[글로벌-Biz 24] 애플 아이폰 iOS, 인기 앱에서 사용자 화면 '무단 촬영' 기록

에어캐나다 iOS 앱, 고객 신용카드 · 패스워드 정보 몰래 촬영 드러나

기사입력 : 2019-02-08 12:16

  • 인쇄
  • 폰트 크기 작게
  • 폰트 크기 크게
공유 1
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기
  • 구글플러스 공유하기




center
캐나다 최대 항공사인 에어캐나다(Air Canada)의 공식 iOS 앱에서 사용자 화면 무단 스크린샷 기록 사실이 드러났다. 자료=더앱애널리스트
[글로벌이코노믹 김길수 기자]
스마트폰 앱 개발자 중에는, 앱상에서 행해지는 '탭(tap)'과 '스와이프(swipe)' 등과 같은 동작을 기록하고 그 정보를 제공해 수익을 얻는 사람도 있다. 이러한 '사용자 정보를 수집하는 행위'는 대부분의 경우 사용자에게 그 사실을 말하지 않고 이루어지는 것이 일반적이다. 미국의 IT전문매체 테크크런치(techCrunch)가 이런 종류의 사용자를 배신하는 정보 수집이 "인기가 높은 아이폰(iPhone) 앱상에서도 공공연하게 이루어지고 있다"고 6일(현지 시간) 폭로했다.

패션 브랜드 '애버크롬비&피치(Abercrombie & Fitch)'나 호텔 예약 서비스 '호텔스닷컴(Hotels.com)', 항공사인 '싱가포르항공'이 운영하는 공식 앱은 '세션 리플레이(재생)' 기술을 이용하여 사용자가 어떤 행동을 취했는지를 기록하기 위한 목적으로 고객 경험 분석 회사인 '글래스박스(Glassbox)'의 툴을 앱에 포함시키고 있는 것으로 알려져 있다.

세션 리플레이를 사용하면 개발자는 일반적으로 앱의 어느 기능이 잘 작동하고 있는지, 혹은 작동하지 않은지 등을 확인할 수 있다. 그런데 이러한 동작 자체만으로 운영자는 사용자가 앱에서 어떤 행동을 취했는지를 확인하는 것이 가능하다. 세션 리플레이에서는 앱상에서 행해진 탭과 버튼 푸쉬(누름), 키보드 입력 정보 등이 스크린샷 촬영에 의해 기록되고, 이 정보는 모두 개발자 측에 보내지게 되기 때문이다.

center
자료=글래스박스 트위터

실제 글래스박스의 공식 트위터 계정에는 "당신의 웹 사이트나 모바일 앱에서 당신의 고객이 실시간으로 무엇을 하고 있는지 정확히 볼 수 있다고 상상해 보라. 왜 그랬을까? 그것이 바로 글래스박스다"라고 트윗하고 있다. 이것만으로도 글래스박스가 앱상에서 사용자의 동작을 기록하는 툴이라는 사실을 스스로 인정한 셈이다.

그런데 최근 캐나다 최대 항공사인 에어캐나다(Air Canada)의 공식 iOS 앱에서도 글래스박스가 사용되고 있던 사실이 드러났다. 모바일 앱을 분석하는 더앱애널리스트(The App Analyst)에 따르면, iOS 앱을 분석한 결과 글래스박스를 통해 많은 스크린샷을 촬영하고 있던 것으로 밝혀졌다.

특히 글래스박스에서는 사용자가 숨기고 싶은 은밀한 데이터를 입력할 때 일부분을 마스킹 할 수 있도록 하는데, 에어캐나다의 iOS 앱에서는 이 설정이 제대로 적용되지 않고 있어, 사용자가 숨기고 싶은 은밀한 데이터가 그대로 보이며, 당연히 캡처도 되고 있다.

center
필드가 마스킹 처리되어야 하지만 에어캐나다의 앱의 경우 항상 마스킹이 적용되는 것은 아닌 것으로 나타났다. 자료=더앱애널리스트

위의 캡쳐 화면은 에어캐나다의 iOS 앱으로 글래스박스가 캡쳐한 스크린샷을 늘어 놓은 것인데, 일부 정보는 검게 칠해져 마스킹되어 숨겨져 있지만, 신용카드 정보 등 숨겨져야 할 일부 정보가 훤히 그대로 노출되어 있다. 더앱애널리스트는 글래스박스가 신용카드 정보 등을 촬영하고 있었던 사실은 의도하지 않은 것이지만 "에어캐나다의 직원 및 스크린샷 데이터베이스에 액세스하는 모든 사용자들은 암호화되어 있지 않은 신용카드 및 패스워드 정보를 볼 수 있게 되어 있다"고 경고했다.

한편 에어캐나다는 지난해 8월 해킹을 통해 고객 2만여명의 개인 정보가 유출된 사고를 겪었다. 물론 글래스박스가 당시 사건에서 이용당했다는 증거는 없다. 하지만 이번 iOS 앱에서 드러난 고객 정보 유출 가능성은 6개월 전의 사건이 에어캐나다의 단순한 실수만은 아니라는 사실을 반증하고 있다.

글래스박스는 어디까지나 시장에서 나돌고 있는 세션 리플레이 툴 중 하나다. '앱씨(Appsee)'와 'UX캠(UXCam)' 등 글래스박의 경쟁 툴은 여러 가지가 있다. 그리고 에어캐나다와 같이 세션 리플레이로 기록한 스크린샷이 적절히 정보 마스킹을 행할 수 없는 경우가 있지만, 많은 기업들은 확실이 이를 이해하고 사용자의 프라이버시를 지키기 위한 정책을 펼치고 있다. 하지만 이를 완전히 막지 못한 것은, 결국 개발자나 운영자 그리고 이를 게시한 iOS 기기 모두에게 책임이 있다고 할 수 있다.

테크크런치는 이처럼 세션 리플레이 툴의 존재를 명기하지 않고 운영했다는 사실이 "매우 소름끼친다"고 표현했다.


김길수 기자 gskim@g-enews.com

김길수 기자 gskim@g-enews.com

오늘의 핫 뉴스

실시간 속보

금융 최신기사

미국 많이 본 기사

가장 많이 공유 된 기사

생활경제