안드로이드 앱, 잠금 기능 허술하다
비밀번호 없이 해제
살다 보면 스마트폰을 가까운 사람에게 잠시 빌려줄 수도 있다. 이럴 때 앱 잠금 기능이 있으면 사생활 보호에 도움이 된다. 이런 기능을 제공하는 앱들이 있는데 좀 허술해 보인다.
다음은 안드로이드 6.0에서 2018.3.15 기준 최신 버전의 에버노트로 테스트한 내용이다.
구글 계정을 이용해 로그인 한 후에 앱 잠금 비밀번호를 설정한다.
노트를 작성하고 서버와 동기화한다. 먼저 동기화하지 않으면 다음 단계에서 노트가 몽땅 삭제되므로 주의!!!
기기의 앱 설정에서 에버노트의 데이터를 삭제하는 방식으로 앱을 초기화한다. 또는 앱을 삭제했다가 다시 설치하는 방법도 있는데, 이게 좀 더 확실히 초기화된다.
다시 구글 계정으로 로그인하면 비밀번호 없이 그냥 노트를 볼 수 있다.
동일한 테스트를 드롭박스 앱으로도 해 봤는데 마찬가지였다.
허술한 계정 연동이 문제
왜 이런 허점이 있을까. 구글이 타사 앱이 자사 계정에 연결할 때 본인 인증을 허술하게 하기 때문이다. 최초 연결할 때나 재연결할 때 구글 계정 암호 확인 과정이 없었다. 구글의 정책 상의 문제일 뿐, 앱의 버그는 아닌 것으로 보인다. 따라서 여타 앱들도 마찬가지일 것이다.대응책은 있다. 구글 계정에 연결(구글 계정으로 로그인) 하지 말고, 앱 자체 계정을 만들어서 이용하면 된다.
에버노트 계정, 드롭박스 계정을 만들어 로그인하면, 나중에 앱이 초기화되어도 다시 로그인해야 앱을 이용할 수 있다.
아울러 앱 잠금 기능이란 강력한 보안 기능이 아닌, 간이 사생활 보호 수단이란 점을 알아야 한다. 데이터 자체를 암호화하는 것이 아니라 앱을 통한 접근만을 제한하는 것이기 때문이다. Onenote나 Word 같은 앱은 파일 자체를 암호화하므로 보안성이 높다.
댓글
댓글 쓰기