애플리케이션 개발만을 중시하고 보안은 뒷전인 기업들
계속해서 애플리케이션의 전성기를 이어나가기 위한 전략은?

[보안뉴스 홍나경 기자] 애플리케이션의 활성화는 많은 이들에게 환영을 받아 계속해서 증가하고 있다. 실제로 대부분의 기업이 많은 사람들에게 더 편리한 삶을 제공하는 애플리케이션의 장점을 통해 방대한 이윤 창출을 경험했다. 그래서 기업들은 서로 다투어 주문, 결제, 관리 시스템 등을 애플리케이션화 하고 있다. 하지면 현재 기업들은 애플리케이션 개발 및 출시에만 급급해 취약점을 살피고 분석할 수 있는 백 엔드 시스템을 갖고 있음에도 불구하고 보안은 엄격하게 관리하지 않고 있다.


미국의 유명 통신사 버라이즌(Verizon)이 발표한 2016년 데이터 침입 조사에 대한 보고서에 따르면 다른 공격 방식들과 비교했을 때 웹 애플리케이션에 가해지는 공격 같은 경우 좀 더 많은 확률로 데이터 유출을 일으킨다. 웹 애플리케이션의 취약점이 다른 취약점보다 더 치명적인 결과를 낳는다는 뜻이다. 게다가 정보 보호 관련 시장조사 전문기관인 포네몬 연구소(Ponemon Institute)에 따르면 데이터 침입으로 인해 기업에게 발생한 금전적 피해는 2013년부터 30%나 증가했다.

나는(글쓴이) 이전에 한 보안 기업에서 근무했던 적이 있었는데 당시 유명 은행으로부터 재미있는 요청을 받았다. 당시 은행은 더 많은 주주를 위임 투표에 참여시키기 위해서 투표 절차를 좀 더 편리하게 모바일 애플리케이션을 통하여 할 수 있게 하고자 했다. 하지만 많은 금액을 애플리케이션 개발에 투자하고 싶지는 않아 해당 은행은 한 스타트업 기업을 통해 적은 돈으로 애플리케이션 개발을 의뢰했다. 개발을 요청할 당시 은행은 로그인을 통해 애플리케이션에 접근하는 방식 외에 애플리케이션에 관한 보안 관련 조항들에 대해서는 자세하게 명시 및 요구하지 않았다.

애플리케이션 로그인 인증과정이 안전할 것이라고 그저 예상만 하고 애플리케이션의 코드나 개발 과정을 검토하지 않은 것이다. 하지만 해당 애플리케이션의 개발을 맡았던 스타트업이 사용한 인증 방식은 안전과 거리가 먼 것이었다. 앱을 실행하는 사용자들의 정보가 중국에 있는 써드파티 서버로 몰래 유출시키는 것이었기 때문이다. 은행은 이러한 사실을 앱을 실행시킨 주주들이 피싱 공격을 이미 다 당하고 난 후에서야 발견하게 됐다.

하지만 애플리케이션으로 인한 피해는 이렇게 위 예시처럼 대기업들에만 국한된 것이 아니다. 작은 규모의 회사 또는 심지어 일반인들도 보안을 만만하게 여기다가 큰 코 다칠 수도 있다.

나는 최근 글로벌 물류기업 페덱스(FedEx)에서 보내는 알림 메일과 비슷한 형태를 한 이메일을 받았다. 하지만 이메일에 표시되어 있는 소포의 트래킹 번호가 이상하여 ‘배송 추적’과 ‘배송 위치 알림 끄기’ 버튼을 클릭하여 좀 더 살펴봤다. 그 결과 버튼을 클릭했을 때 링크가 싱가폴에 있는 초밥 가게 웹사이트로 연결된다는 사실을 발견했다. 웹사이트 개발 단계에서 오류가 생겼고, 그것을 해커가 먼저 발견해 악용하고 있는 것으로 보였다.

나야 보안을 좀 알고 있으니 이러한 피싱 수법에 넘어가지 않았지만 보통 일반인들은 쉽게 넘어갔을 것이다. 사실 수많은 연구를 통해 이러한 피싱 사기 수법이 낮지 않은 성공률을 갖고 있다는 것은 이미 증명됐다.

또한, 작년 9월에 발표된 보고서인 RSA의 2사분기 위협 보고서에 따르면 아래와 같은 사항이 발견됐다.
- 지난 12개월 동안 100만 건이 넘는 새로운 피싱 공격이 집계됐다. 이는 30초당 한 번씩 새로운 피싱 공격이 발생한 것을 의미한다.
- 2016년 2사분기에 피싱 공격이 전년도보다 308% 증가했다.
- 피싱 공격으로 인한 글로벌 기업들의 피해 금액은 9조 1천억 원에 달했다.

