TikTok은 세계에서 가장 널리 사용되는 소셜 미디어 플랫폼 중 하나로, 10억명 이상의 등록된 사용자와 약 8억 이상의 MAU를 보유하고 있습니다. 2016년 9월 중국에서 시작된 이 영상 애플리케이션은 전 세계로 삽시간에 퍼졌으며, 그 인기 측면에서 트위터와 스냅쳇을 넘어 페이스북에 이어 두번째를 달성하였습니다.
주로 10대들이 사용하는 이 애플리케이션은 사용자가 짧은 음악 클립과 립싱크 영상을 만든 후 영상을 공유하고 저장하는 것을 지원하고 있습니다. 그러나 작년에 이스라엘에 본사를 둔 Check Point Research Publications의 전문가들은 해커가 악용하여 사용자의 개인 데이터를 위협할 수 있는 보안 취약점이 있는 중국발 앱을 공개하였습니다. 몇몇 주요 뉴스 매체들은 이미 애플리케이션의 보안 위협에 대해서 보도하였습니다. CNet.com은 최근 미군이 이전에 채용 도구로 사용되었던 TikTok을 업무용 핸드폰에서 사용 금지하였다고 보도하였습니다.
Check Point Research의 연구원은 애플리케이션의 취약성을 이용하여 해커가 공격할 수 있는 활동을 다음과 같이 나열하였습니다. 계정 확보 및 콘텐츠 조작, 비디오 삭제, 무단 비디오 업로드, 비공개 동영상의 공개, 이메일 주소에 연결된 개인 정보 공개 등이 해당합니다.
연구원들은 웹 사이트의 TikTok 다운로드 요청 옵션의 보안 허점을 이용하여 손쉽게 회사의 공식 SMS 플랫폼을 통해 악성 링크를 전송할 수 있음을 발견하였습니다. 이러한 과정을 SMS 링크 스푸핑이라고 합니다. 일단 사용자가 링크를 따라가면, 그들은 자신도 모르게 해커에게 자신의 계정에 대한 접근 권한을 부여함으로써 심각한 위협에 노출됩니다. 방어벽이 무너지면 해커는 쉽게 영상을 업로드하고 비공개 클립을 공개로 전환하며 계정에 연결된 모든 중요한 정보에 접근할 수 있습니다.
또한 Check Point Research는 애플리케이션의 안드로이드 버전에 해커가 SMS 스푸핑 취약점을 사용하고 악용할 수 있는 “deep link” 옵션이 있음을 발견하였습니다. 이 옵션은 해커가 신뢰할 수 있는 사용자로 위장하여 대신 요청을 보낼 수 있도록 지원합니다.
해커는 리디렉션 옵션을 사용하여 크로스 사이트 스크립팅(XSS), 크로스 사이트 요청 위조(CSRF) 및 민감한 데이터 노출 공격과 같은 악의적인 활동을 수행할 수 있습니다. 이것은 Check Point Research의 연구원들이 베이징에 본사를 이 회사를 발견하고 공개한 많은 허점 중 하나 일뿐입니다. 또한 TikTok이 보안 취약점으로 인해 논란이 된 것은 이것이 처음이 아닙니다. 작년 11월 미국 정부는 이 애플리케이션의 모회사인 ByteDance에 대한 10억 달러 규모의 영상 앱 Musical.ly의 인수에 대해 보안 검토를 시작하였습니다.
TikTok은 앱의 취약성과 심각한 SMS 보안 위협에 대해서 수용하였습니다. “TikTok은 사용자 데이터를 보호하기 위해 노력하고 있습니다. 많은 기업과 마찬가지로 책임있는 보안 연구원이 제로 데이 취약점을 공개하도록 권장하였습니다. 공개되기전 Check Point는 보고된 모든 문제가 최신 버전의 앱에 패치되었다는데 동의하였습니다. 우리는 이 성공적인 결의안이 보안 연구원들과의 향후 협력을 장려하기를 희망합니다.”고 대변인은 올해 1월 Forbes.com을 통해 밝혔습니다.
오늘날 데이터 유출은 하나의 트랜드가 되고 있습니다. 이로 인해 사용자는 본인이 직면할 수 있는 위협에 대해서 인식하는 것이 매우 중요합니다. 사용자가 잠시 눈을 깜박이는 동안에도 해커는 사용자의 개인 정보에 쉽게 접근하고 이를 악용할 수 있습니다. 그러므로 최신 정보에 관심을 기울이고, 항상 위협에 대해서 경계하는 것이 중요합니다. 사용자는 위험을 최소화하려면 항상 최신 버전의 앱으로 업데이트 해야합니다.