피해 속출하고 있는 모바일 보안 위협, 어떻게 대응해야 하나

OWASP가 발표한 ‘2023년 모바일 보안 위협’ TOP 10의 주요 내용은?
안드로이드, 태생적 불안정성 극복 필요...구글 OS 보안패치는 놓치지 말고 적용해야
iOS, 탈옥 및 그레이키 활용한 사용자 인증 해제 주의...취약점 업데이트 중요

[보안뉴스 김영명 기자] 모바일 보안 위협은 (보이스)피싱, 스미싱 등 다양한 형태와 수법으로 이어지고 있으며, 피해가 속출하고 있다. 얼마 전만 하더라도 부산의 한 자영업자가 택배 주소 정정을 요구하는 스미싱 사기로 4억여원에 달하는 큰 피해를 본 게 이슈가 되기도 했다.
 

[이미지=gettyimagesbank]

미국의 비영리단체인 OWASP(The Open Web Application Security Project, 오픈소스 웹 애플리케이션 보안 프로젝트)는 웹 애플리케이션 보안과 취약성을 평가하는 단체로, 비정기적으로 모바일 보안 위협, API 보안 위협, 애플리케이션 보안 위협 등을 조사해 발표한다. OWASP가 최근 발표한 ‘2023년 모바일 보안 위협’ TOP 10의 주요 내용은 ①안전하지 않은 인증·권한 부여 ②안전하지 않은 통신 ③부적절한 공급망 보안 ④부적절한 개인정보보호 제어 ⑤부적절한 자격증명 사용 ⑥불충분한 입력·출력 검증 ⑦보안 구성 오류 ⑧불충분한 암호화 ⑨안전하지 않은 데이터 저장 ⑩불충분한 바이너리 보호 등이다.

전 세계의 모바일 운영체제(OS)는 크게 구글(Google) 안드로이드(Android)와 애플(Apple) iOS 등 두 개 축으로 나눌 수 있다. 미국 스마트폰 매매 사이트인 뱅크마이셀(BankMyCell)은 올해 8월 기준 전 세계의 스마트폰 OS 점유율 리포트에서 안드로이드가 70.89%, iOS가 28.36%를 차지하며, 총 99.25%를 점유하고 있다고 밝혔다.

안드로이드, 쉽게 편집 가능한 자바 앱으로 자격증명 노출 등 위험 커져
먼저, 안드로이드 운영체제의 보안 위협을 살펴보면, 크게 ①리버스 엔지니어링 ②안전하지 않은 플랫폼 사용 ③업데이트 무시 ④루팅된 디바이스 ⑤새로운 공격 벡터를 통한 스파이론 애플리케이션 증가 등으로 구분된다.

먼저 ‘리버스 엔지니어링’을 보면, 안드로이드 앱은 이클립스(Eclipse)와 같은 통합개발환경을 갖춘 자바(Java)로 개발되는데, 자바 앱은 인터넷에서 쉽게 검색 가능한 다양한 도구로 컴파일 이전으로 복구가 가능하다. 안드로이드에서는 바이트코드를 변경하거나 APK 파일 형식으로 재패키징할 수 있다. 이 과정에서 테스트 로그인 자격증명 등 정보와 함께 암호화 유형의 세부정보도 노출될 수 있다. 공격자는 이를 악용해 복호화로 디바이스 해킹이 가능하다.

‘안전하지 않은 플랫폼 사용’에서는 앱 개발자가 보안에 불안전한 안드로이드 인텐트(Intent)나 플랫폼 권한 설정을 통해 모바일 OS와 통신할 때 보안 위협이 따를 수 있다. 안드로이드 OS는 브로드캐스트리시버(BroadcastReceiver)라는 구성요소를 통해 앱과 시스템 전체의 브로드캐스트를 송수신한다. 해커는 브로드캐스트 리시버 인스턴스를 수신하기 위해 안드로이드 디바이스에 스누핑 공격을 할 수 있다.

구글은 안드로이드에서 새로운 취약점에 대응하기 위해 끊임없이 OS 보안 패치를 발표한다. 하지만 앱 개발자들이 구글 업데이트를 지나치면 해당 앱은 보안 위험에 노출될 수 있다.

‘루팅된 디바이스’ 영역에서 안드로이드 OS는 사용자가 서드파티 앱을 이용해 디바이스의 루트 권한을 획득하도록 허용한다. 하지만 안드로이드 사용자 대부분은 자신의 루팅된 디바이스가 해커나 악성 소프트웨어를 통한 위변조에 노출될 수 있음을 깨닫지 못하고 있다. 이에 개발자는 앱이 루팅된 환경에서의 실행을 차단하거나 사용자에 경고 메시지를 띄우는 것이 필요하다.

최근 간편하게 소액 대출을 제공하지만 높은 이자율과 추가 수수료가 부과되는 ‘스파이론(Spyloan) 앱’이 증가하고 있다. 스파이론 앱은 대출 승인 전에 많은 양의 개인정보를 무단 수집하고, 스캔들 메시지 발송 및 사진 조작 등 사용자에게 심각한 피해를 입히고 있다.
 

