DeepSeek, TikTok의 모회사 ByteDance에 보호되지 않은 민감한 사용자 데이터 전송

DeepSeek iOS 앱의 보안에 대한 우려가 커지고 있으며, 이 앱이 TikTok의 모회사인 ByteDance에 보호되지 않은 사용자 데이터를 전송할 수 있습니다.

미국에 본사를 둔 모바일 보안 회사 NowSecure에 따르면, 실제 iOS 장치에서 DeepSeek iOS 모바일 앱에 대한 종합적인 보안 및 개인 정보 보호 평가를 수행한 결과, 이 앱이 암호화되지 않은 데이터 전송, 약하고 하드코딩된 암호화 키, 안전하지 않은 데이터 저장, 광범위한 데이터 수집 및 지문 인식 기능을 사용하며, 암호화되지 않은 데이터를 중국으로 전송한다고 합니다.

NowSecure가 강조한 첫 번째 문제는 DeepSeek iOS 앱이 모바일 앱 등록 및 장치 데이터를 인터넷을 통해 암호화 없이 전송하여 가로채기 및 조작에 취약하다는 것입니다.

예를 들어, 특권 접근 권한을 가진 네트워크 공격자(일반적으로 중간자 공격으로 알려짐)는 데이터를 가로채고 수정하여 앱의 무결성과 데이터 보안을 손상시킬 수 있습니다.

Apple은 개발자가 이러한 결함을 도입하는 것을 방지하기 위해 내장된 플랫폼 보호 기능을 제공하지만, NowSecure에 따르면 DeepSeek iOS 앱에 대한 보호 기능은 전 세계적으로 비활성화되었습니다. **

“사용자가 DeepSeek iOS 앱을 처음 실행하면, 앱은 DeepSeek의 백엔드 인프라와 통신하여 애플리케이션을 구성하고, 장치를 등록하며, 장치 프로필 메커니즘을 설정합니다. 네트워크가 모바일 앱에 대해 적극적으로 공격하도록 구성되어 있더라도(MITM 공격을 통해) 앱은 여전히 이러한 단계를 실행하여 데이터에 대한 수동 및 능동 공격을 가능하게 합니다.”라고 회사는 목요일에 발표한 블로그 게시물에서 썼습니다.

현대 앱은 사용자 데이터의 기밀성과 무결성을 보호하기 위해 데이터 암호화를 사용하며, 이는 사용자 데이터를 보호하기 위한 적절한 구현이 필요합니다.

그러나 이 앱은 안전하지 않은 대칭 암호화 알고리즘(3DES)을 사용하고, 초기화 벡터를 재사용하며, 암호화 키를 하드코딩하여 보안 모범 사례를 위반하고 있습니다.

또한 DeepSeek iOS 앱은 사용자 이름, 비밀번호 및 암호화 키를 안전하지 않게 저장하여 자격 증명 도용의 위험을 증가시킵니다. 이 앱은 또한 추적 및 비익명화에 사용될 수 있는 사용자 및 장치 데이터를 수집합니다.

게다가 이 앱은 조직 ID, 장치 OS 버전 및 구성에서 선택한 언어를 포함한 수십 개의 데이터 포인트를 사용합니다. NowSecure는 사용자 데이터가 ByteDance가 2021년에 출시한 클라우드 서비스 플랫폼인 Volcengine에 의해 서버로 전송된다고 언급했습니다.

ByteDance는 중국 법률의 적용을 받기 때문에 수집한 데이터를 중국 정부와 공유해야 할 수 있으며, 이는 이 앱을 사용하는 기업 및 정부에 대한 주요 감시 및 준수 문제를 제기합니다.

“DeepSeek iOS 앱은 민감한 데이터가 암호화되지 않은 채널을 통해 전송되는 것을 방지하는 iOS 플랫폼 수준 보호 기능인 앱 전송 보안(ATS)을 전 세계적으로 비활성화합니다. 이 보호 기능이 비활성화되었기 때문에, 앱은(그리고 실제로) 인터넷을 통해 암호화되지 않은 데이터를 전송할 수 있습니다.”라고 NowSecure는 덧붙였습니다.

NowSecure는 사용자가 보안과 개인 정보를 보호하기 위해 즉시 DeepSeek를 iPhone에서 제거할 것을 권장합니다.

또한 기업과 기관은 관리되는 환경 및 BYOD 환경에서 DeepSeek 모바일 iOS 앱을 즉시 제거하고, 모바일 보안 및 데이터 보호를 우선시하는 대체 AI(인공지능) 플랫폼을 고려하며, 새로운 위험에 대해 모바일 애플리케이션을 지속적으로 모니터링할 것을 권장합니다.