한국 63개 앱 피해 입은 골도슨 사태로 본 앱의 보안 취약성 문제
문제 불거진 앱에 SDK 파일 제공한 TDI플레이 “보안에 위배되지 않는 파일일 뿐”
해당 SDK 파일의 악성코드 분류 시점도 논란...향후 유사한 문제 계속 불거질 듯
[보안뉴스 김영명 기자] 지난 3월 우리나라의 안드로이드 기반 앱에서 처음 발견된 악성코드 ‘골도슨(Goldoson)’ 사태로 인해 앱의 보안 취약성 이슈가 다시금 불거지고 있다. 정식 앱 스토어에서 다운로드 받는 앱에 만약 악성코드가 포함되면 그 피해가 기하급수적으로 증가할 수 있기 때문이다. 반면, 앱에 공통된 SDK 파일을 제공한 기업 측에서는 해당 파일은 보안에 위배되지 않는 파일로 악성코드가 아니라는 입장도 밝히고 있어 논란이 커지고 있다.
▲미국 보안기업 맥아피에서 발표한 골도슨 멀웨어 관련 이슈[자료=맥아피]
골도슨 멀웨어의 최초 시작은 메가박스에서였다. 3월 10일 안드로이드 플랫폼에서 구글 플레이 프로텍트에 의해 ‘기기 보안에 문제가 발생했을 수 있음-안전하지 않은 앱 1개 발견’이라는 경고가 발생했으며, 그 대상이 된 앱 이름이 ‘메가박스’였다. 이에 3월 17일 메가박스 측은 홈페이지 공지를 통해 ‘메가박스 앱 내에 문제가 있는지’ 확인하고 있다고 안내했다. 메가박스 앱은 구글 플레이스토어에서 ‘광고 사기 시도’라는 위반 행위로 삭제됐다. 이후에도 구글 플레이 스토어와 포털 사이트에서는 CU편의점택배(BGF네트웍스), 솜노트(퀀텀비트) 등 저촉받는 앱들이 증가하기 시작했다.
이어 글로벌 보안기업 맥아피(McAfee)는 4월 12일 홈페이지에 ‘한국의 인기 앱에서 발견된 개인정보 침해 및 클리커 안드로이드 애드웨어 : 골도슨(Goldoson)’이라는 제목과 함께 해당 이슈에 대해 상세히 소개했다.
골도슨 멀웨어의 피해를 입었던 도메인과 앱 목록은?
맥아피에서 언급한 골도슨 멀웨어의 피해를 입은 도메인 리스트를 살펴보면 △bhuroid.com △enestcon.com △htyyed.com △discess.net △gadlito.com 등 총 27개다.
▲맥아피에서 공개한 골도슨 멀웨어의 피해를 입은 도메인 리스트[자료=맥아피]
맥아피는 골도슨 멀웨어의 피해를 입은 앱의 목록도 함께 명시했다. 해당 멀웨어에 감염된 앱은 총 63개였다. 그중에서 국내에서 가장 많은 다운로드 수를 기록하고 있는 앱은 △L.POINT with L.PAY(멤버십/포인트) △스와이프 벽돌깨기(오리지널 게임) △편한가계부(Money Manager Expense & Budget)(가계부, 리얼바이트) △롯데시네마(영화) △라이브 스코어(스포츠 경기 점수 안내, PSYNET) △곰(GOM)(동영상 재생, 곰앤컴퍼니) 등 6개로 총 다운로드 수는 1,000만건 이상을 기록했다. 골도슨 멀웨어의 피해를 입은 앱의 전체 목록은 다음과 같다.
▲국내 최초로 메가박스 안드로이드 앱에서 발생한 보안 문제 및 메가박스 측 안내문(좌부터)[자료=메가박스]
▲메가박스에서 3월 17일에 공지한 안내문[자료=메가박스]
이번 골도슨 멀웨어 감염으로 인해 해당 63개 앱은 현재 구글 플레이 스토어에서 멀웨어 제거를 통한 보안 조치를 완료해 서비스가 재개됐거나 아니면 아예 목록에서 삭제돼 더 이상 서비스되지 않는 등 두 가지 조치로 구분된다. 본지 조사결과, 구글 플레이 스토어를 기준으로 업데이트된 앱은 35개, 제거된 앱은 28개로 파악된다.
