DeepSeek 앱에서 3DES 알고리즘을 사용하면 구식 및 불안한 특성으로 인해 상당한 보안 위험이 있습니다. 3DES 사용과 관련된 자세한 위험은 다음과 같습니다.
1. 3DES의 불안 : 트리플 DES (3DES) 암호화 알고리즘은 널리 알려지지 않은 것으로 간주됩니다. 한때 보안 데이터 암호화의 표준 이었지만 취약점으로 인해 AES와 같은보다 안전한 알고리즘으로 대체되었습니다. 3DES를 사용하면 암호화 된 데이터가 공격자에 의한 암호 해독에 취약하여 사용자 개인 정보 및 데이터 무결성을 손상시킵니다 [2] [4] [9].
2. 하드 코딩 된 암호화 키 : DeepSeek의 3DES 구현에는 앱 코드 내에서 하드 코딩 암호화 키가 포함됩니다. 이 관행은 잠재적 인 공격자가 앱에서 이러한 키를 추출 할 수 있으므로 암호화 된 데이터를 해독하는 데 액세스 할 수 있기 때문에 매우 안전하지 않습니다. 하드 코드 키는 암호화의 보안 이점을 제거하고 쉽게 발견하고 악용 할 수 있으므로 [4] [9] [10].
3. 초기화 벡터 재사용 (IVS) : 3DES와 함께 초기화 벡터 (IV)의 재사용은 암호화를 더 약화시킵니다. IV는 암호화 된 데이터의 패턴에 의존하는 공격을 방지하기 위해 각 암호화 작업에 대해 고유해야합니다. IV를 재사용하면 공격자가 암호화 키를 더 쉽게 추론하거나 암호화 프로세스에서 약점을 악용 할 수 있습니다 [1] [9].
4. 데이터 노출 및 조작 : DeepSeek은 IOS의 APTS (App Transport Security)를 비활성화하기 때문에 민감한 데이터가 암호화되지 않은 채널을 통해 전송되는 것을 방지하지 않으므로 앱은 암호화없이 일부 데이터를 전송합니다. 이것은 데이터를 가로 채고 조작 할 수있는 수동 및 활성 공격에 사용자를 노출시킨다 [1] [7] [10].
5. 개인 정보 및 데이터 주권 문제 : 중국 회사 인 Bytedance가 관리하는 서버로 사용자 데이터를 전송하면 중국 관할 구역에 따른 데이터 거버넌스에 대한 우려가 제기됩니다. 여기에는 영장없는 감시 및 데이터 오용 가능성이 포함되며, 이는 사용자에게 중요한 개인 정보 보호 위험이 있습니다 [5] [6].
요약하면, 하드 코드 키 및 재사용 된 IV와 결합 된 DeepSeek에서 3DES를 사용하면 사용자 데이터의 보안 및 개인 정보가 크게 손상됩니다. 이러한 취약점은 앱을 사이버 위협 및 데이터 유출의 대상으로 만들어보다 강력한 암호화 관행과 더 나은 데이터 거버넌스의 필요성을 강조합니다.
인용 :
[1] https://thehackernews.com/2025/02/deepseek-app-transmits-sensitive-user.html
[2] https://www.indiatoday.in/technology/news/story/deepseek-r1-recent-findings-reveal-multiple-security-flaws-in-sop-267442-2025-02-10
[3] https://hiddenlayer.com/innovation-hub/deepsht-exposing-the-security-of-deepseek-r1/
[4] https://www.linkedin.com/pulse/encryption-crisis-lessons-from-deepseeks-failures-faux-tx7re
[5] https://blog.devolutions.net/2025/02/cybersecurity-newsflash-researchers-find-security-in-deepseek-for-ios/
[6] https://sbscyber.com/blog/deepseek-ai-dangers
[7] https://www.cybersecurityintelligence.com/blog/deepseek-exposes-sensitive-data-8245.html
[8] https://www.infosecurity-magazine.com/news/deepseek-r1-security/
[9] https://proov.io/blog/deepseek-apps-security-failures-pailures-proov-prepted-prevented-the-damage
[10] https://krebsonsecurity.com/2025/02/experts-flag-security-privacy-risks-in-deepseek-ai-app/