클라우드와 모바일 혁명이 일어나기 전 애플리케이션은 훨씬 간단한 구조였기 때문에 사실 관리하기가 더 쉬웠다. 하지만 오늘날 애플리케이션은 다른 애플리케이션, 홈 사물인터넷, 웹 서비스, API를 통해 이뤄지는 백 엔드 시스템 등과 복잡하게 얽혀있고 또한 많은 사람들에게 여러 가지 기능을 인터넷을 통해 제공하고 있다. 그리고 이러한 점들이 해커들에게 편리하고 유리하게 작용하여 공격을 쉽게 감행할 수 있게 된 것이다. 하지만 해당 단점을 보완할 수 있는 방법이 몇 가지 있다.

1. 소유 중인 모든 애플리케이션에 대한 가시성 확보
이미 다운로드 받은 모든 애플리케이션(무료/유료)을 지속적으로 관리하는 것이 중요하다. 지속적으로 애플리케이션의 인벤토리를 업데이트 하는 것을 통해 사용자가 제대로 관리할 수 있다. 애플리케이션의 인벤토리를 통해 개발 방법을 이해하고 프레임워크를 사용하여 애플리케이션에 있는 내용을 이해할 수 있기 때문이다.

또한, 가시성을 확보하는 것은 웹과 써드파티 서비스로부터 발생할 수 있는 위협을 파악하는 것도 의미한다. 예를 들어 위에서 언급했던 은행이 만약 자신들이 애플리케이션을 개발한 기업에서 어떠한 구성요소들을 썼는지 파악하고 이에 있을 법한 위협들을 미리 숙지했다면 사고를 피할 수 있었을 것이다.

2. 위협 평가
위협 평가는 애플리케이션을 상세히 조사하는 것을 의미하며 애플리케이션과 연관되어 있는 다양한 써드파티 서비스 검사, 애플리케이션 개발, 품질 검사 등이 포함 된다. 코딩 시에 발생하는 오류 및 애플리케이션 생산 전 오류들을 발견하고 줄이기 위한 방법으로 아래와 같은 것들을 추천한다.

- 품질관리 직원들에게 웹 애플리케이션 평가 과정을 교육시킨다.
- 개발자들에게 안전한 코딩 기술을 교육시킨다.
- 코드 개발과 악성 코드 테스팅을 가속화하고 자동화하기 위한 통합 환경에 지속적으로 투자한다.

예시를 들었던 싱가포르 초밥 가게 웹사이트 같은 경우 이러한 위협 평가에서 실패했기 때문에 그런 사태가 일어났다고 볼 수 있다. 웹사이트의 취약점을 발견하고 패치하지 못해 해커가 이를 악용하는 사태까지 일어난 것이다.

3. 취약점 패치
기업들은 수익 창출에 기여할 만한 주력 애플리케이션을 개발하는 것에만 신경 쓰는 것이 아니라 사이버 공격에 취약점이 될 수 있는 부분들을 패치 할 수 있는 방법도 더 꼼꼼히 연구해야 한다. 취약점 패치를 통해 애플리케이션의 보안을 강화할 수 있을 뿐만 아니라 이를 통해 애플리케이션의 장단점(성공과 실패)들을 파악할 수 있으며 궁극적으로 애플리케이션의 품질을 향상시킬 수 있다.

앞에 예시를 들었던 은행과 초밥 가게도 이전의 실수들을 정리하고 취약점을 패치하는 방식으로 미래에는 사이버 공격을 더 효과적으로 방어할 수 있을 것이다. 또한, 방어력만 상승하는 것이 아니라 자신들의 문제점을 분석하고 고쳐나가는 과정을 통해 새로운 도구 및 효과적인 보안 관련 전략들도 적용할 수 있을 것이다.

애플리케이션이 그 어느 때보다도 많이 존재하고 있는 것이 현재이며 이로 인해 많은 문제점들이 등장한 것도 사실이다. 하지만 사실 애플리케이션을 통해 많은 득을 보고 있기 때문에 계속해서 애플리케이션의 시대를 이어나가고 위협들을 완화할 수 있는 방법을 찾아야한다. 애플리케이션의 시대에 존재하는 위험을 줄이고 계속해서 이 전성기를 효과적으로 이어가기 위해서 제일 중요한 것은 애플리케이션을 안전하고 효과적으로 사용할 수 있도록 하는 것이다.

글 : 제이슨 켄트(Jason Kent)
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>