주요 피해 앱 서비스 기업의 조치사항은?
이번 사태와 관련해 국내 6개 앱을 서비스하는 회사 측 담당자를 통해 사건 대응 및 피해 조치상황을 들어봤다. 6개 앱은 △L.POINT with L.PAY△벽돌깨기 팡팡(Swipe Brick Breaker) △편한가계부(Money Manager Expense & Budget, 리얼바이트) △롯데시네마(Lotte Cinema) △라이브스코어(Live Score, PSYNET) △곰(GOM, 곰앤컴퍼니) 등이다.
먼저 ‘L.POINT with L.PAY’ 앱의 경우 롯데멤버스 관계자는 “당시 사건을 접하고 3월 10일부터 엘포인트 앱에서 문제가 된 ‘오늘의 날씨’ 서비스만 임시 중단했고, 이후에는 정상적으로 앱을 다시 서비스했다”고 말했다. 이어 “3월 13일에는 ‘오늘의 날씨’ 서비스를 삭제해 버전 7.6.4로 업데이트를 완료했다”며 “3월 13일에는 ‘오늘의 날씨’ 서비스를 앱에서 완전히 삭제했다”고 밝혔다.
‘롯데시네마’ 앱과 관련해 롯데컬처웍스 측은 “해당 사건이 발생하기 한참 이전에 UI 교체 이슈가 있어 지난 2월 13일에 관련된 SDK 프로그램을 제거했다”며 “골도슨 멀웨어 이슈가 불거진 다음, 구글 플레이 스토어 측에서 이를 해결하지 않으면 앱 서비스를 중단하겠다고 연락을 해왔는데, 그때는 이미 조치를 완료한 상태였다”고 말했다. 이어 “해당 악성코드는 광고 위치기반을 잡아주는 SDK 파일에서 생긴 멀웨어로 파악됐다”며 “기존 롯데시네마 앱에서는 와이파이나 블루투스로 위치정보를 수집하는 기능이 포함되지 않았기 때문에 골도슨 멀웨어도 문제될 게 없었다”고 설명했다.
개인 사업자가 관리하는 게임 앱 ‘벽돌깨기 팡팡(Swipe Brick Breaker)’과 리얼바이트에서 2004년 출시해 1,000만회 이상 다운로드 횟수를 기록한 편한 가계부(Money Manager Expense & Budget), 그리고 사이넷에서 2011년 출시해 다운로드 500만회 이상을 기록한 라이브스코어 앱 측은 인터뷰를 거부하거나 계속 연락이 닿지 않았다.
동영상 관련 앱인 곰(GOM)을 서비스하는 곰앤컴퍼니 측은 “해당 멀웨어는 회사에서 서비스하는 앱 자체에서 발생한 것은 아니고, 외주 업체인 TDI플레이에서 외부 제휴 서비스를 탑재한 앱을 서비스하면서 발생했다”고 밝혔다.
TDI플레이 “아무 문제 없는 SDK 파일 제공했을 뿐”
해당 앱들에 SDK 파일을 제공한 것으로 알려진 TDI플레이는 빅데이터 전문기업 TDI 그룹의 자회사다. TDI플레이가 취득한 특허는 ‘키워드 매칭 및 위치 데이터 기반의 양방향 광고시스템 및 이를 이용한 광고방법’으로 알려졌다.
TDI플레이 관계자는 “TDI플레이에서 제공하는 위치기반 서비스도 멀웨어가 아니고, 해당 서비스를 제공하는 과정에서 멀웨어가 들어간 것도 아니”라는 입장을 밝혔다. 그는 “얼마 전 한국인터넷진흥원으로부터 TDI플레이에서 제공한 SDK 파일을 어떻게 만들었는지 문의가 왔다”며, “우리는 해당 SDK 파일에 악성코드를 임의로 심지도 않았으며, 고객의 개인정보를 탈취하려고 시도한 적도 없다고 답했다”고 말했다.
