26 Apr 국방모바일보안 어플리케이션 보안 및 프라이버시 취약점 분석보고서
Posted at 10:01h
in 연구
Read in English
이 보고서는 국방부가 개발하고 배포하고 있는 3가지 버전의 ‘국방모바일보안’ 어플리케이션의 보안 및 프라이버시 취약점 분석 결과를 공유하기 위하여 작성되었습니다. 상기 어플리케이션은 현재 모든 부대의 병사, 간부, 그리고 기자를 포함한 출입 외부인들이 모바일 기기를 사용하기 전 필수로 설치하도록 요구되고 있습니다.
이 어플리케이션의 개발 및 설치 요구 정책의 본질적인 목적은, 모바일 기기 속 카메라 등의 기능들을 통제하여 군사기밀을 보호하는데에 있습니다. 그러나, 이 어플리케이션이 부대에 출입하는 기자 등의 개인들의 감청에 사용가능한지 여부 관련, 많은 비판 또한 존재합니다.
저희 디지털안전연구소 인터랩은 종합적인 포렌식 분석을 통하여, 국방모바일보안 어플리케이션의 취약점 및 불안전한 소스코드로 인한 사용자 및 부대 위치정보의 노출가능성을 확인하였으며, 그로인해 ‘군사기밀의 보호’라는 어플리케이션의 목적을 직접적이고 치명적으로 배반하고 있음을 확인하였습니다.
주요 분석결과:
- 국방모바일보안 어플리케이션의 개발자는 앱스토어 및 기타 문의사항의 답변을 통해, 이 어플리케이션이 연락처, 비디오, 사진 등의 사용자정보를 수집하지 않고 있다고 주장하고 있습니다. 그러나 포렌식 분석결과 어플리케이션이 실제로는, 위치정보 및 관련 시간 등의 민감한 개인정보를 기록하고 있음을 확인하였습니다. 이러한 사실은 단순히 예민한 데이터의 보호에 실패하는 것 뿐만아니라, 사용자 및 국방부 전체의 프라이버시 및 보안 위협이 어플리케이션으로부터 발생함을 의미합니다.
- 특히 간부 및 외부인 전용 어플리케이션 버전들의 경우, 공격자가 아무런 권한의 요청없이 개인정보를 추출할수 있는 2개의 취약점들을 발견하였습니다. 만약 공격자가 기기에 접근이 가능할 시, GPS 주소와 관련 시간등이 기록되어있는 로그파일을 얼마든지 빼갈 수 있는 상황임을 확인하였습니다.
- 분석결과, 어플리케이션은 또한 필요없는 소스코드와 기능들을 남겨둠으로써, 추가적인 프라이버시 및 보안 결함들을 내포하고 있음을 확인하였습니다.