악성 프로그램 '맥키퍼(MacKeeper)', 고객 개인정보 1,300만건 무방비 노출

2015. 12. 15. 00:16    작성자: ONE™

멀쩡한 맥에 심각한 문제가 있다며 이를 치료한다는 명목으로 금전적 결제를 유도하는 맥키퍼(MacKeeper)'

소프트웨어만 문제인 줄 알았더니 인터넷 서버의 사용자 계정 관리도 매우 허술한 것으로 드러났습니다. 

미 IT매체 '9to5mac'에 의하면 맥키퍼 제작사 '크롬텍'이 운영하는 서버에서 무려 1,300만 건이 넘는 방대한 개인정보가 유출되는 일이 발생했습니다. 다행히 이번 사건은 '크리스 비커리(Chris Vickery)'라는 한 보안 전문가에 의해 일어났는데요. 스스로가 레딧 게시판을 통해 ‘최근 크롬텍 서버에서 민감한 계정 정보 1,300만 건을 다운로드 했다’고 밝혔습니다.

이 계정 정보에는 고객의 이름은 물론 계정 비밀번호와 이메일 주소, 집 주소와 전화번호, 해시 처리된 비밀번호, IP 주소, 소프트웨어 라이센스와 시리얼 코드, 컴퓨터 종류와 컴퓨터의 시리얼 번호 등이 포함된 것으로 알려졌습니다.


* 히커리가 맥키퍼 제작사 서버에서 입수했다고 주장한 데이터베이스

비커리는 레딧 게시판에 이 같은 사실을 올리기 전에 제작사 측에 연락을 취했지만, 6시간이 넘도록 아무런 조처가 이뤄지지 않았다고 지적했습니다. 또한, 고객의 비밀번호가 암호화돼 있지만, 무작위 문자열(Salt)이 더해지지 않은 평이한 MD5 알고리즘을 사용하고 있어 해킹 등에 의해 비밀번호가 노출될 위험성이 큰 것으로 나타났습니다. 비커리는 크롬텍이 서버 취약점을 보완하는 즉시 고객들의 개인정보를 어떻게 입수했는지 그 경로를 자세히 밝히겠다고 예고했습니다.

안에서 새는 바가지가 밖에서도 샌다는 말이 있듯이, 애초에 이로운 소프트웨어를 만들겠다는 생각보다 고객의 돈을 뜯어내는 데 혈안인 제작사가 개인정보 관리에 철두철미 할리 없다는 지적이 절로 나옵니다.

한편, 앞서 미국에서는 맥키퍼 제작사의 기만적인 비즈니스 행위와 허위 광고로 집단소송이 제기된 바 있으며, 논란이 커지자 제작사가 200만 규모의 합의금을 고객들에게 지급하기로 했다는 소식이 전해지기도 했습니다. 재판이 진행되는 동안 맥키퍼 소프트웨어 판권이 '지오비트'에서 '크롬텍'으로 이전됐는데, 명의만 바뀌었을 뿐 실질적인 소유주는 원래 제작사인 지오비트 경영진이라는 의심을 받고 있습니다.



참조
Reddit - Massive data breach /via 9to5mac

관련 글
• 'MacKeeper'를 클릭 한 번으로 깨끗이 지워드립니다... 'DetectX'
• MacKeeper 허위 광고에 대한 집단소송 합의... '200만 달러 보상'
• MacKeeper, ZipCloud 설치하는 가짜 사파리 업데이트 주의보


    
  1. Blog Icon
    fffff

    소름이네요 ..

  2. Blog Icon
    gabriel cho

    이런것들은 회사자체를 없애버릴수없나요? 마소나 애플이 인수해 착한 앱으로 만들어버리지 기생충같은 넘들 으휴

  3. Blog Icon
    Mountain Lion

    마소나 애플요? 마소라니..허허...차라리 고양이한테 생선을 맡기지...

  4. Blog Icon
    ㅎㅎ

    마소나 애플이 착한 앱이요?
    컴퓨터 오래 안 해보셨나봐요 허허..

  5. Blog Icon
    gabriel cho

    두분께 죄송합니다. 컴퓨터 경력이 미미해서 (컴경력 30년, 네트웍경력 20년) 제가 너무 남곽남취했네요.

  6. Blog Icon
    Mountain Lion

    저게 지금 미정부와는 관련 없이 일반인들 캐내고 있는 것입니다. 작년인가 CIA Pfenning Alpha 사건으로 온 세계뉴스가 떠들썩했지만 우리나라는 허핑턴 포스트를 보니 전화통화 포함 SNS 감청 의무화법이라는게 발의 되었습니다. 지난 6월 쯤인데 국내 뉴스엔 나왔나 모르겠네요.

    우리는 큰죄 안짓고 살면 되겠지 별 관심도 없지만 그렇지만도 않습니다. 트랜스포머를 추구하는 Lawful Interception 추세니까요. 경영진은 살아남게 해주고 또다시 자잘한 사건으로 큰 사건은 덮어주는 구실을 할테니 누이좋고 매부 좋지요. 그나마 애플까지 무너지면 정말 보안은 없다고 봐야 하는데 사람들이 편리를 찾는게 기본 심리라 아찔하기도 합니다.

  7. Blog Icon
    truehouse

    맥키퍼는 공식적으로 발표가 없나요?...
    신뢰적인 이미지가 거의 없는 회사가 지금까지 살아남은게 대단하게 보이네요ㅎㅎ

  8. Blog Icon
    가구공

    하루에도 수십번 보는 팝업과 광고배너로만도 상당한 클릭수의 수입이 있으니 버티지 않을까요? 그나저나 이번에는 쉽게 못넘어갈분위기네요.

  9. Blog Icon
    flyingANDY

    맥키퍼 1년 정도 유료로 사용해보다 이상해서 안쓴지 1년 됐는데, 느낌이 느낌만은 아니였네 근데 왜 애플은 인증을 해줬었을까? 인증/권장 했다가 풀긴했지만 이런 문제를 예상하고 공식사이트에서 권장페이지를 삭제 한걸 수도 있겠군.

  10. Blog Icon
    dd

    이 쓰레기들은 IS한테 테러나 당했으면 좋겠네