해당 관계자는 “이번 사건에 연관된 7개 앱 모두 우리 회사의 SDK 파일이 들어간 것이 맞다”면서도 “지금까지 아무런 문제 없이 계속 서비스를 해왔는데, 갑자기 악성코드로 분류돼 난감하다”고 말을 이었다.
TDI플레이 측에서는 구글 플레이 스토어에 해당 SDK 파일이 어떠한 문제가 있는지 확인을 요청했지만, 구글은 이에 대한 명확한 답변을 주지 않고 있다고 말했다. 이어 구글은 SDK 파일이 이전에 발견된 악성코드와 라이브러리가 비슷하면 무조건 악성코드로 분류한다고도 말했다. TDI플레이 측은 “구글은 내부 정책에 맞지 않으면 무조건 ‘문제’ 낙인을 찍고 플레이 스토어에서 앱을 삭제하는 사례가 이전에도 빈번했다”고 답답함을 토로했다.
TDI플레이 관계자는 “새로운 프로그램을 만들다 보면 한 번에 완벽하게 만들 수 없고, 오류가 있을 수도 있다”며 “데이터 매니지먼트 플랫폼(DMP)을 통해 사용자들에 대한 데이터를 수집하고 오류가 발견되면 끊임없이 업데이트하고 있다”고 강조했다. 이어 “지난 3월 9일에 처음 발생한 이번 이슈를 인지한 즉시 관련 앱에 제공되던 광고모델 SDK 서비스를 모두 제거했다”며 “해당 앱에 제공되던 SDK 파일에 구체적으로 어떠한 문제가 있는지 구글 측의 제대로 된 입장을 듣고 싶다”며 인터뷰를 마쳤다.
▲골도슨 멀웨어 피해를 입은 앱 목록(다운로드 수, 업데이트 여부)[자료=맥아피]
[김영명 기자(boan@boannews.com)]
문제 불거진 앱에 SDK 파일 제공한 TDI플레이 “보안에 위배되지 않는 파일일 뿐”
해당 SDK 파일의 악성코드 분류 시점도 논란...향후 유사한 문제 계속 불거질 듯
[보안뉴스 김영명 기자] 지난 3월 우리나라의 안드로이드 기반 앱에서 처음 발견된 악성코드 ‘골도슨(Goldoson)’ 사태로 인해 앱의 보안 취약성 이슈가 다시금 불거지고 있다. 정식 앱 스토어에서 다운로드 받는 앱에 만약 악성코드가 포함되면 그 피해가 기하급수적으로 증가할 수 있기 때문이다. 반면, 앱에 공통된 SDK 파일을 제공한 기업 측에서는 해당 파일은 보안에 위배되지 않는 파일로 악성코드가 아니라는 입장도 밝히고 있어 논란이 커지고 있다.
▲미국 보안기업 맥아피에서 발표한 골도슨 멀웨어 관련 이슈[자료=맥아피]
골도슨 멀웨어의 최초 시작은 메가박스에서였다. 3월 10일 안드로이드 플랫폼에서 구글 플레이 프로텍트에 의해 ‘기기 보안에 문제가 발생했을 수 있음-안전하지 않은 앱 1개 발견’이라는 경고가 발생했으며, 그 대상이 된 앱 이름이 ‘메가박스’였다. 이에 3월 17일 메가박스 측은 홈페이지 공지를 통해 ‘메가박스 앱 내에 문제가 있는지’ 확인하고 있다고 안내했다. 메가박스 앱은 구글 플레이스토어에서 ‘광고 사기 시도’라는 위반 행위로 삭제됐다. 이후에도 구글 플레이 스토어와 포털 사이트에서는 CU편의점택배(BGF네트웍스), 솜노트(퀀텀비트) 등 저촉받는 앱들이 증가하기 시작했다.
