침해사고/위협동향

기업의 서드파티 생태계 개방, 그 득과 실

이민형

[디지털데일리 이민형기자] 최근 보안업계에서는 서드파티(Third Party) 애플리케이션의 취약점 때문에 스냅챗과 드롭박스의 개인정보가 유출됐다는 소식으로 떠들썩하다.

스냅챗은 서드파티 앱의 취약점으로 인해 13기가바이트(GB)에 달하는 사진이 외부로 유출시켰고, 드롭박스 역시 서드파티 앱의 문제로 인해 약 700만건의 계정정보의 유출이 의심되고 있는 상황이다.

서드파티 앱은 본래 서비스가 제공하지 않는 기능을 구현하기 위해 개발되는 일종의 플러그인(Plug-in)이다. 최근에 나오는 서드파티 앱들은 독립적인 구동도 가능하도록 만들어지고 있다.

트위터 모바일 클라이언트인 시스믹(Seesmic), 트윗캐스터(Tweetcaster), 플럼(Plume) 등과 같은 앱이 트위터의 서드파티 앱이라고 볼 수 있다.

서비스 업체들의 입장에서 서드파티들은 자신들의 부족한 점을 메워주는 중요한 파트너다. 서드파티 앱 사용자가 늘더라도 결국은 자신의 고객이 증가하는 효과를 볼 수 있기 때문이다. 게다가 별도의 계약을 하지 않더라도 서비스 업체가 서드파티를 위해 애플리케이션 인터페이스 프로그래밍(API)만 공개한다면 생태계는 급격하게 확대될 수 있다는 것도 장점이다.

서드파티로 성공을 이룬 가장 대표적인 기업이 구글이다. 구글은 모바일 운영체제(OS) 안드로이드를 만들고 이를 전면 개방했다. 삼성전자, LG전자, HTC 등 글로벌 단말기 제조사들은 서드파티로 안드로이드 생태계에 참여했고, 그 결과 안드로이드의 점유율은 급속도로 높아졌다.

사용자의 입장에서는 나쁘지만 기업들은 서드파티를 통해 추가적인 이윤을 얻을 수도 있다. 자신들이 가진 사용자 정보를 서드파티들에게 넘겨주는 대신 API 사용에 대한 댓가를 받을 수 있기 때문이다.

하지만 서드파티 생태계를 개방함으로 인해 행복한 일만 생기는 것은 아니다. 서드파티 서비스에서 문제가 발생하면 본래 서비스의 이미지가 나빠질 수도 있으며, 고객이 이탈할 수도 있기 때문이다.

스냅챗과 드롭박스의 사건처럼 서드파티를 통해 사고가 발생하더라도 책임소재는 여전히 그들에게 있는 것이 이를 증명한다. 스냅챗과 드롭박스 모두 자신들의 서비스와 무관한 곳에서 개인정보가 유출됐다고 주장했으나 실제로 피해를 본 것은 스냅챗과 드롭박스 사용자들이었고, 이로 인해 서비스의 신뢰는 추락했다.

이를 사전에 예방하기 위해 애플, 삼성전자와 같은 글로벌 IT업체들은 API 공개를 극히 제한적으로 하며, 파트너 협력계약을 맺은 업체들에게만 추가적인 API를 제공하고 있다.

이번 사건에 비춰 서드파티 생태계의 가장 위험한 문제점은 다음과 같다. 일반적으로 특정 서비스에 종속된 서드파티들은 해당 서비스의 계정정보를 요구한다. 대부분의 서드파티들은 오오쓰(OAuth)와 같은 인증 방식을 도입해 서드파티 앱을 개발하나, 일부에서는 이 대신 기존의 인증 방법인 아이디와 비밀번호를 사용하고 있다.

오오쓰 인증 방식은 사용자와 서비스공급자 사이에서 토큰을 요청, 발급하는 방식이기 때문에 사용자 계정정보가 서드파티에게 저장되지 않는다. 따라서 비교적 보안이 취약한 서드파티가 해킹을 당하더라도 개인정보 유출과 같은 사고는 최소화 할 수 있다.

스냅챗이 경우 이미지를 대신 저장하는 서드파티가 해킹당했기 때문에 계정문제가 아닌 개인정보유출 문제가 발생한 것이다.

야후, 구글 광고서버 해킹으로 인해 이들 광고를 게재한 웹사이트가 악성코드 유포지로 전락한 것 역시 이와 유사한 사례다.

사물인터넷 등의 발전으로 인해 서드파티 생태계는 더욱 확장될 것으로 예상되지만 이와 함께 서드파티에 대한 위험성도 함께 높아질 것으로 보여 주의가 필요하다.

이를 예방하기 위해서는 일회용비밀번호(OTP) 생성기와 같은 멀티팩터 인증의 사용이 필수적이다.

<이민형 기자>kiku@ddaily.co.kr

이민형
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널