안드로이드폰에서 스카이프 보안 위험 발견, 전화번호와 채팅내역 등 유출 위험
by 김상훈
안드로이드 폴리스라는 사이트에서 안드로이드폰용 스카이프 인터넷 전화의 보안 위험을 발견했습니다. 스카이프를 내려받아 사용하는 사용자의 집, 휴대전화, 직장 등 모든 전화번호와 스카이프 크레딧 잔액, 사용자의 이름과 생일, 주소, e메일과 바이오 등 개인정보를 모두 다 빼갈 수 있는 취약점이라고 합니다. 특히 주소록 정보도 있기 때문에 사용자가 스카이프 주소록에 담아놓은 정보도 함께 유출될 수 있습니다. 게다가 스카이프에는 메신저처럼 채팅을 주고받는 기능이 있는데 이 채팅 내역까지 모두 빠져나가게 된다는 것입니다.
처음에는 그저 그런 보안 위협 발견 가운데 하나라고 생각했는데 내용을 읽어보니 좀 심각합니다. 무엇보다 이 문제가 스카이프의 부주의에 의한 가능성이 높아 보이기 때문입니다. 문제를 발견한 프로그래머 저스틴 케이스에 따르면 스카이프는 main.db라는 파일을 생성합니다. 위에서 얘기한 모든 주요 개인정보를 담아두는 데이터베이스 파일입니다. 이 파일은 암호화가 전혀 돼 있지 않습니다. 누구라도 저 파일만 구할 수 있다면 안에 있는 개인 정보를 바로 열어볼 수 있는 셈이죠. 그렇다면 저 파일을 아무나 구할 수 없도록 잘 보이지 않는 곳에 숨겨놨어야 할텐데 그러지도 않았습니다. 아마도 실수로 추정되지만, 누구나, 어떤 앱에서나 이 파일의 경로와 이름만 알고 있다면 접근해 열어볼 수 있게 한 것입니다. 이때문에 케이스는 관리자 권한을 얻지 않고도 어렵잖게 main.db 정보를 속속들이 들여다 볼 수 있었습니다. 파일의 경로는 스카이프 프로그램이 사용자 이름을 사용해 만들기 때문에 어렵잖게 찾아낼 수 있었습니다. 그렇다면 사용자 이름을 모르면 못 찾는 것 아니냐 싶겠지만, 이 프로그램은 사용자 이름 또한 특정 위치에 암호화되지 않은 DB 형태로 어느 앱이나 어떤 사용자든 열어볼 수 있는 권한으로 저장해놓고 있었습니다. 이 문제가 화제가 되자 스카이프는 케이스와 접촉해 "문제를 면밀히 검토해 보겠다"고 밝혔다고 합니다.
그러니 만약 악한 의도를 가진 해커가 이 문제를 눈치챘다면 이 해커는 이런 정보를 수집해 전송하는 앱을 마치 일반적인 앱인양 위장해 안드로이드 마켓이나 여러 경로를 통해 유포시킬 수 있습니다. 이 앱을 스카이프 사용자가 내려받아 실행시킬 경우 개인정보와 자신의 지인들의 연락처 정보를 해커에게 고스란히 갖다바치게 되는 것이죠. 물론 신용카드 정보와 같은 주요정보는 다른 DB에 저장돼 있기 때문에 빠져나가지 않지만, 내밀한 사적인 정보가 공개되는 게 기분 좋은 일은 아닙니다. 실제로 이 장면을 시연한 저스틴 케이스도 이런 정보를 빼내는 별도의 안드로이드앱을 만들어 이 일을 해냈습니다. 해커가 하는 것도 불가능하지 않은 셈입니다. 지금 안드로이드용 스카이프앱을 내려받아 사용하는 사용자는 그 수가 세계적으로 1000만 명이 넘는다고 합니다. 이들 모두에게 현실적인 개인정보 노출 위협이 생긴 셈입니다. 국내에서도 안드로이드폰 사용자가 600만 명이 넘어서 이들 가운데 상당수가 스카이프를 이용할 것으로 추정됩니다.
이때문에 또 안드로이드의 '개방' 정책의 문제를 지적하는 얘기도 나옵니다. 아이폰용 스카이프는 애플의 폐쇄적인 정책과 수많은 제약이 존재하는 개발 방식으로 인해 이렇게 암호화되지 않은 사용자 정보를 어떤 앱이든 접근할 수 있는 경로에 손쉽게 이용할 수 있도록 방치하는 것 자체가 불가능에 가깝습니다. 특히 아이폰의 모든 경로에 접근해 수정과 열람을 할 수 있는 루트 권한은 아예 다른 앱에 주어지지 않습니다.(이걸 해제하는 게 바로 '탈옥'이라고 부르는 과정입니다.) 이 논쟁이 올바르냐 그르냐를 얘기할 생각은 없습니다. 하지만 분명한 건 안드로이드는 뭔가 구글이 좀 더 통제력을 발휘해 엄격하게 관리하지 않는 한 이런 문제를 계속 나을 거라는 사실입니다. 그리고 구글의 통제력이 늘어날수록 구글에 대한 비판 또는 의심도 늘어나겠죠. 안드로이드라는 개방형 운영체제의 역설입니다. 이들은 이 문제를 어떻게 해결할까요.