이어 글로벌 보안기업 맥아피(McAfee)는 4월 12일 홈페이지에 ‘한국의 인기 앱에서 발견된 개인정보 침해 및 클리커 안드로이드 애드웨어 : 골도슨(Goldoson)’이라는 제목과 함께 해당 이슈에 대해 상세히 소개했다.
골도슨 멀웨어의 피해를 입었던 도메인과 앱 목록은?
맥아피에서 언급한 골도슨 멀웨어의 피해를 입은 도메인 리스트를 살펴보면 △bhuroid.com △enestcon.com △htyyed.com △discess.net △gadlito.com 등 총 27개다.
▲맥아피에서 공개한 골도슨 멀웨어의 피해를 입은 도메인 리스트[자료=맥아피]
맥아피는 골도슨 멀웨어의 피해를 입은 앱의 목록도 함께 명시했다. 해당 멀웨어에 감염된 앱은 총 63개였다. 그중에서 국내에서 가장 많은 다운로드 수를 기록하고 있는 앱은 △L.POINT with L.PAY(멤버십/포인트) △스와이프 벽돌깨기(오리지널 게임) △편한가계부(Money Manager Expense & Budget)(가계부, 리얼바이트) △롯데시네마(영화) △라이브 스코어(스포츠 경기 점수 안내, PSYNET) △곰(GOM)(동영상 재생, 곰앤컴퍼니) 등 6개로 총 다운로드 수는 1,000만건 이상을 기록했다. 골도슨 멀웨어의 피해를 입은 앱의 전체 목록은 다음과 같다.
▲국내 최초로 메가박스 안드로이드 앱에서 발생한 보안 문제 및 메가박스 측 안내문(좌부터)[자료=메가박스]
▲메가박스에서 3월 17일에 공지한 안내문[자료=메가박스]
이번 골도슨 멀웨어 감염으로 인해 해당 63개 앱은 현재 구글 플레이 스토어에서 멀웨어 제거를 통한 보안 조치를 완료해 서비스가 재개됐거나 아니면 아예 목록에서 삭제돼 더 이상 서비스되지 않는 등 두 가지 조치로 구분된다. 본지 조사결과, 구글 플레이 스토어를 기준으로 업데이트된 앱은 35개, 제거된 앱은 28개로 파악된다.
주요 피해 앱 서비스 기업의 조치사항은?
이번 사태와 관련해 국내 6개 앱을 서비스하는 회사 측 담당자를 통해 사건 대응 및 피해 조치상황을 들어봤다. 6개 앱은 △L.POINT with L.PAY△벽돌깨기 팡팡(Swipe Brick Breaker) △편한가계부(Money Manager Expense & Budget, 리얼바이트) △롯데시네마(Lotte Cinema) △라이브스코어(Live Score, PSYNET) △곰(GOM, 곰앤컴퍼니) 등이다.
먼저 ‘L.POINT with L.PAY’ 앱의 경우 롯데멤버스 관계자는 “당시 사건을 접하고 3월 10일부터 엘포인트 앱에서 문제가 된 ‘오늘의 날씨’ 서비스만 임시 중단했고, 이후에는 정상적으로 앱을 다시 서비스했다”고 말했다. 이어 “3월 13일에는 ‘오늘의 날씨’ 서비스를 삭제해 버전 7.6.4로 업데이트를 완료했다”며 “3월 13일에는 ‘오늘의 날씨’ 서비스를 앱에서 완전히 삭제했다”고 밝혔다.
‘롯데시네마’ 앱과 관련해 롯데컬처웍스 측은 “해당 사건이 발생하기 한참 이전에 UI 교체 이슈가 있어 지난 2월 13일에 관련된 SDK 프로그램을 제거했다”며 “골도슨 멀웨어 이슈가 불거진 다음, 구글 플레이 스토어 측에서 이를 해결하지 않으면 앱 서비스를 중단하겠다고 연락을 해왔는데, 그때는 이미 조치를 완료한 상태였다”고 말했다. 이어 “해당 악성코드는 광고 위치기반을 잡아주는 SDK 파일에서 생긴 멀웨어로 파악됐다”며 “기존 롯데시네마 앱에서는 와이파이나 블루투스로 위치정보를 수집하는 기능이 포함되지 않았기 때문에 골도슨 멀웨어도 문제될 게 없었다”고 설명했다.
