위치 정보 통해 집과 직장, 각종 만남의 장소 추적 가능해
“데이팅 앱의 목적 자체가 노출인데, 왜 굳이 사용?” 묻는 전문가도 있어
[보안뉴스 문가용 기자] 네 개의 온라인 데이팅 앱을 통해 1천만 명의 민감한 정보가 유출되고 있다는 사실이 밝혀졌다. 이를 발견한 보안 업체 펜 테스트 파트너즈(Pen Test Partners)에 의하면 “그 덕분에 사용자의 ID만 알면, 위치를 추적할 수 있게 된다”고 한다. “집이 어디고 직장이 어디이며, 주로 어디서 여가 시간을 갖는다는 걸 거의 실시간으로 알 수 있게 됩니다.”
[이미지 = iclickart]
문제의 데이팅 앱은 그라인더(Grindr), 로미오(Remeo), 레콘(Recon), 스리펀(3fun)이다. 펜 테스트 파트너즈에 의하면 “위도와 경도 정보를 스푸핑 해서, 여러 지점으로부터 사용자 프로파일의 거리가 어느 정도 되는지 측정할 수 있으며, 이를 통해 정확한 위치를 계산하는 게 가능하다”고 한다. 그라인더의 경우 삼변측량까지도 가능하다고 한다.
펜 테스트 파트너즈는 “특별한 도구나 솔루션을 사용해 해킹한 것도 아니”라고 강조했다. “오로지 공개된 API들만을 사용했을 때 정확한 위치 추적이 가능했습니다.”
이런 정보는 상황에 따라 위험한 데에 악용될 수 있다. 특히 성소수자 등 은밀한 성적 비밀이나 성향, 취향을 가진 자들이 많이 사용하는 앱일 경우 사용자가 사회적으로 매장을 당하거나 큰 수치를 당할 수 있게 된다. 심지어 어느 국가에 사용자가 있느냐에 따라 목숨이 위험해질 수도 있다. “아니면 스토커에게 쉽게 쫓길 수도 있게 됩니다. 그것도 역시 위험한 상황으로 이어질 수 있죠.”
그러나 보안 업체 벡트라(Vectra)의 보안 분석 책임자인 크리스 모랄레스(Chris Morales)는 “자신의 신분이나 특성이 드러나길 싫어하는 사람이 데이팅 앱을 사용하는 것 자체가 이상한 것”이라는 입장이다. “데이팅 앱을 사용하는 목적 자체가 ‘누군가에게 발견되기 위해서’가 아닌가요? 정말 숨기려고 하는 사람이면 데이팅 앱을 사용할 이유가 없죠. 그래서도 안 되고요. 물론 집요한 추적도 문제고, 너무 정확한 정보가 마구 공개되는 것도 문제지만, 애초에 데이팅 앱들이 역사적으로 안전한 사례가 거의 없었어요.”
그러면서 모랄레스는 “성소수자라는 사실 때문에 사형까지 받을 수 있는 나라에서 공개적으로 데이팅 앱을 사용한다는 건, 앱보다 사용자의 문제가 더 크다고 생각한다”고 말했다. 위 네 가지 앱의 사용자들 중에는 사우디아라비아에 위치한 사람도 있는 것으로 나타났다.
모랄레스의 말대로 데이팅 앱들은 거의 대부분 공격적으로 사용자의 정보를 수집하고 안전하지 않은 방법으로 보관 및 공유해왔다. 지난 6월 프라이버시 전문 단체인 프로프라이버시(ProPrivacy)는 매치(Match)나 틴더(Tinder) 등 수많은 데이팅 앱들이 사용자의 모든 데이터를 수집하고 있다는 사실을 적발했다. 순수하게 사람과 사람을 연결시켜주는 데 사용하는 것도 아니었다. 광고사에 팔아 주머니를 불리는 게 거의 전부였다.
지난 7월에는 또 다른 성소수자 전용 데이팅 앱인 젝드(Jack┖d)가 데이터 유출 때문에 24만 달러의 벌금을 낸 바 있다. 당시 잭드를 해킹한 공격자들은 각종 민감한 개인정보는 물론 사용자들의 알몸 사진들도 전부 가져가는 데 성공했었다. 올해 2월에는 커피 미츠 베이글(Coffee Meets Bagel)과 오케이 큐피드(OK Cupid)라는 데이팅 앱에서도 크리덴셜 유출 사고가 발생했었다.
