트렌드

안드로이드, 혹시 내 이메일 비밀번호 유출됐니?

2011.07.25

지난해 한 안드로이드 사용자가 구글 안드로이드 게시판에 남긴 글이 계속해서 화제가 되고 있다.

2010년 8월26일 올라온 이 글은 “안드로이드 운영체제에서 이메일 비밀번호들이 SQLite 데이터베이스에 저장이 되는데, 이는 스마트폰 파일 시스템에 일반 텍스트로 저장이 된다”는 내용을 담고 있다.

해당 게시글을 올린 사용자는 “최소한 비밀번호는 변환해서 저장해 줄 필요가 있지 않냐”고 구글을 질책했다.

SQLite는 서버가 아닌 응용프로그램에 넣어 사용하는 비교적 가벼운 데이터베이스 관리 시스템이다. 주로 안드로이드와 iOS 데이터베이스에 사용된다.

기본으로 사용되는 SQLite 경우 별도의 데이터베이스 암호화 기능이 없지만 이 때문에 개발자들은 SQLCipher 등을 통해 데이터베이스를 암호화하고 있다.

위 사용자는 SQLite 데이터베이스에 저장된 이메일 계정 비밀번호 등이 일반 텍스트로 변환 저장됐을 때 암호화되지 않아 다른 애플리케이션들이 손쉽게 비밀번호에 접근해 악용할 수 있음을 경고한 것이다.

사진출처 : 피카사 kevin seeger

이에 앤디 스태들러(Andy Stadler) 안드로이드 고객지원서비스센터 담당자(Support)는 “우리는 사람들이 이 문제에 대해서 걱정하는 걸 알고 있으며, 이 버그가 왜 발생하는지 계속해서 살피고 있다. 어떻게 하면 앞으로 사람들이 좀 더 안전하게 느낄지 해결 방법을 찾아보고 있다”고 말하며 이런 보안 문제가 생기는 이유에 대해서 설명했다.

스태들러는 “이메일 애플리케이션은 POP3(Post Office Protocol version3), IMAP(Internet Message Access Protocol), SMTP(Simple Mail Transfer Protocol), 익스체인지 액티브싱크(Exchange ActiveSync) 등 4가지 프로토콜과 또는 이 프로토콜보다 더 오래된 프로토콜을 지원한다”며 “몇개를 제외하고는 모든 프로토콜들은 서버에 연결 때마다 비밀번호를 필요로 한다”고 설명했다.

이어 스태들러는 “비밀번호 자체가 저장되는게 나쁘지만, 위와 같은 프로토콜을 사용하는 서버 때문에 비밀번호를 저장하고 있다”며 “안드로이드에서 비밀번호를 아무리 암호화 시켜 저장해봤자 서버에 비밀번호가 저장되어 있기 때문에  별 소용이 없다”고 덧붙였다.

하지만 스태들러는 지메일(Gmail)을 예로 들면서 “다행히도 지메일 같은 새로운 프로토콜들은 이런 문제를 일으키지 않는다”며 “지메일의 경우 사용자 비밀번호를 임의의 문자나 숫자로 변환하는 토큰화를 거친뒤 해당 토근화된 비밀번호만 저장하고 사용자의 실제 암호는 지운다”고 덧붙였다.

토큰화 된 비밀번호는 G메일에서 다시 해독할 수 있다. 그렇기 때문에 사용자들이 안드로이드 기반 스마트폰으로 G메일 계정으로 접속할 경우, 서버가 토큰화 된 비밀번호만 저장하기 때문에 개인 비밀번호가 새어나갈 위험이 줄어든다.

그러나 또 다른 안드로이드 사용자는 이 게시판에 “SQLite viewer을 통하면 2분만에 비밀번호를 볼 수 있다”며, 안드로이드 내에서 비밀번호를 볼 수 있는 것 자체가 문제지, 이메일 프로토콜의 문제가 아니라고 구글을 꼬집었다.

이에대해 스태들러는 “루팅하지 않고 데이터를 살펴 볼 수 있다면, 그건 더 이상 이메일 버그가 아니라 보안 문제니, 보안 쪽에 문제를 제기하라”며 대답을 회피했다.

현재 이 글은 117개의 의견이 더 달리며, 아직까지 논쟁이 뜨겁게 이어지고 있다. 대다수의 누리꾼들은 “조속하게 이 문제를 해결해 달라”며 구글을 압박하고 있는 상황이다.

IT기술 관련 뉴스 웹사이트 슬래시닷에서도 해당 게시글 내용을 주제로 쓰레드 토론이 한창이다.

아이디 jampola는 “비밀번호가 최소한 암호화되어 저장되길 바란다”며 “SHA(Secure Hash Algorithm, 안전한 해시 알고리즘) 또는 MD5(Message-Digest algorithm5, 128비트 암호화 해시 함수)가 도움이 되지 않을까 생각한다”고 말했으며, 아이디 mysidia는 “SHA나 MD5를 이용한 암호화 효과는 매우 미미할 것으로 본다”며 “차라리 RAM에 있는 파일 시스템에 저장하는게 더 좋을(혹은 나쁠)수도 있다”는 등 다양한 의견들이 나오고 있다.

더해커뉴스(THN)는 이 게시글을 인용해 “모든 비밀번호가 일반 텍스트로 스마트폰에 저장되어 있다는 주장에 안드로이드 사용자들이 불만을 터뜨리고 있다”며 “하루 빨리 이 문제가 해결되길 바란다”고 전했다.

izziene@bloter.net

뭐 화끈하고, 신나고, 재미난 일 없을까요? 할 일이 쌓여도 사람은 만나고, 기사는 씁니다. 관심있는 #핀테크 #클라우드 #그외 모든 것을 다룹니다. @izziene