Google+도 개인정보 노출 버그

API의 해킹 취약점

이젠 개인정보 노출 소식도 지겹다. 여기저기서 줄줄 새고 있다. 컴퓨팅 환경이 SNS, 클라우드 등 네트워크 의존도는 점점 높아지는데, 그곳에 저장한 데이터는 그리 안전하지 못하다는 딜레마에 빠졌다.

이번에는 구글의 SNS인 구글플러스이다. 한 API의 취약점으로 인해 50만 명이 넘는 이용자의 개인정보가 제3자인 개발자에게 노출될 가능성이 있었다. 버그가 생긴 2015년부터 발견되어 수정된 2018년 3월까지.

API(Application Programming Interface)는 한 프로그램의 기능을 다른 프로그램이 이용할 수 있도록 해주는 통로 같은 것이다. SNS의 경우에는, 흔한 예로 뉴스 사이트에서 기사를 보다가 페이지를 벗어나지 않고 트위터, 페이스북, 네이버 등에 공유 포스팅을 할 수 있는 버튼을 들 수 있다. API는 편리함도 있지만 해킹 등 보안 취약점이 많이 발견되는 부분이기도 하다.

노출 범위는 구글플러스의 프로필 데이터로 이름, 이메일, 직업, 생일, 프로필 사진, 성별 등이다. 포스팅한 글이나 사진 등 민감한 내용은 포함되지 않았다. 취약한 API를 사용한 application(앱 및 사이트)는 438개 였다.

다만, 얼마 전의 페이스북 해킹(관련 자료 1)과는 달리 파장은 미미할 것으로 생각된다. 버그가 제3자에게 알려져 이용되기 전에 발견되어 제거됐기 때문이다. 현재 조사 결과에 따르면, 누군가가 이를 알았거나 접근한 증거는 발견되지 않았다. 무엇보다 구글플러스는 실제 사용자가 별로 없다.

구글은 2019년 9월에 개인용 Google+ 서비스를 종료할 계획이다. 기업용은 계속 서비스하기로 했다.

Project Strobe

이 취약점은 개인정보 보호를 강화하려는 스트로브 프로젝트를 통해 공개됐다. 이 프로젝트는 몇 가지 조치를 발표했다.

지금까진 제3자 앱이 구글 계정에 접근하는 것을 허락할 때 여러 항목을 일괄적으로 취급했다. 그러나 앞으로는 항목별로 세분하여 허용 여부를 설정할 수 있다. 예를 들어 Windows 10에 기본 내장된 메일 앱에 구글 계정을 등록하려면 지메일, 연락처, 캘린더에 대한 접근 권한을 모두 허용하든지 거부하든지 해야 했다. 그러나 앞으로는 원하는 항목만 선별하여 허용할 수 있다.

Gmail API에 제한을 가하기로 했다. 7월에 개발자들이 이용자들의 지메일을 들여다 본다는 것이 이슈가 됐었다(관련 자료 2). 이에 구글은 Gmail API에 대한 접근권을 지메일의 기능 향상에 직접 관련된 앱에 한정하기로 했다. 예컨대 메일 클라이언트, 메일 백업, 생산성 서비스 등이다.


관련 자료
  1. 페이스북 해킹, 5천만명 개인정보 위험
  2. 지메일(Gmail) 개인정보 유출 논란
  3. 바이낸스 API 해킹 사건
  4. 텔레그램 취약점으로 가상화폐 채굴 악성코드 감염

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다