CWN(CHANGE WITH NEWS) - 모바일 앱 3200개, 트위터 API 키 유출...계정 탈취 공격 위험성 포함

트위터 계정 보안을 위협할 수 있는 모바일 앱이 무더기로 발견됐다.

사이버 보안 전문 매체 블리핑컴퓨터는 보안 기업 클라우드SEK(CloudSEK)의 발표를 인용, 모바일 앱 3,207개가 트위터 API 키를 공개적으로 유출한 사실을 보도했다.

클라우드SEK 연구팀이 발견한 앱 모두 트위터 API의 컨슈머 키(Consumer Key)와 컨슈머 시크릿(Consumer Secret)을 외부로 유출해, 자칫하면 계정 탈취 공격에 동원될 수 있다.

트위터 API 키를 유출한 앱과 트위터를 통합하면, 개발자는 특정 인증 키나 토큰을 받은 뒤 앱에서 트위터 API와 상호작용할 수 있다.

사용자가 트위터 계정을 API 키 유출 앱과 연동한 상태에서 해커 세력이 이에 접근하여 사용자 계정 로그인과 다이렉트 메시지 읽기 및 전송, 리트윗, 게시글 좋아요 누르기, 트윗 생성 및 삭제, 팔로워 추가 및 삭제, 계정 설정 접근, 프로필 사진 변경 등과 같은 앱 활동을 할 수 있다.

클라우드SEK는 해커 세력이 인증된 계정을 악용하여 팔로워 등 불특정 다수를 대상으로 가짜 뉴스와 멀웨어 캠페인, 암호화폐 스캠 등을 유포할 수 있다고 경고했다.

트위터 API에 인증 키를 삽입한 앱 개발자의 실수가 API 키 유출 원인인 것으로 알려졌다. 이어서 클라우드SEK는 앱 개발자에게 API 키 로테이션을 이용해 인증 키를 보호하도록 권고했다.

한편, 클라우드SEK는 트위터 API 키 유출 문제를 경고하며, 누적 다운로드 횟수 5만~500만 회를 기록한 도시 대중교통 앱, 라디오 앱, 독서 앱, 신문 앱, 뱅킹 앱, 사이클링 GPS 앱 등 문제 발견 앱 목록을 함께 공개했다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]