지난주 러시아 해커인 알렉세이 보로딘이 알아낸 ‘앱 내 결제(In App Purchase, IAP) 무료이용법’을 임시로 막는 방법이 나왔다. 애플이 개발자들에게 공개한 이 방법은 iOS 5.1과 이전 버전에 우선 적용되며, 올해 말 나올 iOS 6.0에도 상응하는 패치가 이뤄진다.
외신은 20일(현지시간) 애플이 앱개발자용 사이트(developer.apple.com)에 ‘앱 내 결제’의 보안취약점을 개선할 수 있는 방법을 공개했다고 보도했다. 이는 앱 내에서 이뤄진 결제정보와 애플 자체 서버에 기록된 내용이 일치하는지 확인하는 방법이다.
애플이 앱 개발자들에게 제시한 조치는 다음과 같다.
1. 앱스토어 서버에 연결할 때 사용되는 SSL 인증을 확인한다.
2. 앱스토어 서버를 통해 전송된 ‘SKPayment’ 정보가 기존 정보와 일치하는지 확인한다.
3. 전자영수증의 서명을 확인한다.
4. 새로운 결제가 특별한 거래용 ID를 사용했는지 확인한다.
이날 외신은 톰 노이마이머 애플 대변인이 “앱개발자용 사이트에 방문해 필요한 조치를 취하기를 당부했다”고 전했다.
보로딘이 지난 14일 자신의 홈페이지(www.in-appstore.com)에 공개한 무료이용법은 iOS나 앱 자체의 소스코드를 건드리지 않고, 우회서버를 마치 결제용 서버인 것처럼 착각하게 만드는 방법을 사용했다. 그가 만든 서버는 앱 내 결제와 관련된 인증정보를 받아 iOS 이용자에게 결제가 완료됐다는 내용을 보낸다. 앱은 마치 결제가 완료된 것처럼 인식한다.
외신은 애플이 문제점을 발견한 초기에서부터 보로딘의 시도를 차단하려고 노력했다고 보도했다. 먼저 그의 페이팔 계정을 막아 서버운영비를 조달하는 것을 막았다. 그러나 보로딘은 또 다른 온라인 결제수단인 비트코인(Bitcoin)을 통해 운영비를 충당했다.
관련기사
- 현직 해커의 조언, '해킹 이렇게 막아라'2012.07.23
- iOS 앱 내 결제 무료이용법...개발자들 피해2012.07.23
- iOS 앱 내 결제 무료이용법 공개 파문2012.07.23
- 야후 45만 계정 해킹당했다2012.07.23
심지어 지난 21일(현지시간) 보로딘은 자신의 홈페이지에 맥OS 에서도 앱 내 결제를 무료로 사용할 수 있는 방법을 올렸다. 가짜 우회서버를 이용한다는 점에서 iOS에서와 거의 같은 방식으로 이용했다고 외신은 전했다.
넥스트웹은 “앱 내 결제가 맥OS 보다는 iOS용 앱에서 훨씬 자주 사용된다는 점이 불행 중 다행”이라고 보도했다. 이달 말 공개 예정인 OS X 10.8 마운틴 라이언에서 해당 내용에 대한 패치를 적용할 계획이다.
