모바일 애플리케이션 자체 보호 능력 현저히 부족

[보안뉴스 정규문] 세계적인 애플리케이션 보안 솔루션 제공 업체인 악산(Arxan Technologies-Bethesda, MD 및 London)은 이번 발표한 모바일 앱 보안의 현 주소 보고서에서 상위 100개의 안드로이드 유료 앱 중 97%가, Apple iOS 유료 앱 중 87%가 해킹을 당한 사실이 있다고 밝혔다.

또한 작년과 마찬가지로 올해 조사 결과에서도 인기 무료 앱에 대한 해킹 증가와 함께 안드로이드 앱의 경우 금융 서비스 및 의료용, 상거래 앱 등 폭넓은 앱의 해킹 사례가 발견되었다.

본 ‘모바일 앱 보안의 현 주소 보고서’는 두 가지 주요 모바일 플랫폼인 iOS와 안드로이드에서 앱 해킹에 대한 전년도 지표 값을 업데이트한 것으로써, 이러한 앱 해킹 증가에 대한 조사 결과에 따라 최근 전 세계적으로 모바일 애플리케이션 사용이 급증하고 있음에 특히 주목해야 할 필요성이 있다고 말한다.

또한 2017년 무료 앱의 다운로드 수는 99% 증가한 2조 530억 개, 유료 앱은 약 33% 증가한 150억 개에 다다를 전망인데, 이는 시장 점유율의 85%를 차지하고 있는 안드로이드 모바일 운영 체제에서 실행하는 앱에서 해킹 시도가 계속해서 증가할 것이라고 예상했다. 

이러한 점을 근거로, 본 보고서는 최근 와이어럴커(WireLurker) 및 마스크 어택(Masque Attack) 등을 통해 모바일 애플리케이션이 여러 차례 공격 당한 이후, 자체 보호를 포함하는 모바일 애플리케이션의 필요성을 더욱 강조하고 있다.

[2014년 보고서의 주요 조사 결과는 다음과 같다]

상위 100개의 유료 및 무료 앱에 대한 해킹이 빈번하게 발생하고 있다

△ 안드로이드 유료 앱 상위 100개 중 97%, iOS 유료 앱 상위 100개 중 87%가 해킹을 당했다. 본 조사를 통해 나타난 안드로이드 앱을 향한 높은 해킹 비율은 전년도 결과와 일치한다. iOS 앱에 대한 해킹 비율 또한 전년도 56%와 비교했을 때 급격한 증가를 보인다. 

△ 인기 무료 안드로이드 앱은 80%, 인기 무료 iOS 앱은 75%가 해킹 당했다. 인기 iOS 앱의 해킹 비율은 지난 3년 이상 동안 계속 증가해 왔다.

모바일 앱을 대상으로 업계 전반에 걸쳐 고 위험 앱 해킹이 증가하고 있다.

△ 모바일 금융 앱은 여전히 위험한 상황에 놓여 있다. iOS 금융 앱의 70%가 해킹을 당했고, 안드로이드 금융 앱의 95%가 크래킹 되었다. 이는 안드로이드의 약 80% 증가와 함께 두 경우에서 모두 증가한 비율이다.

△ 상거래 앱 중 안드로이드는 90%, iOS는 35%가 위험한 상황에 놓여 있다. 해커들은 B2C 상거래 앱인 모바일 결제/지갑 서비스와 B2B 상거래 앱인POS(Point-of-Sale)의 성장을 타깃으로 삼고 있다. 현재 민감한 데이터, 개인정보 및 금융 거래내역은 모두 위험한 상태이다.

△ 안드로이드 의료용 앱의 90%가 해킹을 당했으며, 그 중 22%는 FDA 승인을 받은 앱이다.

가트너의 애플리케이션 보안 분석가인 조셉 페이먼(Joseph Feiman)과 같은 업계 리더들은 애플리케이션을 보호하기 위해 위험 요인에 대한 사전 대응 조치를 마련하고 있다. 

그는 최근 매버릭(Maverick) 보고서에서 CISO(최고정보보호책임자)들에게 “새로운 투자 부문으로 IT 인프라에 대한 보호보다는 애플리케이션의 자체 보호에 우선순위를 두도록 해야 한다”며, “RASP(런타임 애플리케이션 자체 보호)는 애플리케이션 런타임 환경에 보호 기능을 추가하여 자체적으로 애플리케이션을 보호하도록 설계되어 있다”고 조언하고 있다.

보고서는 위와 같은 보안 리더들을 지지하면서 모바일 애플리케이션의 보안 향상을 위한 주요 권장사항에 대해 다룬다.

보고서는 다음 사항을 강력히 권장하고 있다

△ 모바일 플랫폼에서 실행 중인 고위험 프로필을 가진 애플리케이션은 런타임에서 보안 위협을 감지하여 자체적으로 방어하고 부정 조작을 방지할 수 있어야 한다.

△ 모든 애플리케이션은 해당 애플리케이션 및 코드의 신뢰성이 유지되도록 개발해야 한다.

△ 모바일 지갑/결제 앱(예: 호스트 카드 에뮬레이션 소프트웨어)의 활성화에 사용되는 소프트웨어는 안전한 암호화 및 앱 강화(Hardening)를 통해 보호되어야 한다.

△ 기업들은 기존 앱이 모바일 환경에서 위험 요인에 노출된 경우 모바일 앱 보안 평가를 고려해야 한다. 또한 모바일 애플리케이션 개발 수명주기의 일환으로, 기업들은 여러 테스트들 가운데 비보호 바이너리 코드에서 발생할 수 있는 리버스엔지니어링 및 악용, 변조에 대한 취약성을 평가하는 침투 테스트를 수행해야 한다.

본 보고서와 이를 뒷받침하는 인포그래픽은 현재 악산의 국내 총판사인 엔시큐어 홈페이지(www.ensecure.co.kr)에서 무료로 다운로드 받을 수 있다. 이 결과는 각 플렛폼의 상위 100개의 유료 앱을 포함하여 인기 무료 앱 20개, 금융 서비스 및 상거래, 의료앱 20개씩, 총 360개의 앱에 대한 분석을 기초로 하였다.

악산의 기술 디렉터인 조나단 카터(Jonathan Carter)는 “보다 향상된 모바일 애플리케이션 보안을 실현하는 일은 악산의 연구와 개발 동기에 있어 최우선적인 과제다” 라고 말하며 “악산은 역동적인 공격을 하는 해커와의 전장에서 고객을 보호 하기 위해 최신의 위협을 기반으로 강력한 애플리케이션 보안 혁신을 지속적으로 실현하고 있다”고 밝혔다.

한편, 엔시큐어는 악산의 국내 총판 파트너사로써 애플리케이션 위변조 방지 솔루션인 가드 잇(GuardIT), 인슈어 잇(EnsureIT) 솔루션을 제공하고 있으며, 국내 게임, 금융, 제조 등 다양한 고객을 확보하고 있다.

[정규문 기자(kmj@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>