모바일

차세대 메시징 RCS, 은행계좌 해킹위험 있다?

  • 김성욱 기자
    • 기사
    • 프린트하기
    • 크게
    • 작게

    입력 : 2019-11-30 14:39:01

    <출처: 폰아레나>

    차세대 메시징 서비스라 칭송받는 RCS (Rich Communication Service)지만 보안에 치명적인 결함이 있다는 의견이 제기돼 화제다.

    美 IT미디어 폰아레나는 현지시간 29일, RCS 취약성을 통해 해커가 사용자의 금융 정보를 빼내갈 수 있다고 경고했다.

    그는 독일의 보안회사 SRLabs의 말을 인용해 안드로이드 스마트폰의 RCS앱은 도메인, 인증서 및 사용자 ID를 충분하게 검증하지 않아 해커가 도메인 명을 스푸핑 하고 발신자ID 스푸핑을 허용할 수 있다고 전했다.

    SRLabs은 해커가 RCS를 통해 사용자를 추적하고 온라인 상태인지를 확인한 후 발신자 ID를 스푸핑해 해당 사용자 스마트폰에 접속하고 SMS로 발송되는 일회성 비밀번호를 가로채 은행 거래를 승인하거나 계정 제어권을 탈취할 수 있다고 지적했다.

    그는 보안이 확실한 애플 iOS 앱과는 달리 안드로이드 메시징 앱을 포함한 RCS 앱들은 대부분 서버ID가 프로비저닝 단계에서 네트워크 제공 정보 일치 상황을 제대로 확인하지 못했다면서 이는 차후 DNS 스푸핑에 악용될 수 있다고 경고했다.

    때문에 이 문제를 해결하기 위해서는 강력한 일회용 암호 코드 사용 및 사용자의 SIM 카드 정보를 사용해 사용자 인증을 해야 한다고 조언했다. 또 사용중인 RCS 앱은 신뢰할 수 있는 도메인에만 연결하고 인증서 유효성 검사를 반드시 진행해야 한다고 덧붙였다.



    • 기사보내기
    • facebook
    • twitter
    • e-mail
  • Copyrights ⓒ BetaNews.net