블랙햇 컨퍼런스에서 모바일 앱 분석 결과 발표

[보안뉴스 호애진] 사용자 모르게 다운로드 돼 실행되는 악성 프로그램인 드라이브 바이 다운로드(Drive-by download)로 인한 보안위협이 PC에서만이 아니라 모바일에서도 나타날 것으로 전망되고 있다.

최근 블랙햇 컨퍼런스에서 발표된 연구에 따르면 안드로이드 마켓으로부터 1만개의 애플리케이션을 다운로드해 분석한 결과 다수의 애플리케이션에서 개인정보 유출이 가능했고 모바일이 PC만큼이나 드라이브 바이 다운로드 보안 위협에 노출된 것으로 나타났다.

다운로드한 1만개의 앱 중 842개의 앱에서 개인 정보 유출이 가능했다. 이들 앱에서는 국제휴대장치식별번호(International Mobile Equipment Identity, IMEI)와 국제휴대기기가입자식별번호(International Mobile Subscriber Identity, IMSI)를 원격 서버에 전송해 개인정보를 탈취할 수 있었다. 이는 앱 개발자가 IMEI를 이용자 ID로 사용할 때 가장 빈번히 발생하는 것이다.

IMEI 번호를 해싱한다고 해서 이용자의 개인정보를 보호할 수 없었다. 일부 모바일 앱 개발자가 개인의 IMEI 데이터를 암호화 해싱을 이용해 보호하려고 하지만 이 해싱 기술은 우회하기가 그다지 어렵지 않기 때문이다.

또한 드라이브 바이 다운로드 공격이 모바일을 타깃으로 하는 새로운 보안 위협으로 등장하고 있다. 스마트폰에는 모바일 뱅킹이나 모바일 상거래 등에 이용되는 중요한 정보가 저장돼 있고 이의 사용 빈도는 늘고 있다. 모바일 웹 브라우저는 자바스크립트 인터프리터와 써드파티 플러그인으로 데스크톱 브라우저만큼이나 견고하지만, 달리 말하면 공격 표적이 그만큼 커졌다는 의미이기도 하다.

이를 발표한 보안회사 데상트(Dasient)의 CTO인 닐 다스와니(Neil Daswani)는 “PC에서 드라이브 바이 다운로드는 매우 흔한 공격 수법으로 모바일에서의 드라이브 바이 공격은 공격자에게 새롭고도 매력적인 수법으로 보일 것”이라며 “모바일을 타깃으로 한 드라이브 바이 공격을 가상으로 구현해본 결과 실행하는 게 그다지 어렵지 않았다”고 밝혔다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>