DeepSeek 응용 프로그램에서 하드 코딩 된 암호화 키를 사용하면 사용자 데이터 보안 및 개인 정보 보호에 몇 가지 중요한 위험이 있습니다. 이 관행과 관련된 잠재적 위험은 다음과 같습니다.
1. 데이터 노출 및 차단 : 응용 프로그램의 소스 코드에서 하드 코딩 된 암호화 키를 쉽게 추출하여 무단 당사자가 민감한 데이터에 액세스하고 해독 할 수 있습니다. 이는 특히 중국의 서버로 전송되는 키 스트로크 패턴을 포함하여 광범위한 사용자 및 장치 데이터를 수집하기 때문에 DeepSeek에 관한 것입니다 [1] [3] [4]. 3DES와 같은 오래된 암호화 알고리즘의 사용은이 알고리즘이 안전하지 않은 것으로 알려져 있기 때문에이 취약점을 더욱 악화시킵니다 [1] [3] [9].
2. 키 회전 부족 : 하드 코드 키가 노출되면 쉽게 변경할 수 없습니다. 즉, 취약성이 발견 되더라도 응용 프로그램이 업데이트 될 때까지 키가 손상되어 시간이 걸릴 수 있습니다. 이 키를 회전시키지 못하면 데이터 유출에 대한 취약성 창이 빠르게 증가합니다 [2] [8].
3. SQL 주입 및 데이터베이스 위험 : DeepSeek의 응용 프로그램은 SQL 주입 위험에 직면하여 공격자가 데이터베이스 쿼리를 조작 할 수 있습니다. 하드 코딩 된 암호화 키와 결합하면 공격자가 데이터베이스에 저장된 민감한 사용자 레코드에 액세스하고 해독 할 수 있습니다 [1] [4] [7].
4. 국가 안보 및 데이터 주권 문제 : 중국 국유 기관과 연결된 서버로 사용자 데이터를 전송하면 데이터 주권 및 국가 안보에 대한 우려가 제기됩니다. Tiktok의 모회사 인 Bytedance의 참여는 중국의 데이터 거버넌스 관행으로 인해 이러한 문제를 더욱 복잡하게 만듭니다. 여기에는 영장없는 감시가 포함될 수 있습니다 [1] [3] [7].
5. 불안정한 데이터 저장소 : 사용자 이름, 암호 및 암호화 키의 불안한 저장을 포함하여 DeepSeek의 불안한 스토리지 사례는 자격 증명 도난의 위험을 증가시킵니다. 이로 인해 사용자 계정에 대한 무단 액세스가 발생하고 민감한 정보가 추가로 손상 될 수 있습니다 [3] [10].
6. 행동 프로파일 링 : 키 스트로크 역학 및 기타 사용자 행동 데이터의 컬렉션을 사용하여 사용자의 세부 프로파일을 구축 할 수 있습니다. 이는 특히 그러한 데이터가 추적 또는 감시 목적으로 사용할 수있는 엔터티로 전송 될 때 프라이버시 문제를 제기합니다 [1] [4].
요약하면 DeepSeek 응용 프로그램에서 하드 코드 암호화 키를 사용하면 데이터 유출, 무단 액세스 및 개인 정보 위반의 위험이 크게 증가합니다. 이러한 위험은 앱의 광범위한 데이터 수집 관행과 잠재적 인 국가 안보에 영향을 미치는 기업과의 연결에 의해 악화됩니다.
인용 :
[1] https://ssojet.com/blog/security-and-privacy-risks-in-deepseeks-deepseeks-droid-app-insights-from-experts/
[2] https://www.ubiqsecurity.com/exploring-cwe-321-us-of-hard-coded-cryptographic-key%EF%BF%BC/
[3] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-in-deepseek-for-ios/
[4] https://www.bankinfosecurity.com/security-researchers-warn-new-risks-in-deepseek-ai-app-a-27486
[5] https://breachforce.net/exploiting-oxplosed-cencryption-keys
[6] https://oit.utk.edu/news/the-dangers-of-using-deekseek/
[7] https://securityscorecard.com/blog/a-deep-peek-at-deepseek/
[8] https://docs.guardrails.io/docs/vulnerabilityclasses/hard-coded-secrets
[9] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
[10] https://www.nowsecure.com/blog/2025/02/06/nowsecure-uncovers-multiple-security-and-privacy-fipseek-ios-mobile-app/