개인 사업자가 관리하는 게임 앱 ‘벽돌깨기 팡팡(Swipe Brick Breaker)’과 리얼바이트에서 2004년 출시해 1,000만회 이상 다운로드 횟수를 기록한 편한 가계부(Money Manager Expense & Budget), 그리고 사이넷에서 2011년 출시해 다운로드 500만회 이상을 기록한 라이브스코어 앱 측은 인터뷰를 거부하거나 계속 연락이 닿지 않았다.
동영상 관련 앱인 곰(GOM)을 서비스하는 곰앤컴퍼니 측은 “해당 멀웨어는 회사에서 서비스하는 앱 자체에서 발생한 것은 아니고, 외주 업체인 TDI플레이에서 외부 제휴 서비스를 탑재한 앱을 서비스하면서 발생했다”고 밝혔다.
TDI플레이 “아무 문제 없는 SDK 파일 제공했을 뿐”
해당 앱들에 SDK 파일을 제공한 것으로 알려진 TDI플레이는 빅데이터 전문기업 TDI 그룹의 자회사다. TDI플레이가 취득한 특허는 ‘키워드 매칭 및 위치 데이터 기반의 양방향 광고시스템 및 이를 이용한 광고방법’으로 알려졌다.
TDI플레이 관계자는 “TDI플레이에서 제공하는 위치기반 서비스도 멀웨어가 아니고, 해당 서비스를 제공하는 과정에서 멀웨어가 들어간 것도 아니”라는 입장을 밝혔다. 그는 “얼마 전 한국인터넷진흥원으로부터 TDI플레이에서 제공한 SDK 파일을 어떻게 만들었는지 문의가 왔다”며, “우리는 해당 SDK 파일에 악성코드를 임의로 심지도 않았으며, 고객의 개인정보를 탈취하려고 시도한 적도 없다고 답했다”고 말했다.
해당 관계자는 “이번 사건에 연관된 7개 앱 모두 우리 회사의 SDK 파일이 들어간 것이 맞다”면서도 “지금까지 아무런 문제 없이 계속 서비스를 해왔는데, 갑자기 악성코드로 분류돼 난감하다”고 말을 이었다.
TDI플레이 측에서는 구글 플레이 스토어에 해당 SDK 파일이 어떠한 문제가 있는지 확인을 요청했지만, 구글은 이에 대한 명확한 답변을 주지 않고 있다고 말했다. 이어 구글은 SDK 파일이 이전에 발견된 악성코드와 라이브러리가 비슷하면 무조건 악성코드로 분류한다고도 말했다. TDI플레이 측은 “구글은 내부 정책에 맞지 않으면 무조건 ‘문제’ 낙인을 찍고 플레이 스토어에서 앱을 삭제하는 사례가 이전에도 빈번했다”고 답답함을 토로했다.
TDI플레이 관계자는 “새로운 프로그램을 만들다 보면 한 번에 완벽하게 만들 수 없고, 오류가 있을 수도 있다”며 “데이터 매니지먼트 플랫폼(DMP)을 통해 사용자들에 대한 데이터를 수집하고 오류가 발견되면 끊임없이 업데이트하고 있다”고 강조했다. 이어 “지난 3월 9일에 처음 발생한 이번 이슈를 인지한 즉시 관련 앱에 제공되던 광고모델 SDK 서비스를 모두 제거했다”며 “해당 앱에 제공되던 SDK 파일에 구체적으로 어떠한 문제가 있는지 구글 측의 제대로 된 입장을 듣고 싶다”며 인터뷰를 마쳤다.
▲골도슨 멀웨어 피해를 입은 앱 목록(다운로드 수, 업데이트 여부)[자료=맥아피]
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
