딥시크 iOS 앱, 모바일 앱 등록 및 기기 데이터를 암호화 없이 전송해…주의
딥시크(DeepSeek) 앱이 전 세계적으로 높은 인기를 얻고 있는 가운데, 최근 심각한 보안 취약점이 발견돼 사용자 개인정보 보호에 대한 우려가 커지고 있다. 보안 분석 기업 나우시큐어(NowSecure)의 분석에 따르면, 딥시크 iOS 앱은 민감한 사용자 및 기기 정보를 암호화 없이 인터넷으로 전송하고 있는 것으로 드러났다.
나우시큐어는 "딥시크 iOS 앱이 모바일 앱 등록 및 기기 데이터를 암호화 없이 전송하고 있으며, 이는 데이터가 인터넷 트래픽 상에서 패시브 및 액티브 공격에 노출될 위험을 높인다"고 밝혔다. 이는 데이터가 중간자 공격(man-in-the-middle attack)이나 스니핑(sniffing) 같은 해킹 기법에 쉽게 노출될 수 있음을 의미한다.
또한 딥시크 앱은 애플의 앱 전송 보안(App Transport Security, ATS) 기능을 비활성화한 상태로 운영되고 있었다. ATS는 iOS 플랫폼의 보안 기능으로, 민감한 데이터가 암호화되지 않은 채 전송되는 것을 방지하는 역할을 한다. 나우시큐어는 "이 보호 기능이 비활성화됨에 따라 앱은 실제로 암호화되지 않은 데이터를 인터넷을 통해 전송하고 있다"고 지적했다.
보안 취약점은 이뿐만이 아니다. 딥시크 앱은 구식 암호화 알고리즘인 3DES(Triple Data Encryption Standard)를 사용하고 있으며, 이는 이미 여러 취약점이 발견된 기술이다. 게다가 하드코딩된 암호화 키와 초기화 벡터(initialization vector)의 재사용은 데이터 보안성을 크게 저하시킨다.
더욱 심각한 문제는 사용자 데이터가 중국 기업 바이트댄스(ByteDance)가 운영하는 클라우드 컴퓨팅 및 스토리지 플랫폼인 볼케이노 엔진(Volcano Engine)으로 전송된다는 점이다. 바이트댄스는 틱톡(TikTok)의 모기업으로, 이로 인해 데이터가 중국 정부에 의해 접근될 수 있다는 우려가 제기되고 있다.
이러한 보안 문제로 인해 미국 해군은 딥시크 앱의 사용을 금지했으며, 호주, 이탈리아, 네덜란드, 대만, 한국 등 여러 국가에서도 정부 기기에서의 앱 사용을 금지하는 조치를 취했다. 미국 의회, NASA, 펜타곤, 텍사스 주 정부 등도 딥시크 앱의 사용을 금지하고 있다.
보안 전문가들은 딥시크 앱의 사용에 신중을 기할 것을 권고하고 있다. 나우시큐어는 "딥시크 iOS 앱의 보안 결함이 해결될 때까지 기업과 정부 기관은 해당 앱의 사용을 중단해야 한다"며 "개인 사용자들도 더 안전한 보안 및 개인정보 보호 기준을 충족하는 대체 앱을 고려해야 한다"고 조언했다.
사용자들은 개인정보 보호를 위해 보다 안전한 앱을 선택하고, 보안 업데이트가 이루어지는지 주기적으로 확인해야 한다.
출처 : 데일리시큐(https://www.dailysecu.com)
https://www.dailysecu.com/news/articleView.html?idxno=163569
출처 : 데일리시큐(https://www.dailysecu.com)
딥시크 iOS 앱, 모바일 앱 등록 및 기기 데이터를 암호화 없이 전송해…주의
딥시크(DeepSeek) 앱이 전 세계적으로 높은 인기를 얻고 있는 가운데, 최근 심각한 보안 취약점이 발견돼 사용자 개인정보 보호에 대한 우려가 커지고 있다. 보안 분석 기업 나우시큐어(NowSecure)의 분석에 따르면, 딥시크 iOS 앱은 민감한 사용자 및 기기 정보를 암호화 없이 인터넷으로 전송하고 있는 것으로 드러났다.
나우시큐어는 "딥시크 iOS 앱이 모바일 앱 등록 및 기기 데이터를 암호화 없이 전송하고 있으며, 이는 데이터가 인터넷 트래픽 상에서 패시브 및 액티브 공격에 노출될 위험을 높인다"고 밝혔다. 이는 데이터가 중간자 공격(man-in-the-middle attack)이나 스니핑(sniffing) 같은 해킹 기법에 쉽게 노출될 수 있음을 의미한다.
또한 딥시크 앱은 애플의 앱 전송 보안(App Transport Security, ATS) 기능을 비활성화한 상태로 운영되고 있었다. ATS는 iOS 플랫폼의 보안 기능으로, 민감한 데이터가 암호화되지 않은 채 전송되는 것을 방지하는 역할을 한다. 나우시큐어는 "이 보호 기능이 비활성화됨에 따라 앱은 실제로 암호화되지 않은 데이터를 인터넷을 통해 전송하고 있다"고 지적했다.
보안 취약점은 이뿐만이 아니다. 딥시크 앱은 구식 암호화 알고리즘인 3DES(Triple Data Encryption Standard)를 사용하고 있으며, 이는 이미 여러 취약점이 발견된 기술이다. 게다가 하드코딩된 암호화 키와 초기화 벡터(initialization vector)의 재사용은 데이터 보안성을 크게 저하시킨다.
더욱 심각한 문제는 사용자 데이터가 중국 기업 바이트댄스(ByteDance)가 운영하는 클라우드 컴퓨팅 및 스토리지 플랫폼인 볼케이노 엔진(Volcano Engine)으로 전송된다는 점이다. 바이트댄스는 틱톡(TikTok)의 모기업으로, 이로 인해 데이터가 중국 정부에 의해 접근될 수 있다는 우려가 제기되고 있다.
이러한 보안 문제로 인해 미국 해군은 딥시크 앱의 사용을 금지했으며, 호주, 이탈리아, 네덜란드, 대만, 한국 등 여러 국가에서도 정부 기기에서의 앱 사용을 금지하는 조치를 취했다. 미국 의회, NASA, 펜타곤, 텍사스 주 정부 등도 딥시크 앱의 사용을 금지하고 있다.
보안 전문가들은 딥시크 앱의 사용에 신중을 기할 것을 권고하고 있다. 나우시큐어는 "딥시크 iOS 앱의 보안 결함이 해결될 때까지 기업과 정부 기관은 해당 앱의 사용을 중단해야 한다"며 "개인 사용자들도 더 안전한 보안 및 개인정보 보호 기준을 충족하는 대체 앱을 고려해야 한다"고 조언했다.
사용자들은 개인정보 보호를 위해 보다 안전한 앱을 선택하고, 보안 업데이트가 이루어지는지 주기적으로 확인해야 한다.
출처 : 데일리시큐(https://www.dailysecu.com)
https://www.dailysecu.com/news/articleView.html?idxno=163569
출처 : 데일리시큐(https://www.dailysecu.com)