소셜커머스 업체중 하나인 그루폰(Groupon) 앱에서 3가지 보안취약점이 발견됐다. 취약한 부분은 웹사이트의 아이디와 패스워드를 평문으로 저장하고 있으며 잠금화면의 패스워드를 평문으로 저장하고 있다는 점. 그리고 아이디와 패스워드를 평문전송하고 잠금화면 우회가 가능하다는 점이다.
 
이번 취약점을 발견하고 데일리시큐에 제보한 김종원 씨는 “iOS 앱 보안에 대해서 연구하던 중 시급히 조치해야 될 취약점을 발견하게 되어 제보하게 됐다”며 “앱은 소셜커머스 업체중 하나인 Groupon이다. 취약점은 총3가지로 1. 웹사이트의 ID/PW를 평문으로 저장, 잠금화면의 패스워드를 평문으로 저장 2. ID/PW 평문전송 3. 잠금화면 우회 등이다”라고 세부취약점 내용을 보내왔다.
 
그는 취약점 발견 과정에 대해 “그루폰 앱 버전은 3.0.2로 현재 최신버전이며 마지막 업데이트 일은 7월 3일이다. 테스트를 위한 임의의 그루폰 계정을 만들고 잠금해제화면의 패스워드는 XXXX으로 설정했다. 여기서 잠금해제 화면은 애플에서 제공하는 잠금 화면이 아니라 그루폰앱을 사용했다가 다른 앱을 사용할 경우 그루폰 앱을 다시 사용하기 위해 사용하는 잠금 화면을 말한다”고 설명했다.
 
그는 취약점에 대해 다음과 같이 설명했다.  
 
우선 해당 웹사이트의 아이디와 패스워드 그리고 잠금해제화면의 패스워드가 평문으로 저장되고 있다는 것이다.

 
그는 “스마트폰 중고거래시나 스마트폰이 악성코드에 감염될 경우 해당파일이 유출될 수 있다. 잠금해제 패스워드의 경우 항상 그런 것은 아니지만 인터넷뱅킹의 패스워드 4자리와 만약 일치하는 경우이면 2차 피해가 발생할 수 있다고 생각한다”며 “해당파일의 원본은 바이너리화 되어있어서 식별하기 힘드나 해당파일을 xml형태로 바꾸어 읽기 쉽게 만들어주는 툴도 있다”고 설명했다.

 
또 아이디와 패스워드로 로그인시 평문 HTTP를 통해 전송된다는 점이다. 그는 “정통망법에 개인정보전송시 암호화 전송을 해야 한다고 알고 있는데, 해당 앱에서 아이디와 패스워드 전송시 SSL을 미적용하고 있어 심각한 문제로 생각돼 해당업체에 지난 7월 3일 메일을 보냈지만 아직 회신이 없는 상태”라고 밝혔다.  

 
마지막으로 잠금해제 화면 우회가 가능하다는 점이다.
그는 또 “Cycript라는 언어를 통해 그루폰의 런타임에서 사용하는 함수를 호출할 수 있다”며 “[XXXXX.delexxxx initialize](일부 X처리)를 입력하면 아래의 잠금해제 화면이 비밀번호를 입력하지 않더라도 해제되는 상황이다. 이에 대한 신속한 조치가 필요하다”고 강조했다.
 
한편 데일리시큐로부터 취약점을 통보받은 그루폰 측은 “웹사이트의 ID/PW를 평문으로 저장하고 잠금화면의 패스워드를 평문으로 저장 및 평문 전송 사항에 대해 확인했다”며 “이를 보다 확실히 조치하고자 오는 25일(목) 수정 배포 일정을 계획하고 조속히 진행 중에 있다”고 밝히고 신속한 보안조치를 약속했다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com