본문 바로가기
IT 소식/해킹 & 보안

딥시크 iOS 앱의 보안 취약점 및 위험성

$ecu_Log 2025. 2. 11.

기사 출처 : 데일리시큐 https://www.dailysecu.com/news/articleView.html?idxno=163569

 

딥시크, 심각한 보안취약점 드러나…사용자 개인정보 암호화 없이 전송 - 데일리시큐

딥시크(DeepSeek) 앱이 전 세계적으로 높은 인기를 얻고 있는 가운데, 최근 심각한 보안 취약점이 발견돼 사용자 개인정보 보호에 대한 우려가 커지고 있다. 보안 분석 기업 나우시큐어(NowSecure)의

www.dailysecu.com

최근 보안 분석 기업 나우시큐어는 딥시크 iOS 앱에서 심각한 보안 취약점을 발견하였습니다

deepseek

1. 개요

딥시크(DeepSeek) iOS 앱은 사용자 및 기기 정보를 암호화하지 않은 상태로 인터넷을 통해 전송하고 있습니다. 이로 인해 중간자 공격이나 스니핑과 같은 해킹 공격에 쉽게 노출될 수 있습니다

  1. 중간자 공격(MITM): 공격자가 사용자와 서버 간의 네트워크 통신을 가로채어 데이터를 훔치거나 변조하는 공격 방식으로 암호화되지 않은 데이터는 MITM 공격에 취약하며, 공격자는 이를 통해 로그인 정보, 개인 식별 정보(PII), 금융 정보 등을 탈취할 수 있습니다.
  2. 스니핑(Sniffing): 네트워크 트래픽을 감청하여 데이터를 도청하는 공격 기법입니다. 공격자는 네트워크 패킷을 분석하여 민감한 정보를 추출할 수 있으며, 이는 공용 Wi-Fi 환경에서 특히 위험합니다.

2. 취약점 분석

딥시크 앱은 보안상의 여러 문제점을 가지고 있습니다

  • 앱 전송 보안(ATS) 비활성화
    1. 애플의 앱 전송 보안(ATS) 기능은 iOS 애플리케이션이 HTTPS를 사용하여 안전하게 데이터를 전송하도록 강제하는 보안 기능
    2. 하지만 딥시크 앱은 ATS를 비활성화하여 암호화되지 않은 HTTP 통신을 허용하고 있고, 네트워크 상에서 데이터가 평문으로 전송될 가능성이 있음
    3. ATS를 비활성화하면 공격자가 네트워크 트래픽을 감청하여 로그인 정보나 개인정보를 탈취할 가능성이 높아짐
  • 구식 암호화 알고리즘 사용
    1. 딥시크 앱은 3DES 알고리즘을 사용하고 있습니
    2. 3DES는 1990년대에 설계된 암호화 알고리즘으로, 현재는 취약점이 다수 발견되어 안전하지 않은 알고리즘으로 간주됩니다. 3DES는 2023년 이후 공식적으로 폐기되었으며, NIST(미국 국립표준기술연구소)에서도 사용을 금지하고 있습니다.
    3. 현대적인 보안 표준에서는 AES와 같은 강력한 암호화 알고리즘을 사용할 것을 권장합니다.
  • 하드코딩된 암호화 키 및 초기화 벡터(IV) 재사용
    1. 암호화 키와 초기화 벡터(IV)는 암호화 과정에서 데이터 보안을 강화하기 위해 사용됩니다
    2. 딥시크 앱은 이러한 키와 IV를 코드에 하드코딩해둔 상태이며, 동일한 값을 지속적으로 재사용하고 있습니다
    3. 하드코딩된 키는 앱이 분석되거나 역공학되었을 때 쉽게 노출될 위험이 있으며, 키가 유출되면 공격자가 데이터를 복호화할 수 있는 심각한 보안 문제가 발생합니다

3. 위험성

  • 데이터 탈취 가능성
    1. 암호화되지 않은 네트워크 통신은 MITM 공격이나 스니핑 공격에 쉽게 노출됨
    2. 공격자는 로그인 정보, 금융 정보, 개인 식별 정보를 손쉽게 가로챌 수 있음
  • 개인정보 유출 및 프라이버시 침해
    1. 앱 사용자의 데이터가 중국 기업 바이트댄스가 운영하는 클라우드 플랫폼으로 전송되고 있으며, 중국 정부에 의해 접근될 수 있다는 우려가 제기됨
    2. 중국의 데이터 보호법에 따르면, 기업들은 정부의 요청이 있을 경우 데이터를 제공해야 할 의무가 있음
    3. 이에 따라, 미 해군을 포함한 여러 국가의 정부 기관에서는 딥시크 앱의 사용을 금지하고 있음
  • 규제 및 법적 문제
    1. 유럽연합(EU)의 일반 데이터 보호 규정(GDPR)이나 미국의 캘리포니아 소비자 개인정보 보호법(CCPA) 등 주요 개인정보 보호법에 위배될 가능성이 있음
    2. 개인정보 보호를 준수하지 않는 기업은 규제 기관으로부터 벌금이나 법적 제재를 받을 수 있음

4. 결론 및 권고사항

딥시크 iOS 앱의 보안 취약점은 사용자 개인정보 보호에 심각한 위협을 가하고 있습니다. 기업과 정부 기관뿐만 아니라 개인 사용자들도 해당 앱의 사용을 중단하고, 보다 안전한 보안 및 개인정보 보호 기준을 충족하는 대체 앱을 고려해야 합니다

  • 보안 조치 권장사항
    1. 안전한 네트워크 통신 구현
      • HTTPS를 사용하여 데이터 전송을 암호화해야 하며, ATS 기능을 활성화해야 함
    2. 강한 암호화 알고리즘 사용
      • 3DES를 폐기하고, AES-256과 같은 현대적인 암호화 알고리즘을 사용해야 함
    3. 암호화 키 및 IV 보안 강화
      • 하드코딩된 키를 제거하고, 안전한 키 관리 시스템을 도입해야 함
    4. 정기적인 보안 점검 및 패치 적용
      • 보안 전문가에 의한 주기적인 취약점 분석 및 보안 업데이트를 시행해야 함
저작자표시 비영리 변경금지

'IT 소식 > 해킹 & 보안' 카테고리의 다른 글

구글플레이 속 악성 안드로이드 앱?  (1) 2025.03.29
PyPI 악성 패키지 유포 사건: DeepSeek 사칭 공격 분석  (2) 2025.02.06
삼성 스마트폰 보안 취약점 발견  (1) 2025.01.14
사칭 피싱 공격 주의: 최신 수법과 예방법  (1) 2025.01.06

'IT 소식/해킹 & 보안' 관련글

티스토리툴바