강력한 앱이라도 진짜처럼 보이는 가짜 앱 문제 막을 수 없어

[보안뉴스 문가용] 올해 샌프란시스코에서 열린 시큐어CIO(SecureCIO) 행사에서 미국 내 손꼽히는 업체들의 CISO, CIO, VP, 회장들이 모인 가운데 맥아피(McAfee)의 존 맥아피 회장은 현대 기업 환경에서의 보안 위협 정도가 심각하다는 사실을 강력하게 - 너무 강력해서 병처럼 보일 정도로 - 상기시켰다.

“기업 내 자산을 지키려는 여태까지의 수단들은 이미 무용지물입니다”라고 입을 연 그는 특별히 모바일이 문제라고 주장했다. 그러면서 최근에 있었던 한 상담 내용을 예로 들었다. “최근 한 기업에서 보안 상담을 요청해왔습니다. 평소였으면 자신들이 이겼을 입찰 경쟁에서 자꾸만 진다는 겁니다. 그래서 문제를 파헤쳐봤더니 광고영업팀 직원의 모바일 기기에 중간자 공격이 들어와 있더랍니다. 거기서부터 입찰에 대한 정보가 흘러나간 것이죠.”

그의 설명 그대로, 모바일 기기가 사람들의 손에 쥐어지면서 모든 직원들이 약한 고리가 되어버렸다. 핸드폰과 태블릿에 기업 정보가 저장되기 시작했고, 그걸 노리는 경쟁자들이 늘어가고 있다. 그리고 탈취 성공률도 덩달아 높아지고 있다.

작은 문제가 아니다

문제는 심각하다. 여러 방안이 마련되고 있다지만 근본적인 해결책이 전혀 보이지 않는다. 6백만 명의 모바일 사용자에 설치된 애플리케이션과 데이터를 분석한 리스크아이큐(RiskIQ)의 통계자료를 보면 보다 명확해진다.

계정 탈취가 가능한 애플리케이션 : 245,000개

진동 조정이 가능한 애플리케이션 : 497,000개

카메라 접근이 가능한 애플리케이션 : 212,000개

주소록 접근이 가능한 애플리케이션 : 184,000개

문자 메시지에 접근할 수 있는 애플리케이션 : 66,000개

이 중 진동 조정이 가능하다는 부분에서 고개를 갸웃거리게 된다. 진동을 끄거나 켤 수 있다는 건 보안과 어떤 관련이 있을까? 문자를 가로챌 때, 앱을 다운로드 받을 때, 설정을 바꿀 때 사용자가 전혀 눈치 채지 못하게 할 수 있다. 주소록 접근이 가능해진다면 해커로서는 멀웨어를 사용할 필요조차 없어지게 된다.

은행이나 각종 건강 관련 서비스 기관에서 독자적인 앱을 만들어 배포하는 게 점점 늘어나고 있는데, 이런 경우 아무리 애플리케이션 자체의 보안을 강화한다고 하더라도 ‘비슷하게 생긴 악성 멀웨어’가 기승을 부리는 건 막을 수 없다. 즉 한쪽에서 누수를 막으면 다른 쪽에서 누수가 필연적으로 발생할 수밖에 없는 구조에 우린 이미 들어와 있다는 것이다.

문자 메시지와 피싱

최근 트렌드 마이크로(Trend Micro)에서 발견한 에멘탈 작전(Operation Emmental)은 이메일 피싱을 주요 수단으로 삼은 공격이었다. 목표는 대상자가 거래하고 있는 은행이며 이중에서도 특별히 핸드폰 인증을 하고 있는 곳을 집요하게 노렸다.

먼저 이 해커들은 사용자들이 진짜처럼 보이는 애플리케이션을 설치하도록 유도했는데, 이 애플리케이션에는 은행에서 보낸 문자 메시지에 접근해 해커들에게 전송하는 기능을 가지고 있었다. 사용자의 계정 정보(ID와 암호)를 미리 훔쳐낸 상황에서 전화기로 전송된 인증 정보만 있으면 사실상 사용자의 은행 계좌 자체를 가져간 것이나 다름없었다.

앱의 과도한 접근성과 가짜 앱의 기승 문제를 차치하더라도 모바일 플랫폼의 취약점 자체 역시 해결해야 하는 문제다. 보안전문 업체인 블루박스(Blue Box)는 최근 안드로이드 OS에 내재된 치명적인 오류를 발견해 보고한 적이 있다. 안드로이드의 디지털 서명 확인 기능에서 발견된 취약점으로, 이를 악용할 경우 가짜 앱을 아무런 이상 감지 없이 사용자의 모바일 기기에 설치하는 게 가능하다.

모바일 기기가 커다란 보안 문젯거리로 떠오르는 데에는 애플리케이션도 한 몫 하고 있다. 침을 튀기면서 모바일이 문제라고 외쳤던 존 맥아피의 흥분 상태가 오히려 건강해 보이는 때다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>