▲구글 안드로이드 및 애플 iOS 로고[로고=각 사]

iOS, 보안에 강하지만 탈옥, 크랙으로 사용자 인증 해제 등 허점도
iOS에서 사용할 수 있는 애플리케이션은 모두 애플에서 직접 만든 앱스토어를 통해서만 다운로드할 수 있다. iOS 애플리케이션은 애플의 앱 개발 전담팀에서 2주간의 검수 과정을 통해 악성코드, 바이러스, 멀웨어 등의 감염과 피해 등을 철저하게 조사한 후 등록돼 앱 보안 위협은 극히 드물다. 애플의 iOS는 안드로이드 OS와 달리 보안 정책이 엄격하며 폐쇄형이다. iOS 앱은 다른 앱과 통신 또는 디렉토리나 데이터에 직접적으로 접근할 수 없다. iOS는 애플의 랩톱 및 맥 컴퓨터에서 사용되는 OSX와 동일한 ARM 버전의 XNU 커널을 기반으로 한다. iOS 앱의 경우 보안 위협은 △탈옥 △사용자 인증 △데이터 저장소 보안 위험성 등이 있다.

‘탈옥(Jailbreak)’은 사용자가 서명되지 않은 코드를 모바일 디바이스에서 실행하도록 커널의 보안 허점을 이용하는 것이다. 탈옥한 아이폰도 인터넷으로 테더링(tethering)돼 있어 사용자가 전화를 재부팅할 때마다 랩톱에 연결하거나 탈옥된 코드를 입력해 상태를 유지해야 한다. 반면, 완전 탈옥은 별다른 조치가 필요 없다.

‘사용자 인증’에서 iOS는 얼굴인증(Face ID)이나 지문인증(Touch ID) 등으로 보안을 강화한다. 애플은 OS와는 별도로 전용 마이크로 커널에서 실행되는 ‘시큐어 인클레이브(Secure Enclave)’를 적용한 프로세스를 사용하도록 설계됐다. 하지만 해커는 그레이시프트(Grayshift) 사의 iOS 암호 크랙인 그레이키(GrayKey)를 활용하면 인증을 뚫을 수 있다.

대부분의 앱은 SQL 데이터베이스, 쿠키, 바이너리 데이터 저장소 등을 사용해 데이터를 저장하기 때문에 ‘데이터 저장소의 보안 위험성’이 존재한다. 데이터 저장소는 운영체제, 프레임워크 또는 컴파일러의 취약점이 있을 때 해커에 위치가 노출될 수 있다. 해커는 DB에 접근하고, 앱 변조로 자신의 컴퓨터에 사용자 정보가 수집되도록 조작할 수 있다. 탈옥된 디바이스라면 복잡하게 설계된 암호화 알고리즘도 손쉽게 노출될 수 있다.
 

[이미지=gettyimagesbank]

모바일 앱 보안, 이렇게 대응하면 피해를 막을 수 있다
모바일 앱 개발자는 앱을 플랫폼에 공개하기 전 철저한 보안 검사가 필요하다. 앱 개발자는 사용자의 보안 강화를 위해 데이터 암호화 및 방화벽과 보안도구 사용을 포함해 전반적인 데이터 보안 정책과 지침을 수립해야 한다. 또한, 해커는 탈취된 디바이스에서 저장된 비밀번호의 수집을 시도하기 때문에 디바이스 내 비밀번호 저장을 자제해야 한다.

사용자는 앱 사용이 끝나면 해당 사이트에서 로그아웃하고 종료해야 한다. 특히, 금융권 웹사이트를 사용할 때는 비밀번호를 저장하지 않고, 로그아웃 여부를 재차 확인하는게 중요하다. 새로운 앱을 개발했을 때 개발자는 앱을 앱스토어에 등록하기 전에 앱 보안 취약점을 점검해야 한다. 특히, 앱의 보안 취약점 평가는 외부인의 평가를 받는 것이 좋다. 기업은 개발팀이 서드파티 보안업체에 평가를 의뢰하고 보안 기능이 검증된 앱을 배포하도록 장려해야 한다.

사용자가 웹사이트나 앱에 로그인할 때 기본적인 로그인 외에 멀티팩터(Multi Factor) 인증으로 보안을 강화해야 한다. 멀티팩터 인증에는 아이디와 패스워드 이외에 2차로 지문·홍채 등 생체인식, 인증서, 이메일, OTP 등이 사용되며, 로그인 시 별도의 비밀코드를 제공한다.

모의 침투 테스트는 앱 내의 알려진 취약점을 확인하는 방법이다. 공격자는 낮은 수준의 비밀번호 정책, 암호화되지 않은 데이터 등 사용 가능한 취약점과 잠재적인 취약점을 찾는다. 또한, 사내 네트워크에 개인 소유 디바이스를 연결할 때는 사전에 보안 검사를 해야 한다.

스마트폰 사용자에게 더 많은 권한이 주어질수록 앱의 보안 위험성은 커진다. 스마트폰 내에 디폴트 권한을 넘어 특별한 기능의 권한까지 부여되면 보안에 심각한 위협을 줄 수 있다. 키 관리도 암호화의 중요한 요소다. 누군가 키를 훔친다면, 그는 해당 디바이스를 손쉽게 제어할 수 있다. 키는 사용자 디바이스가 아닌 안전한 컨테이너에 보관하는 습관을 들여야 한다. 개발자는 256비트 키를 사용하는 SHA-256 해시 등 최신 암호화 표준과 API를 사용해야 한다.

모바일 앱의 안전성을 유지하기 위해서는 주기적인 앱 보안 테스트가 필요하다. 매일 새로운 위협이 나타나고 해당 위협에 대한 패치가 나오기 전까지는 위험이 따를 수 있기 때문이다. 랜섬웨어, 피싱 등 다양한 보안 위협에서 스마트폰을 안전하게 사용하기 위해서는 지속적인 점검 및 관리가 필수다.