모바일 기기를 노린 보안 위협과 대응 방안
모바일 기기를 노린 보안 위협과 대응 방안
  • 김미희 이글루시큐리티 팀장
  • 승인 2019.04.17 09:08
  • 댓글 0
이 기사를 공유합니다

[칼럼] 김미희 이글루시큐리티 보안분석팀장

‘핸드폰 알람 소리에 눈을 뜨고, 출근길에는 뉴스 기사를 읽고, 잠들기 전에는 SNS를 한다’. 아침부터 밤까지 우리가 하는 행동 대부분이 모바일 기기를 중심으로 이뤄지고 있다고 해도 과언이 아닐 것이다. 특히, 1981년부터 2000년 사이 태어난 밀레니얼 세대를 중심으로 모바일 기기에 대한 의존도는 점점 높아지는 추세다. SK텔레콤이 연세대학교 바른ICT연구소 자료를 재구성한 자료에 따르면, 한국의 20대는 주당 평균 4시간 이상 모바일 기기를 사용하고 있었다. PC 사용 시간을 훌쩍 넘는 수치다.

김미희 이글루시큐리티 보안분석팀장
김미희 이글루시큐리티 보안분석팀장

 

하지만, 가장 밝은 빛이 가장 어두운 그림자를 만들어내듯이, 우리 삶의 중심이 된 모바일 기기를 노린 보안 위협 문제도 빠르게 확산되고 있다. 공격자들은 모바일 기기를 통해 접근 및 사용할 수 있는 데이터의 범위가 크게 확장되었다는 사실을 인지하고 이에 최적화된 새로운 유형의 공격을 감행하고 있다. 모바일 기기를 공격의 교두보로 삼아 기업 데이터에 접근하거나 사용자가 악성 앱을 다운로드하게 유인하는 등 모바일을 둘러싼 다양한 보안 문제들이 발생하고 있다.

실제로, 사이버 암시장에서 판매되는 모바일 취약점의 구매 단가가 높아졌다는 사실에 주목할 필요가 있다. 모든 보안 위협의 가치를 수치로 표현하기는 어려우나 취약점의 구매 단가를 통해 공격자의 변화를 유추할 수 있는데, 모바일 취약점의 최고 매입가는 데스크톱·서버에 비해 2배 높은 200만 달러 (한화 약 22억 원)를 형성한 것으로 나타났다. 다시 말해, 공격자는 모바일 기기를 노린 공격을 통해 더 많은 이익을 얻을 수 있을 것이라고 생각하고 모바일 취약점에 더 높은 가치를 부여하고 있다.

모바일 기기를 노리는 공격자들은 어떤 형태의 공격을 감행하고 있을까? 크게 네 가지 공격 유형으로 구분할 수 있는데, ▶데스크톱·서버 환경에서도 발생할 수 있는 유형과 ▶모바일 환경에서만 나타나는 형태로 이를 다시 세분화할 수 있다. 전자에는 ▶사회공학적 기법을 동원한 악성코드 유포 시도, 중간자 공격을 통한 정보 변조 및 유출 등이, 후자에는 ▶루팅·탈옥된 상태의 모바일 기기의 최상위 권한을 획득하거나, 분실하거나 도난 된 모바일 기기에서 정보를 유출하는 공격이 포함될 수 있다.

특히, 사용자가 유료 앱을 무료로 다운로드하거나 기존 운영체제에서는 수행할 수 없는 작업을 하기 위해 모바일 기기의 기본 운영 체제를 임의로 변경(루팅 또는 탈옥) 했을 때는 사용자 정보가 유출될 가능성이 높아진다. 루팅/탈옥된 모바일 기기에서는 인가되지 않은 방법으로도 사용자에게 허용된 권한 이상의 행위를 수행할 수 있기 때문이다. 이러한 운영체제 임의변경 환경에서는 공격자가 아무런 제한 없이 정보 탈취 및 백도어 악성코드를 설치하고 메모리 상의 기록을 복제(메모리 덤프) 함으로써, 사용자의 정보를 손쉽게 탈취할 수 있게 된다.  

