기업 정보, 모바일 앱에서 ‘술술’ 빠지네~
상태바
기업 정보, 모바일 앱에서 ‘술술’ 빠지네~
  • 김혜진 기자
  • 승인 2016.09.06 09:17
  • 댓글 0
이 기사를 공유합니다

모바일 노린 사이버범죄 ‘급증’…2015년 신규 취약점 528개 발견 ‘지속 상승’

‘앱 비즈니스’로 인한 보안 위협↑…기업 인식 변화 ‘시급’

최근 모바일 앱을 노린 사이버범죄가 급증하며 앱 보안 강화에 대한 필요성이 제기되고 있다. 특히 안드로이드 앱의 경우 iOS 대비 보안에 많이 취약해 더욱 강조된다. 모바일 앱의 위험성과 함께 앱 보안 솔루션에 대해 알아봤다.

모바일 기기의 활용 저변이 점차 넓어지고 있다. 이젠 BYOD(Bring Your One Device) 시대다. 단순 개인을 위한 기기에서 벗어나 업무용으로까지 활용되고 있다. 문제는 이렇듯 다양하게 활용될 수 있다 보니, 기업을 노린 사이버범죄에 빌미를 줄 수 있는 좋은 환경을 제공한다는 것이다.

최근 PC를 통해 주로 발생했던 사이버범죄들이 모바일로 빠르게 옮겨오고 있다.

그 예로 시만텍이 최근 인터넷 보안 위협 보고서를 통해 밝힌 바에 따르면 2015년 신규 모바일 취약점 528개가 발견됐다. 이는 2014년보다 214% 증가한 수치다.

▲ (자료: 시만텍)

특히 안드로이드 OS에서의 악성코드의 수가 빠르게 증가했다. 2014년엔 9839개가 발견됐는데 2015년에 무려 40% 증가한 1만3783개의 악성코드가 발견된 것. 비교적 안전할 것이라 여겼던 iOS의 악성코드도 2014년 4개에서 2015년 9개로 증가했다.

이는 단순히 개인 사용자에게 해당되는 문제로만 이어지지 않는다. 모바일기기를 통한 업무의 진행으로 기업의 자산을 위협하는 환경이 마련됐기 때문이다.

특히 앱을 통해 비즈니스하는 기업들의 경우, 이러한 위험성은 더욱 크다. 오늘날 공격자들의 모바일 위협이 ‘앱’을 중심으로 이뤄지고 있는 탓이다. 이에 앱 보안 강화에 대한 필요성이 크게 제기되고 있다.

현재 모바일 보안 시장은 엔터프라이즈 모빌리티의 확산으로 인해 수요가 빠르게 증가하고 있다.

▲ (자료: IDC)

글로벌 조사기관인 IDC에 따르면 전세계 모바일 엔터프라이즈 보안 SW 시장은 2015년 17.6억달러에서 연평균 12.7%의 성장률과 함께 2020년 32.1억달러로 커질 전망이다. 국내 모바일 엔터프라이즈 보안 SW 시장은 향후 5년간 연평균 12.2% 성장률과 함께 2020년 250억원 규모를 형성할 것으로 예측했다.

모바일 앱 보안 시장도 이를 따라 증가하는 추세다. 해외에서 먼저 시작된 만큼 국내 시장보다 해외 시장이 더욱 크고 빠르게 진전되고 있다. 해외는 물론, 국내도 아직 정확한 수치를 얻을 수 있을 정도의 시장 형성은 이루지 못했지만 미래 시장에 대한 업계의 평가는 긍정적이다.

업계 관계자는 “앱을 통한 비즈니스가 이뤄지기 시작하면서 앱 보안에 대한 중요성이 커지고, 국내 인식도 변화하고 있다”며 “모바일 앱 보안에 대한 정확한 시장 산정은 어렵지만 앱보안에 대한 중요성이 점차 커져가는 만큼 미래에 대한 기대가 크다”고 전했다.

‘악성 앱’ 통한 공격↑↑…기업 정보 빼내기 “쉬워졌다”

최근 PC상에서 이슈되는 기업 표적형 공격기법이 모바일에서도 이어지고 있다. 지난날과 달리 모바일의 사용 범위가 기업의 업무에까지 확장되면서 기업 자산을 노린 해킹 루트로 이용하기 용이해졌기 때문이다.

해커 입장에서는 개인보다 기업의 자산을 공격했을 때 보다 큰 수익성을 갖는다. 기업이 대량의 컴퓨터를 보유하고 있으며 무엇보다 데이터의 보호를 가장 중시해 금전 요구 시 몸값을 크게 요구할 수 있는 탓이다.

