모바일 서비스 보안 취약점과 이슈

안녕하세요, 보안클라우드입니다.

엄청나게 빠른 모바일 산업의 규모와 이용자 수의 급증에 따라, 개인업무부터 공공업무까지 점점 IT 서비스 플랫폼 또한 PC 중심에서 모바일 환경 중심으로 빠르게 변화하고 있습니다. 반대로 늘어난 수요와 공급에 따라 일반적인 웹 서비스 뿐만 아니라 모바일 서비스 환경에 관한 보안문제와 사건사고들이 점점 두각되고 있는데요, 이러한 이유로 특별히 이번 포스팅에서는 '모바일 취약점과 보안이슈'에 관한 이야기를 나눠볼까 합니다.
 

갤럭시S와 아이폰은 대표적인 스마트폰 브랜드로 Mobile 플랫폼 산업을 선도하고 있다.

2000년대 초반 스마트폰의 시초인 PDA(Personal Digital Assistant)가 등장하고 약 20년이 지난 지금, 일반적인 음성 통신은 물론이고 사진, 동영상과 같은 모바일 컨텐츠 처리 기능의 발전으로 모바일 서비스 플랫폼의 기능과 품질은 과거의 그것과는 비교가 되지 않을 정도로 발전했습니다. 더욱이 모바일 보급율이 세계 정상 수준인 우리나라에서 스마트폰은 남녀노소 나이와 장소를 불문하고 한국인이라면 가지고 있어야 할 필수 아이템이 되었습니다.
 

시장통계 전문기관인 제니스(Zenith)에 따르면 2018년도 기준 우리나라는 84.2%의 보급률을 유지하고 있으며, 전 세계적으로도 3명 중 2명은 스마트폰을 가지고 있다는 통계 결과가 있다(사진 : Zenith).

이러한 모바일 서비스 플랫폼의 가장 큰 장점은 무엇보다도 '편리함'일 것 입니다. 인터넷 쇼핑과 웹 서핑, 인터넷 금융결재 등 과거 PC에서만 가능하던 복잡한 서비스들이 모바일 기기만의 유용한 기능들(예를 들면 스마트폰의 지문인식, 카메라, GPS 등)을 통해 더욱 편리하고 효율적인 서비스 제공을 가능케 했고, 이제는 언제 어디서든 스마트폰과 앱만 있으면 금융, 쇼핑 등의 번거로운 서비스도 쉽게 이용할 수 있게 되었습니다. 허나 이러한 모바일 기기의 쉬운 접근성은 모바일 기기 내 개인정보나 민감정보에 대한 보안 문제를 야기하였고, 실제로 2010년도에 들어와 안드로이드 및 iOS 자체의 취약점 뿐만아니라 악성코드를 이용한 다양한 해킹 사고들이 현재까지 터져나오고 있습니다.
 

미국 CBS는 방송을 통해 스마트폰 해킹의 여러 사례들을 실험하였고, 그 결과 다양한 방법들로 기기 내 여러 정보들이 유출 및 조작 가능했다.

위 사례는 미국 CBS의 유명 시사프로그램 '60분(60 MINUTES)'에서 실제 스마트폰 도청 해킹을 시연하는 실험을 하였는데, 당시 해킹된 스마트폰의 전화내역을 엿듣는 것 뿐만아니라 카메라를 공격자 임의로 동작시키거나 GPS를 이용하여 개인위치를 알아내고, 나아가 금융거래에 관한 신용카드 정보와 계정내역까지 모두 해킹이 성공하였습니다.
 

특정 작업 이후 뿐만아니라 틈틈이 어플리케이션 관리자를 통해 자신의 기기에 어떤 앱들이 설치되어 있는지 확인하는 습관을 들이자(왼쪽 : Android, 오른쪽 : iOS).

또 한가지 사례로 2015년도에는 안드로이드 기본 앱인 '소프트웨어 업데이트'을 가장한 악성코드 앱이 배포되어 많은 안드로이드 사용자들의 개인정보가 해킹되는 사례가 있었습니다. 당시 악성코드 앱의 이름 자체가 'Software Update'라는 프로세스명으로 동작하여 실행중인 어플리케이션을 조회하여도 쉽게 파악할 수 없었던 사례였습니다(눈 뜨고 코 베이는 격...). 한 때 스마트폰을 사용자 마음대로 꾸미고 유료앱을 무료로 사용할 수 있도록 하는 루팅(혹은 탈옥) 또한 보안적으로 모바일 환경을 더욱 취약하게 하는 큰 계기가 되었습니다.
 

