최근, 미국의 보안 업체 NowSecure 가 DeepSeek iOS 앱에서 여러 보안 및 개인정보 보호 문제가 발견됐다고 밝혔다.
DeepSeek iOS 앱은 2025년 1월 25일 이후 가장 인기 있는 iOS 앱 으로, 개인과 공무원 및 여러 기업의 직원을 가리지 않고 수백만의 사람들이 이 앱을 설치했다.
하지만 보안 문제가 대두되며, 미국을 시작으로 많은 나라에서 DeepSeek를 차단하고 있다.
우리나라에서는 행정안전부와 국가정보원이 지난 3일 모든 중앙부처와 광역 지방자치단체에 딥시크, 오픈AI 등 생성형 인공지능(AI)을 사용할 때 민감한 정보는 입력하지 말라는 내용을 담은 보안 가이드라인을 발송했다.
이에 기업들도 DeepSeek 차단에 동참하고 있으며, 현대로템과 STX엔진 등 내부 정보 보호에 특히 민감한 방산업체들은 6일 내부 공지를 통해 딥시크 차단을 알다. 또한, 일부 방송사와 금융기관 등도 직원들에게 업무용 PC에서 딥시크 등 생성형 AI 사용을 자제토록 하거나 접속 차단조치를 취했다.
NowSecure는 DeepSeek iOS 모바일 앱에 대한 포괄적인 보안 및 개인 정보 보호 평가를 수행하여 개인, 기업 및 정부 기관을 위험에 빠뜨리는 여러 가지 중요한 취약점을 발견했다. 이러한 결과는 사용자로부터 민감한 데이터를 보호하고 잠재적인 사이버 위험을 완화하기 위해 앱 사용을 금지해야 할 필요성을 강조한다.
확인된 주요 위험:
- 암호화되지 않은 데이터 전송: 앱은 암호화하지 않은 채 인터넷을 통해 민감한 데이터를 전송하므로 데이터 가로채기와 조작에 취약함.
- 취약하고 하드코딩된 암호화 키: 오래된 Triple DES 암호화를 사용하고, 초기화 벡터를 재사용하며, 암호화 키를 하드코딩하여 보안 관행을 위반.
- 안전하지 않은 데이터 저장: 사용자 이름, 비밀번호, 암호화 키가 안전하지 않은 방식으로 저장되어 자격 증명 도난 위험성이 큼.
- 광범위한 데이터 수집과 지문 인식: 앱은 사용자 및 기기 데이터를 수집하며, 이는 추적 및 사용자를 식별할 수 있음.
- 중국으로 전송되는 데이터가 및 PRC 법률에 따라 관리됨: 사용자 데이터는 ByteDance가 관리하는 서버로 전송되며, 이로 인해 정부의 접근 및 규정 준수 위험에 대한 우려가 제기됨.
출처
[1] NowSecure - NowSecure Uncovers Multiple Security and Privacy Flaws in DeepSeek iOS Mobile App
[2] VOA - 한국 정부·기업, 중국 AI ‘딥시크’ 접속 차단 확대…“북한 응용 앱 개발 사이버 공격 가능성”
https://www.voakorea.com/a/7966397.html
'보안이슈 (Security Issues)' 카테고리의 다른 글
| [보안이슈] 악성 MSC 파일의 두 가지 유형 (0) | 2025.02.19 |
|---|---|
| [보안이슈] 삼성SDS, 2025년 5대 사이버 보안 위협 발표 (0) | 2025.02.18 |
| [보안이슈] 김수키(Kimsuky) 해킹 그룹의 새로운 Powershell 공격 방법 (0) | 2025.02.13 |
| [보안이슈] macOS용 DeepSeek 설치 파일로 위장한 악성코드 발견 (0) | 2025.02.10 |