▲ 해킹된 안드로이드 유틸앱이 사이트를 통해 공유되고 있다. (자료: 크즈닷컴 게시판)

가장 위험한 것은 모바일 앱을 주 비즈니스로 이용하는 기업이다. 특히 금전과 밀접한 관계를 지닌 금융을 비롯한 게임, 소셜 기업들은 모바일 앱의 위험성이 크다. 비즈니스의 주 용도로 사용하는 만큼 해킹 시에 대한 피해가 크게 발생하기 때문이다.

요즘 앱 마켓에서는 금융과 함께 게임 분야의 해킹이 많이 발생하고 있는 것으로 알려졌다. 금융과 게임 분야의 경우 투자 대비 얻을 수 있는 보상 심리, 변조 앱 배포에 다른 호승 심리 등에서 타 분야보다 만족도가 높다는 것이 업계 관계자의 설명이다.

물론 다른 분야에서의 공격이 발생하지 않는다는 것은 아니다. 또 이들 외 다른 앱들의 보안이 중요치 않다는 것도 아니다. 앱을 통해 비즈니스하지 않는 기업이더라도 공격은 충분히 가능하기 때문.

▲ 해킹된 안드로이드 게임 앱이 사이트를 통해 공유되고 있다. (자료: 크즈닷컴 게시판)

실제 안랩은 이를 가능케 할 ‘루팅 악성 앱’을 2016년 상반기 보안위협 동향에서 주요 보안 위협 중 하나로 꼽았다. 올해 상반기 안랩에서 스마트폰 루팅 악성 앱을 조사한 결과, 샘플 수 기준으로 4만6000개를 수집했는데, 이는 지난해 하반기 대비 약 4배 증가한 수치라는 설명이다.

루팅 악성 앱은 정보탈취 및 광고 노출 수익을 목표로 한다. 사용자가 악성 앱을 다운받으면, 이 앱은 사용자 몰래 루팅 시도를 함으로써 루트 권한을 획득하고 이후 원치 않는 앱을 설치하거나 정보 탈취, 광고 노출 등 악성 행위를 수행하는데 안티바이러스 백신의 악성 앱 탐지나 삭제도 방해해 위험성이 높다.

최근 발생한 가장 대표적인 사례가 바로 ‘포켓몬 GO’다. 출시 1주일만에 소스코드 분석을 통해 악성코드 ‘드로이드잭(Droidjack)’이 삽입된 바 있다. 드로이드잭은 안드로이드 기반의 소마트폰을 노리는 리모트 액세스 트로잔(Remote Access Trojan)류의 악성코드로 스마트폰의 데이터 트래픽 모니터링, 통화 감청, 카메라의 정보 및 중요 데이터 탈취 등을 가능케 한다.

이러한 루팅 악성 앱의 가장 큰 문제는 최근 모바일 기기를 통해 업무를 하는 이들이 증가하는 가운데 해커가 이를 통해 스마트폰의 권한을 장악하고 기업 e-메일을 확인하는 등 업무를 진행하는 순간을 노려 기업의 자산을 확보할 수 있는 루트를 마련한다는 것이다.

모바일 앱 해킹, “어렵지 않아”…‘분석 툴’로 소스코드 쉽게 접근

이러한 악성 앱 활용 공격은 어려운 일이 아니다. 모바일 앱을 해킹하는 디컴파일 도구(툴)와 디어셈블 툴, 분석도구 덕분이다. 모바일 앱을 공격하는 방식의 대표적인 방법이 바로 소스코드를 분석하는 것인데, 이러한 툴 및 분석도구가 이전과 다르게 많이 등장하면서 고난도의 방법을 필요로 하지 않게 됐다.

▲ 앱 분석 프로그램으로 자바 디컴파일러인 ‘제드2’와 디스어셈블러인 ‘아이다’.

업계 관계자들은 특히 앱을 통한 비즈니스를 진행중인 기업에서 이를 경계해야 한다고 밝혔다. 소스코드는 앱의 제작 구조와 구동방식 등 핵심정보를 담고 있는데, 시중에 있는 분석툴을 이용하면 앱의 소스코드를 쉽게 추출할 수 있으며, 분석을 통해 가공할 수 있어 위협적이라는 설명이다.

▲ dex2jar 프로그램으로 앱의 소스코드가 해킹당하는 장면. (자료: 악산 홈페이지 내 게재 영상)

분석툴을 이용하면 소스코드 전체를 복사해 복제 앱을 만들거나 앱에 악성코드를 심어 재배포하는 등 루팅 악성 앱을 쉽게 생성할 수 있다.