위·변조된 악성 모바일 애플리케이션 설치를 유도해 정보를 탈취하는 공격 역시 빠르게 증가하고 있다. 공격자는 대부분의 모바일 운영체제에서 최초 앱 설치 시 필요 정보에 대한 접근 권한 허용을 사용자가 동의하도록 설정되어 있다는 점을 악용해, 전화번호, 위치, 문자메시지, 채팅 메시지 등 필요 이상의 과도한 정보 접근 권한을 요청하는 악성 애플리케이션을 유포하고 있다. 최근 발견된 악성 앱의 경우 취약점을 이용한 것이 아니라 모바일 단말 관리(MDM)솔루션으로 위장해 사용자가 직접 설치에 동의하게 유도했다는 점에서 권한 승인이 중요한 공격 요인으로 작용한다는 것을 확인할 수 있다.

모바일 사용자를 위한 5가지 보안수칙
모바일 사용자를 위한 5가지 보안수칙

이와 같이 모바일을 노리는 보안 위협에 맞서기 위해서는 어떠한 노력이 요구될까? 먼저 정부 차원에서 기기/솔루션 제조사와 사용자를 위한 컴플라이언스 정책을 수립하고 가이드라인을 마련할 필요가 있다. 현재 정부 기관에서는 높은 수준의 보안이 요구되는 공공기관 업무용 스마트폰 보안 규격을 제정하거나, 기기 분실·도난 시 원주인이 원격에서 기기를 잠글 수 있게 하는 ‘스마트폰 킬 스위치’ 기능을 기기에 내장하도록 하는 등 모바일 보안성을 강화하기 위한 여러 방안을 제시하고 있다.

모바일 보안 솔루션을 사용하는 것 역시 보안성을 높이는 데 큰 도움이 될 수 있다. 일반적으로, 업무에 활용되는 모바일 기기를 보호, 관리, 감시할 수 있는 MDM(모바일 단말 관리) 솔루션이 널리 활용되고 있다. 기업·기관은 등록된 사용자만이 인증을 거쳐 기기를 사용하게 하고, 믿을 수 없는 네트워크 접속을 차단하며, 앱의 무결성을 검증하는 등의 여러 기능을 활용함으로써, 모바일 기기의 정보 유출 가능성과 악성코드 감염 위험성을 현저히 낮출 수 있다.

또한, 프로그래밍 과정에서 작성된 소스코드를 읽기 어렵게 만드는 소스코드 난독화를 통해, 모바일 애플리케이션 자체의 보안성을 강화할 수도 있다. 난독화되지 않은 모바일 앱의 경우, 앱을 구성하는 소스코드를 역으로 분석하는 리버스 엔지니어링 기법을 통해 앱의 작동 구조가 밝혀져 공격의 교두보로 이용될 가능성이 남아있다. 애플리케이션이 다루는 정보의 민감도와 중요도에 따라 정적/동적 난독화 방식을 적절하게 선택하여 적용함으로써, 앱 자체의 보안성도 높일 필요가 있다.

마지막으로, 모바일 기기를 사용하는 사용자의 노력이 무엇보다 요구된다. 엄격한 보안 컴플라이언스를 준수하고 모바일에 최적화된 보안 솔루션과 기법을 적용했다고 할지라도, 사용자의 보안 인식이 개선되지 않는다면 이러한 방어막이 무용지물이 될 수 있기 때문이다. 모바일 사용자가 반드시 준수해야 할 5가지 보안 수칙을 아래와 같이 소개한다. 이와 같은 모바일 보안 수칙 준수를 습관화함으로써, 모바일을 노린 사이버 공격에 대해 보다 유연히 대응하였으면 한다.

네이버 뉴스 스탠드에서 디지털투데이를 만나보세요. 디지털투데이 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사