2018년도 대표적인 모바일 해킹 앱 (출처 : www.mobipicker.com)

또한 복잡하고 어려운 통신 기술이 사용되었던 과거와는 달리 최근 모바일 해킹을 위한 프로그램들이 다수 개발되어 배포되었는데, 이 때문에 반드시 해킹 전문가가 아니더라도 조금의 IT지식을 이용하면 모바일 기기를 해킹하거나 쉽게 스니핑 할 수 있는 시대가 되었습니다. 결국 이러한 모바일 기기의 높은 보급률과 해킹 기술의 편의성 때문에 더욱이 모바일 서비스에 대한 보안 위협의 인식과 대처의 중요성이 점점 강조되고 있습니다.

그렇다면, 이러한 모바일 해킹에 대한 방어방법은 무엇이 있을까요?

1. 규칙적인 OS 업데이트
Android 혹은 iOS 처럼 모바일 OS 개발사들은 각자 자신들이 개발한 플랫폼의 취약점과 개선해야 될 점에 대한 수많은 레포트와 데이터베이스를 기반으로 주기적인 업데이트를 실시합니다. 그러한 과정에 취약점에 대한 보안처리도 당연히 포함되어 진행되지만, 사용자들의 업데이트에 대한 귀차니즘(?)때문에 보안 취약점에 대한 적절한 조치 적용이 늦어지거나 아예 적용되지 않는 경우가 많습니다. 각 개발사의 통계에 따르면 발표되는 취약점의 대다수가 업데이트를 통해서 해결되고 있다고 하니, 조금만 시간을 투자하여 꾸준히 발표되는 업데이트를 게을리하지 않는 것만으로도 해킹 사고 가능성을 확연히 낮출 수 있는 방안이 될 것입니다.

2. 모바일 전용 보안앱 사용
일반 PC와 마찬가지로 모바일 기기 내 악성코드로 의심되는 앱이나 프로세스를 탐지하기 위해 보안 앱을 설치하여 주기적으로 검사해주는 것도 좋은 방법입니다. 또한 앱을 통한 실시간 탐지 기능을 활성화 해둘 경우, 문자나 URL을 통해 유입되는 데이터에 대한 감지도 가능하기 때문에 스미싱(Smishing)공격과 같은 해킹 공격을 사전에 방어할 수 있습니다.
 

대표적인 모바일 보안 앱

3. 불분명한 사이트 접근 금지
모바일 해킹 성공의 출발은 대부분 악성코드의 설치에서 시작됩니다. 쟁점은 생성한 악성코드를 어떻게 사용자 몰래 설치하느냐(배포의 문제)인데, 이러한 문제 해결을 위해 자동으로 설치할 수 있는 사이트나 URL 접근을 유도하여 자신도 모르는 사이 악성코드를 설치하게끔 사용자를 속이는 방법이 가장 많이 사용되고 있습니다. 때문에 문자나 메일, 웹 사이트 등 을 통해 전달되는 불분명한 URL은 함부로 클릭하여 접근해서는 안되며, 혹여나 실수로 접근했을 경우 어플리케이션 관리자를 통해 자신도 모르는 어플리케이션이 설치되어 현재 동작하고 있는 것은 아닌지 반드시 확인하여야 합니다.

이 외에도 모바일 OS마다 제공하고 있는 환경설정에서 보안에 관한 설정을 미리 해두는 등의 다양한 방법이 있으니, 사용자마다 자신이 사용하고 있는 모바일 기기의 OS에서 어떠한 보안기능을 설정할 수 있는지 미리 파악해두는 것도 좋은 방안이 될 것 같습니다.

또한 모바일 서비스 보안 위협에 대처하기 위해, 현재 국내에서는 2011년 9월 '모바일 전자정부서비스 관리지침'을 제정하였고, 구체적인 보안 항목에 대한 제시와 기술 가이드를 한국인터넷진흥원(KISA)을 통해 배포 및 교육하고 있으니 관심있으신 분들은 참고하시기 바랍니다.
 

 

'모바일 전자정부 서비스 관리 지침(2017.8.8 개정)' 부칙의 구체적인 보안취약점 점검 기준

 

지금까지 '모바일 취약점과 보안이슈'라는 주제로 포스팅을 작성해보았습니다. 간단한 사항들만 토픽으로 정리하였는데도 작성글 분량이 꽤나 길어졌네요;;;ㅎㅎ 다음 포스팅에선 더욱 보람찬 주제로 다시 만나뵙겠습니다~!

 


 

  • 이전 OWASP Top 10 2017, 어떤사항을 준비해야 할까?
  • 다음 지능형 지속 공격(APT)를 통한 랜섬웨어 공격 증가