“데이팅 앱은 보안 개념이 거의 하나도 섞이지 않은 채 허술하게 만들어지는 경우가 대부분입니다. 실제 최근 사례들만 봐도 이는 쉽게 증명할 수 있습니다. 데이팅 앱 사용자들은 이를 전혀 몰라요. 이런 사례를 모른다고 하더라도, ‘가까운 곳에 있는 친구를 찾아준다’는 것부터 의심할 수는 있어야죠. 아무 정보도 공유하지 않고 자신과 가까이 있는 또 다른 사용자를 어떻게 앱이 알 수 있을까요? 데이팅 앱은 서로가 서로를 발견해내고자 만든 앱입니다. 사용하는 순간 프라이버시는 저만치 날아가는 겁니다.” 모랄레스의 설명이다.
펜 테스트 파트너즈는 문제의 데이팅 앱 개발사들에 연락해 조치를 취해달라고 요청했다. 그러나 돌아오는 답변들이 그리 호의적이진 않았다고 한다. “로미오는 사용자가 선택한 부분이지 디폴트 옵션이 아니기 때문에 어쩔 수 없다라고 했습니다. 레콘은 일부 위치 정보 관련 정책을 수정해 그리드에 사용자가 아주 정확하게 나타나지 않도록 했습니다. 그러나 크게 변한 건 아닙니다.” 가장 위험하다고 보이는 그라인더와 스리펀의 경우 아예 응답이 없었다.
펜 테스트 파트너즈는 “데이팅 앱에서 사용할 수 있을 정도로만 위치를 노출시키되, 사람의 신원은 감출 수 있는 기술들이 존재한다”며, “그런 기술들을 앱 개발사들이 사용한다면 안전하게 데이팅 앱을 사용할 수 있을 것”이라고 주장한다. 하지만 모랄레스는 “정말 안전하고 싶고, 정말 자신을 감추고 싶다면 아예 시작도 하지 않는 게 최선”이라고 반박했다.
3줄 요약
1. 비정상 데이팅 앱들 네 개, 사용자의 위치 정보도 마구 노출 중.
2. 사실 거의 모든 데이팅 앱들에서 공통적으로 나오는 문제. 앱 개발사는 공격적으로 정보 수집해 광고 시장에 판매.
3. 데이팅 앱의 목적 자체가 ‘노출’이기 때문에 정말 안전하고 싶다면 아예 사용하지 않는 게 정상.
[국제부 문가용 기자(globoan@boannews.com)]
“데이팅 앱의 목적 자체가 노출인데, 왜 굳이 사용?” 묻는 전문가도 있어
[보안뉴스 문가용 기자] 네 개의 온라인 데이팅 앱을 통해 1천만 명의 민감한 정보가 유출되고 있다는 사실이 밝혀졌다. 이를 발견한 보안 업체 펜 테스트 파트너즈(Pen Test Partners)에 의하면 “그 덕분에 사용자의 ID만 알면, 위치를 추적할 수 있게 된다”고 한다. “집이 어디고 직장이 어디이며, 주로 어디서 여가 시간을 갖는다는 걸 거의 실시간으로 알 수 있게 됩니다.”
[이미지 = iclickart]
문제의 데이팅 앱은 그라인더(Grindr), 로미오(Remeo), 레콘(Recon), 스리펀(3fun)이다. 펜 테스트 파트너즈에 의하면 “위도와 경도 정보를 스푸핑 해서, 여러 지점으로부터 사용자 프로파일의 거리가 어느 정도 되는지 측정할 수 있으며, 이를 통해 정확한 위치를 계산하는 게 가능하다”고 한다. 그라인더의 경우 삼변측량까지도 가능하다고 한다.
펜 테스트 파트너즈는 “특별한 도구나 솔루션을 사용해 해킹한 것도 아니”라고 강조했다. “오로지 공개된 API들만을 사용했을 때 정확한 위치 추적이 가능했습니다.”
이런 정보는 상황에 따라 위험한 데에 악용될 수 있다. 특히 성소수자 등 은밀한 성적 비밀이나 성향, 취향을 가진 자들이 많이 사용하는 앱일 경우 사용자가 사회적으로 매장을 당하거나 큰 수치를 당할 수 있게 된다. 심지어 어느 국가에 사용자가 있느냐에 따라 목숨이 위험해질 수도 있다. “아니면 스토커에게 쉽게 쫓길 수도 있게 됩니다. 그것도 역시 위험한 상황으로 이어질 수 있죠.”
