출처가 불분명한 링크나 앱을 다운로드 받지 말아야
모바일 보안위협, 제로 트러스트 환경에서 대응 필요

[보안뉴스 김태형] KT 경제경영연구소 따르면, 2015년 우리나라 국민의 스마트폰 보유율은 83%에 이른다. 이처럼 스마트폰 보급이 급증하면서 스마트폰은 이제 우리의 생활과 업무에 아주 밀접하게 연결되기 시작했다.


BYOD 업무 환경은 공간의 제약이 없어 언제 어디서나 업무를 볼 수 있다는 장점이 있다. 직원들이 업무용, 개인용으로 기기를 나눠 가지고 다닐 필요도 없기 때문에 생산성과 효율성이 향상되는 효과도 가져왔다.

하지만 개인 소유의 모바일 기기를 회사 업무에 사용하기 시작하면서 기존 PC에서 나타났던 다양한 문제점이 나타나기 시작했다. 스마트폰에서도 악성코드가 기승을 부리고 있고 스미싱을 통해 스마트폰에 저장된 중요 정보를 빼내고 소액 결제 사기에 이용하기도 한다. 또한, 무선 와이파이를 이용해 인터넷에 접속해서 전자금융거래를 할 경우, 금융정보를 탈취당할 수 있다.

이중에서 현재 스미싱을 이용한 모바일 보안 위협은 확연하게 줄었다. 이에 대해 KISA 침해대응단 사이버사기대응팀 지승구 팀장은 “2014년부터 급증하면서 기승을 부린 스미싱은 현재 급격히 줄어들고 있다. 2014년 한해 동안 기승을 부린 스미싱은 약 400만건이었고 2015년엔 130만 건으로 대폭 줄었다. 올해에는 이보다 훨씬 줄어들 것으로 보인다”면서 “이와 같이 스미싱이 눈에 보이게 줄어든 이유는 범죄자들이 다른 공격 방법을 더 많이 이용하기 때문으로 추정된다”고 말했다.

최근에는 악성코드를 이용한 정보유출이나 원격제어 등의 보안위협이 기승을 부리고 있다. 특히, 안드로이드 앱으로 위장해 사용자 스마트폰에 설치된 후, 내부 권한을 완전히 장악하는 공격도 발생했다. 광고 형태의 악성 애드웨어(Adware)로 모바일에 침입한 뒤, 스마트폰을 원격 통제하는 등 더욱 지능화되고 고도화된 스마트폰 보안위협이 발생하고 있는 것이다. 또한, 스마트폰을 손쉽게 해킹할 수 있는 해킹 툴까지 등장해 안드로이드 폰 및 애플 아이폰을 사용하는 수많은 사용자들의 앱을 공격하고 있다.

한 예로, 지난해 중국에서는 악성코드에 감염된 애플 iOS 개발 툴 ‘XCODE’를 내려 받아 개발된 아이폰 앱이 유포되어 1억명 가량의 애플 ID와 비밀번호 등을 포함한 개인정보와 접속 권한이 탈취 당했다. 중국에서 악성코드 감염 피해를 입은 애플 iOS용 앱과 사용자수는 이번이 역대 최대 규모다. 이전에도 국내외에서 여러 차례 애플 iOS 관련 정보 유출 등 보안문제가 발생한 적이 있었지만, 이번처럼 중국에서 많은 규모의 애플 iOS용 앱과 기기 사용자들이 피해를 입은 것은 처음이어서 큰 파장을 일으켰다.

또한, ‘Hummer’라는 모바일 안드로이드 악성코드가 기승을 부렸는데 이를 이용해 범죄자들이 하루에 벌어들이는 수입은 한화로 약 6억원에 이르는 것으로 알려졌다. 특히, 개인을 대상으로 한 악성코드로 인도, 인도네시아, 중국, 터키 등에서 주로 감염됐으며 중국에서 가장 많이 감염된 것으로 분석됐다. 이는 하루 6만3천대의 안드로이드 기기를 감염시켰고 최고로 많이 감염시킨 것은 하루에 약 160만대를 감염시키기도 했다.

이처럼 지난해 모바일 보안 취약점 동향을 살펴보면, 신규 모바일 악성앱은 줄고 변종은 대폭 증가한 것으로 나타났다. 또한, 전체 신규 악성앱에서 모바일 악성앱이 차지하는 비중도 폭발적으로 증가했다. 이와 함께 모바일 취약점을 악용한 공격도 지속적으로 증가하고 있어 이는 해커들이 자동화된 툴을 이용해 과거에 발표된 취약점을 계속 악용해 공격하고 있는 것으로 밝혀졌다.

이러한 상황에서 보안전문가들은 모바일 보안 위협에 ‘제로 트러스트(zero trust)’ 환경에서 대응해야 한다고 말한다. 특히, 모바일 및 애플리케이션 보안에 있어서는 아무도 믿어서는 안 된다는 의미다. 문제는 모바일 생태계의 82%를 차지하고 있는 안드로이드 6.0 버전의 보급률은 단지 1%에 불과하다는 조사결과도 있었다. 70%는 여전히 4.4 및 그 이하 버전을 사용 중이다. 이는 즉 보안에 취약한 모바일 운영체제를 사용하는 사용자가 대부분이라는 얘기다.

모바일 보안기업 NSHC의 최병규 본부장은 “이러한 보안위협의 95%는 보안 솔루션과 서비스로 막을 수 있지만, 나머지 5%의 공격은 솔루션과 서비스로 방어하기에는 한계가 있다. 이를 위해서는 글로벌 인텔리전스 정보 공유와 기술력을 갖춘 인력이 필요하다. 이와 같은 인력들을 활용해 최신 보안 이슈와 글로벌 인텔리전스 정보를 빠르게 파악해 공유하고 분석할 수 있기 때문”이라고 말했다.

이러한 모바일 취약점에 대응하기 위해서는 ‘OWASP 모바일 Top 10 리스크’의 보안 취약점을 지키는 것으로도 대부분 해결된다. 아울러 웹이나 클라우드 환경에서 발생할 수 있는 취약점이 모바일에서도 동일하게 발생할 수 있어 주의해야 한다.

특히, 최근 랜섬웨어 감염 등 보안사고들이 자주 발생하면서 보안에 대한 경각심은 높아졌지만, 모바일 환경에 대한 보안의식은 아직 미흡하다. 우리 국민 대다수가 사용하고 있는 스마트폰에는 사생활정보를 비롯해 금융정보와 같은 민감하고 중요한 개인정보가 저장되어 있는 만큼 모바일 보안에 대한 사용자들의 주의와 노력이 필요하다.

이에 대해 이셋코리아의 김남욱 대표는 “최근 닌텐도사의 증강현실 스마트폰 게임 ‘포켓몬 GO(Pokemon GO)’가 선풍적인 인기를 끌고 있는 가운데 ‘포켓몬 GO’의 불법 복사본을 통한 악성코드가 확산되고 있다. 이처럼 사이버 범죄자들은 이용자들의 성향과 심리를 매우 적절히 이용해 악성코드를 확산시킨다. 이에 대응하기 위해서는 안드로이드와 애플의 공식적인 앱 스토어 외에 블랙마켓에서 앱을 다운로드 하거나 출처가 불분명한 링크를 클릭하는 일이 없도록 해야 한다”고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>