애플의 ‘앱 내 결제(In App Purchase, IAP)'를 무료로 사용할 수 있는 방법이 공개돼 파문이 일고 있다. 앱 개발자들의 수익이 줄어드는 것은 물론 이용자 계정이 도용되는 등 2차 피해가 예상된다.
14일(현지시간) 외신에 따르면 ‘ZonD80’이라는 별칭을 사용하는 러시아 해커 알렉세이 보로딘은 애플 모바일 운영체제 iOS 앱스토어에서 사용되는 '인앱결제' 알고리즘의 허점을 발견했다며 공짜로 사용할 수 있는 방법을 자신의 홈페이지(www.in-appstore.com)에 공개했다. 현재까지 약 3만 명 가량의 이용자들이 이 방법을 사용한 것으로 알려졌다.
알렉세이 보로딘은 넥스트웹과 인터뷰에서 “iOS용 유료 앱 게임인 CSR레이싱의 결제시스템에 화가 나서 공짜로 이용할 수 있는 방법을 찾기 시작했고, 아이디어는 현실이 됐다”고 밝혔다. 그는 또한 “애플에 관련 내용을 공유할 의사가 있다”고 덧붙였다.
보로딘은 iOS 운영체제(OS)나 앱 자체의 소스코드를 건드리지 않고 우회서버를 마치 결제용 서버인 것처럼 착각하게 만들었다. 그가 만든 서버는 앱 내 결제와 관련된 결제인증정보를 받아 iOS 이용자에게 결제가 완료됐다는 내용을 보낸다. 앱은 마치 결제가 완료된 것처럼 인식한게 된다.
외신은 보로딘이 만든 가짜 도메인네임시스템(DNS) 서버를 실제 결제용 서버처럼 사용하도록 하기 위해 우선 이용자들이 가짜 서버에 전자서명 인증을 받도록 했다. 가짜 서버의 IP주소를 결제용 서버처럼 사용하도록 허가한다는 뜻이다.
그 뒤 실제 이용자들은 와이파이 설정을 켠 뒤 앱 내 결제까지 진행한다. “구입하시겠습니까?”라는 문구가 뜨면 취소버튼을 누른다. 그 뒤 와이파이 설정에서 DNS주소를 62.76.189.117이나 224.160.136으로 변경하고 와이파이 기능을 껐다 켠 후 앱 내 결제를 다시 진행한다. 보로딘은 자신의 사이트에 “애플이 조치를 취해 62.76.189.117 IP가 막혔다”며 “91.224.160.136을 통해 접속할 수 있다”고 말했다.
외신은 가장 심각한 문제 중 하나가 가짜 DNS서버에 사용자의 애플 아이디와 비밀번호가 저장된다는 점에 있다고 밝혔다. 암호화되지 않은 이용자들의 계정과 비밀번호가 보로딘의 서버에 기록되는 만큼 다른 해커들의 가짜 DNS서버 해킹을 통해 악의적으로 정보가 이용될 수 있다는 지적이다.
관련기사
- 해킹, IT업체 홈페이지도 털렸다2012.07.15
- 안드로이드 이용자 100만명 '개인정보 유출'2012.07.15
- 야후 45만 계정 해킹당했다2012.07.15
- 애플 앱스토어, 첫 악성코드 앱 발견2012.07.15
이 사실이 알려진 당일 나탈리 해리슨 애플 대변인은 “앱스토어의 보안문제는 우리와 개발자 커뮤니티 모두에게 중대한 문제”라며 “매우 심각한 사기성 행위를 발견해 조사 중”이라고 밝혔다. 현재 애플은 앱 개발자들이 자신들의 서버를 통해 결제 영수증을 받도록 조치를 위한 상태다.
알렉세이 보로딘은 지난 13일 홈페이지에 서버가 폭주해 다운됐다며 업그레이드를 위한 후원금을 받는다는 내용을 게재했다.