그러나 보안 업체 벡트라(Vectra)의 보안 분석 책임자인 크리스 모랄레스(Chris Morales)는 “자신의 신분이나 특성이 드러나길 싫어하는 사람이 데이팅 앱을 사용하는 것 자체가 이상한 것”이라는 입장이다. “데이팅 앱을 사용하는 목적 자체가 ‘누군가에게 발견되기 위해서’가 아닌가요? 정말 숨기려고 하는 사람이면 데이팅 앱을 사용할 이유가 없죠. 그래서도 안 되고요. 물론 집요한 추적도 문제고, 너무 정확한 정보가 마구 공개되는 것도 문제지만, 애초에 데이팅 앱들이 역사적으로 안전한 사례가 거의 없었어요.”
그러면서 모랄레스는 “성소수자라는 사실 때문에 사형까지 받을 수 있는 나라에서 공개적으로 데이팅 앱을 사용한다는 건, 앱보다 사용자의 문제가 더 크다고 생각한다”고 말했다. 위 네 가지 앱의 사용자들 중에는 사우디아라비아에 위치한 사람도 있는 것으로 나타났다.
모랄레스의 말대로 데이팅 앱들은 거의 대부분 공격적으로 사용자의 정보를 수집하고 안전하지 않은 방법으로 보관 및 공유해왔다. 지난 6월 프라이버시 전문 단체인 프로프라이버시(ProPrivacy)는 매치(Match)나 틴더(Tinder) 등 수많은 데이팅 앱들이 사용자의 모든 데이터를 수집하고 있다는 사실을 적발했다. 순수하게 사람과 사람을 연결시켜주는 데 사용하는 것도 아니었다. 광고사에 팔아 주머니를 불리는 게 거의 전부였다.
지난 7월에는 또 다른 성소수자 전용 데이팅 앱인 젝드(Jack┖d)가 데이터 유출 때문에 24만 달러의 벌금을 낸 바 있다. 당시 잭드를 해킹한 공격자들은 각종 민감한 개인정보는 물론 사용자들의 알몸 사진들도 전부 가져가는 데 성공했었다. 올해 2월에는 커피 미츠 베이글(Coffee Meets Bagel)과 오케이 큐피드(OK Cupid)라는 데이팅 앱에서도 크리덴셜 유출 사고가 발생했었다.
“데이팅 앱은 보안 개념이 거의 하나도 섞이지 않은 채 허술하게 만들어지는 경우가 대부분입니다. 실제 최근 사례들만 봐도 이는 쉽게 증명할 수 있습니다. 데이팅 앱 사용자들은 이를 전혀 몰라요. 이런 사례를 모른다고 하더라도, ‘가까운 곳에 있는 친구를 찾아준다’는 것부터 의심할 수는 있어야죠. 아무 정보도 공유하지 않고 자신과 가까이 있는 또 다른 사용자를 어떻게 앱이 알 수 있을까요? 데이팅 앱은 서로가 서로를 발견해내고자 만든 앱입니다. 사용하는 순간 프라이버시는 저만치 날아가는 겁니다.” 모랄레스의 설명이다.
펜 테스트 파트너즈는 문제의 데이팅 앱 개발사들에 연락해 조치를 취해달라고 요청했다. 그러나 돌아오는 답변들이 그리 호의적이진 않았다고 한다. “로미오는 사용자가 선택한 부분이지 디폴트 옵션이 아니기 때문에 어쩔 수 없다라고 했습니다. 레콘은 일부 위치 정보 관련 정책을 수정해 그리드에 사용자가 아주 정확하게 나타나지 않도록 했습니다. 그러나 크게 변한 건 아닙니다.” 가장 위험하다고 보이는 그라인더와 스리펀의 경우 아예 응답이 없었다.
펜 테스트 파트너즈는 “데이팅 앱에서 사용할 수 있을 정도로만 위치를 노출시키되, 사람의 신원은 감출 수 있는 기술들이 존재한다”며, “그런 기술들을 앱 개발사들이 사용한다면 안전하게 데이팅 앱을 사용할 수 있을 것”이라고 주장한다. 하지만 모랄레스는 “정말 안전하고 싶고, 정말 자신을 감추고 싶다면 아예 시작도 하지 않는 게 최선”이라고 반박했다.
3줄 요약
1. 비정상 데이팅 앱들 네 개, 사용자의 위치 정보도 마구 노출 중.
2. 사실 거의 모든 데이팅 앱들에서 공통적으로 나오는 문제. 앱 개발사는 공격적으로 정보 수집해 광고 시장에 판매.
3. 데이팅 앱의 목적 자체가 ‘노출’이기 때문에 정말 안전하고 싶다면 아예 사용하지 않는 게 정상.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