특히 실제 국내 여러 모바일 게임 개발사에서 이러한 방식을 통해 중국으로 유출되는 경우가 많으며, 게임 내 결제 정보를 조작하는 악성코드로 인해 일부 인디·영세 기업에서는 매출 급감으로 경영을 포기하는 경우도 있었던 것으로 알려졌다. 이에 가장 대중적으로 사용된 앱 해킹 프로그램이 바로 ‘럭키패쳐(LuckyPatcher)’다.

▲ 모바일 게임 해킹에 있어 대중적으로 가장 많이 사용되는 프로그램 '럭키패처'

락인컴퍼니 관계자는 “분석툴만 있다면 초등학생도 앱을 쉽게 공격할 수 있다”며 “게임 앱을 공격해 이용자의 능력치를 올리거나 우회 결제 등 게임 내 균형을 파괴할 수 있도록 하는 해킹/치팅툴의 경우, 초등학생이 쉽게 사용할 수 있을 정도로 조작이 간단해 온라인 커뮤니티를 통해 확산되고 있다”고 설명했다.

기업 인식 ‘문제’…위험성, 왜 너만 몰라?

그러나 문제는 툴 및 분석도구의 등장으로 쉽게 해킹할 수 있는 환경적 요건이 마련됐다는 것이 아니다. 바로 공격지점에 아무런 방비를 하지 않고 있다는데 있다.

IBM에서 지난 2015년 4월 발표한 모바일보안보고서에 따르면 포춘 선정 500대 대기업에서 출시한 모바일 앱은 큰 취약성을 갖고 있다.

조사 대상 중 33%의 기업들은 그들의 앱을 한 번도 테스트하지 않으며 50%의 기업은 앱 보안 예산을 책정하지 않은 것으로 나타났다. 또 앱 개발 투자 금액이 340만달러에 이르지만 이중 보안에 할당한 금액은 5.5%에 불과한 것으로 조사됐다. 해킹의 표적이 될 수 있는 여지를 기업에서 주고 있는 것이다.

실제 국내에서 앱 다운로드 경로로 가장 많이 사용하는 구글플레이스토어에 등록된 앱의 약 80%는 해킹 위협에 처해있는 것으로 알려졌다. 특히 인기 상위 200개 무료 앱의 대부분이 디컴파일을 통해 위·변조 가능한 것으로 밝혀진 바 있다.

이에 현재 보안 업계에서는 기업에 앱의 보안성을 강화해야한다고 피력하는 중이다. 모바일 산업의 중심이 네트워크와 단말기 부문에서 OS와 플랫폼 및 콘텐츠 부문으로 옮겨감에 따라 앱의 중요성이 커지면서 이에 대한 해킹 위협도 증가해 최소한의 안전장치가 필요로 해졌기 때문이다.

한 업계 관계자는 “향후 위협은 더욱 커져갈 전망이지만 여전히 앱을 보안하고자 하는 기업의 노력은 크게 이뤄지고 있지 않다”며 “그나마 다행인 것은 이전과 달리 몇몇의 기업에서 앱 보안에 대한 인식의 변화와 함께 이를 강화하고자 하는 움직임을 보이고 있다는 것인데, 그래도 아직 앱 보안에 대한 인식은 많이 부족한 상황”이라고 전했다.

현재 앱 보안에 있어 가장 적극적인 움직임을 보이는 곳은 금융과 게임 분야다. 해킹이 많이 이뤄지는 만큼 상대적으로 피해를 가장 크게 실감하고 있어 앱 보안 강화에 대한 움직임이 빠르게 나타난 것으로 보인다.

“문 열어 놓지마!”…BYOD 시대, 앱 보안은 ‘필수’

앱 보안은 중요하다. 특히 한창 이슈되고 있는 스마트안경, 스마트워치 등 웨어러블 디바이스부터 스마트카, 홈IoT까지 삶에 적극 반영하는 시기를 앞두고 있는 만큼 결코 앱 보안을 무시할 수 없다. 모든 것이 연결돼 원하는 정보를 쉽게 이용할 수 있다는 건 이를 통해 어떤 정보든 오갈 수 있다는 말로, 해커들이 마음껏 악성코드를 전달할 수 있다는 점을 포함하기 때문이다.

이미 많은 기업에서 앱을 통해 수익을 창출하고 있으며, 많은 직장인들이 개인 스마트기기를 통해 업무를 해나가고 있다.

한 업체에서 2015년도 기업 내 업무 커뮤니케이션 실태를 조사한 결과에 따르면 업무에 스마트기기를 사용하는 직장인이 응답자의 64.4%(1051명)에 달했으며, 스마트폰 등 모바일기기를 업무에 사용하는 빈도의 증가에 대해 전체 응답자의 71.8%가 ‘그렇다’고 답한 것으로 나타났다.

