하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

트렌드 마이크로의 보안 앱 세 개, 앱스토어에서 삭제
등록일 :
2018.09.11
닥터 안티바이러스, 닥터 클리너, 닥터 언아카이버, 앱스토어에서 사라져
브라우저 정보 수집하고 외부로 전송해...애플리케이션 목록 수집하기도 해


[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)에서 개발한 애플리케이션들 중 닥터 안티바이러스(Dr. Antivirus), 닥터 클리너(Dr. Cleaner), 닥터 언아카이버(Dr. Unarchiver)가 애플의 앱스토어에서 삭제됐다. 이 앱들이 사용자의 브라우저 히스토리 데이터 등의 민감한 정보를 수집하는 것이 발견됐기 때문이다. 얼마 전 애플은 비슷한 이유로 애드웨어 닥터(Adware Doctor)라는 앱을 스토어에서 삭제하기도 했다.

[이미지 = iclickart]


위 세 가지 트렌드 마이크로 앱들에 대해 많은 전문가들이 이상한 점을 공통적으로 발견했다. 사파리, 크롬, 파이어폭스 등 브라우저에서 데이터를 수집하고 어디론가 업로드 하는 것이었다. 뿐만 아니라 같은 시스템에 설치된 애플리케이션들로부터도 정보를 수집해 업로드하고 있었다고 한다. 이 앱들은 실행 때부터 데이터 수집을 하고, 수집된 데이터를 개발자의 서버로 보내는 것으로 밝혀졌다.

이 문제를 제일 먼저 공개한 건 또 다른 보안 업체 멀웨어바이츠(Malwarebytes) 포럼의 한 사용자였다. 멀웨어바이츠의 맥 및 모바일 책임자인 토마스 리드(Thomas Reed)는 “비슷한 시기에 다른 여러 보안 전문가들도 비슷한 문제를 제기하기 시작했다”며 “데이터 수집과 빼돌리기라는 공통된 사안들이 언급됐다”고 설명한다. 리드는 이러한 전문가들과 함께 앱을 더 분석해 어떤 데이터가 어떤 방식으로 빠져나가는지 연구했다.

애플에서 운영하는 앱스토어의 앱들은 대부분 샌드박스 처리되는 것이 보통이다. 그러므로 어떤 앱이건 접근하고 사용할 수 있는 데이터가 상당히 제한되어 있다. 하지만 위 트렌드 마이크로의 앱들은 보안을 목적으로 하는 것이기 때문에 다른 일반 앱들로서는 접근이 불가능한 정보에 도달할 수 있다. 얼마 전 삭제된 애드웨어 닥터 앱 역시 보안 앱을 가장해 민감한 정보에 접근하는 것으로 밝혀졌다.

사용자가 이번 사건들에서처럼 홈 폴더에 대한 접근까지 허용하면, 그 권한을 받은 앱들은 사용자의 설정 내용들까지 열람할 수 있게 된다. 위 닥터 시리즈 앱들은 이를 통해 사파리, 크롬, 파이어폭스로부터 사용자의 브라우징 히스토리(인터넷 활동 이력)를 수집했다고 리드는 설명한다. “뿐만 아니라 각 브라우저로부터 인터넷 활동 이력과 검색 이력을 분리하고, 각각 하나의 파일에 저장하는 기능도 가지고 있었습니다. 즉 한 브라우저 당 두 개의 파일이 생성되는 것이었죠. 그래서 총 6개 파일이 서버로 보내지고 있었습니다.”

다만 닥터 안티바이러스 앱의 경우 조금 달랐다고 리드는 설명을 추가했다. “브라우저의 정보만이 아니라 시스템 내 설치되어 있는 애플리케이션 목록들도 전부 가져가더군요. 아마도 샌드박스 탈출 기법을 통해 이러한 행위를 할 수 있었던 것으로 보입니다.”

이러한 데이터를 모으는 목적은 보통 위협 첩보를 수집하기 위해서라고 리드는 설명을 추가했다. “예를 들어 어떤 시스템에 위협 요소가 발견되었다면, 사용자가 마지막으로 방문한 곳이 어디인지 확인해보는 작업이 필요합니다. 이걸 알려면 브라우저로부터 히스토리 정보를 확인해야 하죠. 위협의 출처를 알면 공격에 대한 보다 큰 그림을 그릴 수 있게 됩니다.”

그러나 프라이버시의 관점에서 봤을 때, 아무런 위협의 징조 없이 브라우저 정보를 가져간다는 건 대단한 침해 행위다. 사용자가 설치한 다른 앱들의 목록을 가져간다는 것도 프라이버시 침해라고 볼 수 있다. “하지만 네트워크 모니터링 소프트웨어를 설치하지 않는 한 이러한 정보 수집 행위를 일반 사용자가 탐지한다는 건 매우 어려운 일입니다. 일반 사용자가 할 수 있는 일이란, 앱을 설치할 때 권한 허용을 어디까지 할 것인가 두 번, 세 번 생각하고 결정하는 것이 거의 전부입니다.”

한편 일부 전문가들은 트렌드 마이크로를 강력하게 비판하기 시작했다. 사용자의 정부를 훔쳐 중국으로 빼돌린다는 주장도 나왔다. 이에 트렌드 마이크로는 성명서를 발표해 이러한 혐의를 부인했다. 그러면서 이번에 드러난 사안에 대한 초동 조사를 마쳤다고 말했다. “그 결과 닥터 클리너, 닥터 클리너 프로, 닥터 안티바이러스, 닥터 언아카이버, 닥터 배터리(Dr. Battery), 듀플리킷 파인더(Duplicate Finder)에서 브라우저 히스토리의 작은 일부가 1회성으로 수집되어 업로드되는 것을 발견할 수 있었습니다. 설치 전 24시간의 기록만이 수집되고 있었습니다.”

트렌드 마이크로는 이 정보 수집 행위가 딱 한 번만 발생하는 것이라는 점을 강조했다. 그것도 보안 강화를 목적으로 한 것이라고 한다. “사용자가 애드웨어 등의 여러 위협에 최근 노출되었는지를 알아보기 위해 해당 데이터를 수집했습니다. 또한 이러한 목적으로 데이터가 수집되고 있다는 건 수집 정책을 통해 고객들에게 알리고 있고, 수집되는 데이터는 설치 과정 중에 표시됩니다.” 또한 수집된 데이터는 AWS가 호스팅하고 있으며 트렌드 마이크로가 통제하는 미국 내 서버로 전송된다고 한다.

논란이 생기자 트렌드 마이크로는 해당 앱들에서 브라우저 정보 수집 기능을 삭제하기로 결정했다.

리드는 “트렌드 마이크로의 앱들과 애드웨어 닥터만이 아니라 다른 많은 앱들에서도 비슷한 문제가 있을 가능성이 높다”고 추측했다. “이 두 사건에 연관성이 있어 보이지는 않습니다. 그렇지만 모두 ‘보안’을 강조하며 다른 앱들로는 접근할 수 없는 데이터에 접근했고, 이를 수집해 빼돌렸다는 점에서는 둘이 마치 짠 것처럼 유사합니다. 찾아보면 다른 앱들에서도 이러한 특징이 발견될 것이라고 봅니다.”

3줄 요약
1. 트렌드 마이크로의 앱 세 개에서 프라이버시 정보 수집하고 전송하는 기능 발견됨.
2. 이에 애플은 앱스토어에서 이 앱 세 개를 전부 삭제함.
3. 트렌드 마이크로는 보안 위해 딱 한 번만 그런 정보를 수집했을 뿐이라고 해명함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top