"초보안" 앱, 전화번호 유출... 보안의 중요성
by DD
5개월 전
조회수 39
MAGA 테마 메시징 앱에서 사용자 전화번호가 유출되는 사고 발생. 부실한 API 설계가 원인으로 지목됨.
Signal의 암호화된 전화번호 검색 시스템과 같은 보안 기술의 중요성이 강조됨. XOR 연산을 활용한 서버 측 보안이 핵심.
개발자들은 API rate limiting 부재, 객체 직렬화 오류 등 기본적인 보안 조치의 중요성을 지적하며, 보안 엔지니어링의 중요성을 강조함.
Signal의 안전한 전화번호 검색
Signal은 암호화된 RAM을 사용하여 전화번호 검색 시 XOR 연산을 수행한다. 구체적으로, 서버는 비트 단위 XOR 연산을 통해 전화번호를 쿼리하여, 공격자가 메모리를 분석하더라도 긍정 또는 부정 결과를 구별하기 어렵게 만든다. 따라서, 데이터 유출을 방지하고 사용자 프라이버시를 보호한다.
API 설계의 중요성
이번 사고는 부실한 API 설계의 위험성을 보여준다. Rate limiting 부재는 무차별 대입 공격에 취약하게 만들고, 객체 직렬화 오류는 민감한 정보를 노출시킨다. 반면, 안전한 API 설계는 무단 접근을 방지하고 시스템의 안정성을 확보하는 데 필수적이다.
보안 취약점: 과거 사례와 교훈
비엔나 대학 연구진의 논문에서 지적된 전화번호-사용자 ID 매핑 취약점은 2016년 Telegram에서도 악용된 바 있다. 구체적으로, 2012년부터 알려진 이 취약점은 1500만 명의 사용자 전화번호를 유출하는 데 사용되었다. 따라서, 지속적인 보안 감사와 취약점 패치는 서비스 운영에 필수적이다.