오는 2020년엔 이러한 사용량이 더욱 증대될 것으로 보인다. 2020년 모바일 사용자의 수가 55억명으로 전세계 인구의 70%를 차지하게 될 것으로 예상되고 있기 때문. 시스코의 ‘VNI 글로벌 모바일 데이터 트래픽 전망 보고서 2015-2020’에 따르면 향후 5년간 전세계의 ▲모바일 기기 수용 ▲모바일 커버리지 ▲모바일 콘텐츠 수요로 인해 생성되는 성장세는 세계 인구 증가보다 2배 빠르게 나타나고, 모바일 데이터 트래픽은 ▲모바일기기 ▲스마트기기 ▲모바일 비디오 ▲4G네트워크 사용 급증에 따라 전세계적으로 8배 증가할 것으로 예측됐다.

모바일기기 사용량의 증가에 맞춰 앱의 효용성 또한 증대되고 이에 따라 해커들의 공격이 자연스레 증가할 것이라는 게 업계 견해다.

현재 기업의 자산을 노린 해커의 공격이 곳곳에서 많이 발생하고 있다. 문제는 해커의 공격이 더욱 복잡해지고 정교해지는 반면 공격할 수 있는 지점과 함께 이를 도울 도구는 더욱 많아지고 있는데 이를 막지 못하고 있다는 것. 기업의 자산을 보호하기 위한 조치가 시급하다.

기업, 모바일 앱 보안 위한 5가지 방안

모바일 앱에 대한 공격이 크게 증가하고 있다. 이에 금전적 피해를 입는 기업도 늘어나는 추세다. 특히 앱 개발사의 피해가 상당하다. 이에 앱 개발사들을 위한 보안 위협 대처 방안을 소개한다.

먼저, 기업은 앱을 개발한 후 역분석 및 앱 위/변조에 대한 취약점을 진단하는 테스트를 수행해야 한다.

둘째, 치팅/해킹 툴의 사용을 방지하기 위해 앱의 각종 데이터 변환 발생 시점에서 서버가 데이터 변환에 대한 정보를 판단하고 검증토록 개발해야 한다. 치팅을 위한 메모리 스캐닝을 하지 못하도록 암호화 기술을 적용하는 것도 툴의 사용을 방어할 수 있는 하나의 방법이다.

셋째, 앱에 결제 서비스를 적용하는 경우, 서버 검증 작업을 해야 한다.

넷째, 앱 실행 시 보안 위협을 감지하고 비정상적인 조작을 방지할 수 있도록 해야 한다.

다섯째, 앱의 핵심자산인 소스코드 유출을 통한 해킹 방지를 위해 코드 난독화/암호화를 통해 보호해야 한다. 난독화는 소스코드의 가독을 난해하게 만들어 이를 쉽게 분석하지 못하게 하고 암호화는 소스코드를 암호화함으로써 이를 읽을 수 없도록 함으로써 앱을 보호한다.

이 다섯 가지만 지켜진다면 앱 개발사는 모바일 앱의 위협으로부터 자산을 보호할 수 있을 것이다.

물론 이를 일일이 앱 개발사에서 대응하는 것이란 쉽지 않은 일이다. 기술과 경험, 전문인원, 예산, 개발 시간 및 출시 기간 등 현실적인 어려움이 존재한다. 이를 앱 보안기업의 도움을 받아 해결하는 방법도 있다.

락인컴퍼니는 ‘리앱(LIAPP)’이라는 모바일 앱 보호 솔루션을 제공하고 있다. 리앱은 소스코드 전체를 암호화해 모바일 앱 해킹 행위를 차단하도록 돕는다. 클라우드 기반으로 손쉽게 보안 기능 적용이 가능하다. 메모리 변조, 디버깅 등 해킹과 리패키징 차단 기능을 제공하며, 게임 엔진보호 가상머신 탐지 등의 기능도 갖췄다. 현재 국내 여러 게임 개발사에서 보안을 위해 리앱을 채택하고 있다.

스틸리언은 ‘앱수트(AppSuit)’를 통해 모바일 앱 보호를 지원한다. 모의해킹 프로젝트나 기존 보안 솔루션 및 앱 자체에서 발견한 취약점을 보완하는데, 앱 위·변조와 역분석, 메모리 해킹을 막아준다. 또 난독화·암호화를 통해 소스코드를 보호해주고 루팅과 디버깅, 앱 해킹을 위한 악성 해킹 툴을 탐지해준다. 국내 대기업 및 대형 금융사의 핀테크 서비스에 적용되고 있다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.