최근 국제정보기술연구소(IIIT)의 사이버 보안 연구원들이 비밀번호 관리자를 사용하는 안드로이드 사용자에게 심각한 위협이 될 수 있는 ‘오토스필(AutoSpill)’이라는 치명적인 취약점을 공개했다.
지난 4월에 열린 데이터 및 애플리케이션 보안과 개인정보보호에 관한 ACM 컨퍼런스(CODASPY)에서 처음 발표된 이 취약점은 악성 애플리케이션이 안드로이드 웹뷰 자동 채우기 기능을 악용할 수 있는 가능성이 있는 것으로 드러났다.
오토스필 취약점으로 인해 안드로이드 디바이스에서 가장 널리 사용되는 비밀번호 관리자의 인증정보가 의도치 않게 유출될 수 있다는 것이다. 이 취약점은 모바일 앱이 WebView 컨트롤을 활용할 때 발생하며, 악성 애플리케이션이 자동 채우기 기능을 악용하여 민감한 사용자 정보에 액세스할 수 있게 해준다.
비밀번호 관리자 사용이 증가함에 따라 이 취약점은 상당한 사용자층에 영향을 미친다. Security.org의 연례 "비밀번호 관리자 산업 보고서 및 시장 전망"의 최근 통계에 따르면, 미국 사용자의 34%가 비밀번호 관리자를 사용하고 있으며, 이는 2022년의 21%에서 크게 증가한 수치다.
해외 보안연구원은 상위 10개 비밀번호 관리자가 오토스필에 취약한 것으로 밝혀졌다고 전하며 사용자가 무의식적으로 악성 애플리케이션을 로드할 때 발생하는 문제의 심각성을 강조했다. 악성 애플리케이션인 경우 무료로 자격 증명을 받게 된다. 피싱 전술이나 사용자 속임수 없이도 심각한 위협이 될 수 있다.
자동 유출 취약점을 발견한 후 연구원들은 영향을 받는 비밀번호 관리자 제공업체와 구글에 즉시 통보했다. 1Password를 포함한 일부 공급업체는 이 문제를 해결하기 위해 노력했지만, 다른 공급업체는 책임을 안드로이드 플랫폼으로 떠넘겼다. 구글은 버그 추적 커뮤니티 프로그램을 통해 AutoSpill에 우선순위 2와 심각도 2등급을 부여해 문제를 인지하고 있음을 알렸다.
자동 유출과 관련된 위험을 완화하기 위해 연구원들은 웹 도메인을 사용자 이름 및 비밀번호 정보가 포함된 입력 필드와 연결할 것을 권고한다.
이 접근 방식은 비밀번호 관리자와 웹 인터페이스 간에 보다 안전한 연결을 만드는 것을 목표로 한다. 하지만 연구원들은 비밀번호를 패스키, FIDO 얼라이언스 사양과 월드와이드웹 컨소시엄(W3C)의 WebAuthn 표준에 부합하는 디지털 자격 증명으로 대체하는 보다 포괄적인 솔루션이 필요하다고 주장하고 있다.
연구자들은 이 취약점을 해결할 수 있는 패스키의 잠재력에 대해 낙관적인 전망을 내놓고 있지만, 추가적인 조사가 필요한 상황이다. 주의를 기울여야 한다.
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★