 것을 권장했다. 또한, 정기적인 코드 리뷰와 보안 감사를 통해 이러한 보안 결함을 조기에 발견하고 수정해야 한다고 조언했다.
![[단독] “공부 잘하고 싶어서”… 대학 입시생, ADHD 치료제 불법 구매 적발](https://img.segye.com/content/image/2024/10/23/20241023518303.jpg)
