앱스토어 앱 보다 시디아 트윅이 더 안전하다

'비정상적인 기기 구동 사용은 보안상 위험하다.'라는 소리 자주 들어보셨을 겁니다. 결론 부터 말씀드리자면, '네, 그렇습니다.'가 되겠습니다만 여기에는 '제대로 쓰지 않을 경우'라는 전제가 붙습니다. 

cf. 지금부터 하는 얘기는 전적으로 개인적인 사견으로 모든 리포배포를 비하하고자 하는 의도는 아닙니다.

첫째, 일부 블로거들이 가장 위험하다고 평가중인 OpenSSH를 들 수 있습니다. OpenSSH를 설치하면 백도어의 여지를 두기 때문에 아예 설치하지 않는 것이 좋다. 고 말합니다만 그건 아니죠. 이 리눅스 계열 텔넷 프로토콜 OpenSSH는 모든 암호화된 네트워크 연결을 제공합니다. 아예 설치 안하는것 보다 설치하고 필요시에만 사용 후 평소에는 비활성화 시키는것이 더 안전합니다.(참고)

둘째, 탈옥 후 일부 특정 웹페이지에 접속할 경우입니다. 아직까지 이 부분에 대한 iOS에서의 전례는 (개인적으로)들어보지 못했습니다. 안드로이드의 경우 2.3.3 진저브레드에서 특정 웹페이지에 접속 했을 경우 SD카드에 저장된 개인정보가 모두 업로드되는 경우는 있었습니다.(참고)

셋째, 시디아 트윅입니다. 이 시디아 트윅이 실질적으로 문제가 된 경우는 poc-bbot이나 sshpass와 같은 일종의 바이러스가 되겠습니다. 해결방법으로는 memtool과 같은 트윅으로 확인 후 kill 시킬 수 있습니다. 이런 문제를 포함하여 기타 다른 이유로 시디아 트윅이 문제가 되는 경우는 대부분이 '유료트윅을 무료로 써보시겠다'는데서 시작됩니다. paypal 계정 만들고 BigBoss나 ModMyi로 구매를 하거나, 최소한 '10대 시디아 소스' 선까지만 사용하더라도 크게 문제되는 경우는 없습니다만, 특히 1) 구글링으로 검색해서 .deb 또는 이걸 검색해서 코드확인 없이 블로그에 올려놓은 걸 다운로드 받아 설치하는 경우 2) 아예 자체 소스를 등록하여 크랙파일을 구한 다음 리패키지로 배포하는 것을 다운로드 받는 경우, 개발자에 대한 지적재산권 침해는 둘째치고, 배포자가 악의를 가질 경우 모든 개인정보를 고스란히 헌납할 가능성도 있습니다. 

cf. 이 모든 부문에 해당되는 대표적인 국민앱이 카카오톡이라는 것은 알고 계시죠? 카카오톡은 이뿐만 아니라, 카드번호/통장번호/은행명/심지어 비밀번호까지 수집할 여지가 있어서 논란이 되기도 했으며, 현재 카카오톡 사용자는 국내에만 2,200만명이 되는 것으로 알려졌습니다.

UPDATE 2011.02.17 am 12:03  이 글을 보고, '아 시디아 트윅이 원래 더 안전하구나'라고 오해의 소지가 있을듯 해서 한가지 짚고 넘어가는 부분은 '기업이 배포하는 앱스토어 앱의 경우 (특히 무료인 경우)이익이라는 목적이 있기 때문에 (절대 꽁짜는 없습니다.)개인정보를 수집할 여지가 있는 코드를 포함시키지만, 시디아의 개발자들은 대부분 개인으로 개발 초년생이 많기 때문에, 제대로 돌아가는 트윅을 배포하기도 버거운 마당에 다른 코드를 포함시키기가 현실적으로 어렵다는 점이 이런 문제점들이 더 적게 발생하는 이유가 될 수도 있습니다.(참고) cf. 모든 개발자가 능력이 없어서 이런 유형의 코드를 포함시키지 않는다고 싸그리 비하하고자 하는 의도는 아닙니다. 능력이 있어도 필요성을 못느끼거나 다른 이유에 의거하여 포함시키지 않는 경우도 당연히 있습니다.
 
Forbes에서 캘리포니아 대학의 재미있는 논문을 소개했습니다. 해당 논문은 아래에 PDF파일로 첨부했습니다.

egele-ndss11.pdf

지난 12일 블로그를 통해 대부분의 iOS앱들이 주소록에 접근하는 것을 차단해주는 시디아 트윅인 ContactPrivacy 를 소개한데 이어, 이에 대한 내용의 연장선으로 '시디아 트윅들이 애플 아이튠즈 스토어에 등록되어 있는 앱들 보다 사생활 데이터를 덜 유출한다'는 내용입니다. 이 논문에서는 사생활 데이터 유출을 확인하기 위해 PiOS라는 프로그램을 개발하여 사용했습니다. 총 1,470개의 무료 앱들을 조사했고 이중 825개를 애플 앱스토어에서 vs 525개를 시디아의 대표적인 repository 소스인 BigBoss로 부터 다운로드 하여 테스트 했습니다.

그런데, 결과가 참 재밌는게 앱스토어 앱의 21%가 사용자의 iOS 기기 UDID를 수집하여 업로드 했고, 4%가 위치정보를, 0.5%는 사용자의 주소까지 업로드했습니다. 반면 시디아 트윅은 4%만이 사용자 기기의 UDID를 수집했고, 단 1개만이 위치와 주소록을 수집했습니다. 또한 앱스토어에는 전화번호를 수집한 경우도 1개 발견됐으며, 시디아 트윅에서는 Safari history와 사진을 각각 1개씩 수집하는 경우가 발견됐습니다.
 

탈옥폰이 순정폰보다 보안상 더 안전한 경우는 iOS 5.0.1 주소록 보안결함에 대한 ContactPrivacy 뿐만 아니라, 과거에도 iOS 4.3.3 의 Safari 보안결함을 이용한 (현재 애플보안팀 인턴으로 입사)comex의 JailbrekMe 3.0 당시, comex는 탈옥툴을 배포하고 바로 이에 대한 보안패치  PDF Patcher 2 를 함께 배포한 적도 있습니다. 또한 애플이 iOS 4.3.3의 보안문제를 해결한 4.3.5를 배포하자 시디아에는 iOS 4.3.3에 대한 보안레벨을 4.3.5로 업데이트 시켜주는 isslfix가 등록되기도 했습니다.

cf. 02.16 일자로 ContactPrivacy 외에 Protect My Privacy(BigBoss)도 등록됐습니다.

탈옥하면 위험하다. 탈옥 그거 꽁짜 쓰려고 그러는거 아니냐?(모든 사용자들이 꽁짜 쓰는게 목적이라고 생각된다면 그건 당신 수준이고) 확장성은 인정하지만, 순정이 더 안정적이다. 순정의 안정성은 따라 올 수 없다. 라는 오해들을 바로잡고자 글을 남겨봅니다. 탈옥하면 순정보다 불안정해지고 보안상 위험한 것은 사실입니다만은, 오히려 이번 처럼 순정이 더 보안상 위험할 뿐만 아니라, 탈옥도 제대로 알고 적절하게 (piracy 행위에 대해서)정상적으로 활용한다면 크게 불안정해질 이유도 없다는 점을 전해드리면서 이만 글을 줄일까 합니다.
 

▲ T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.

T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.