모바일 뱅킹은 이미 각종 은행 업무의 ‘대세 방법’이 되었다. 그러니 공격자들이 모바일 뱅킹 앱에 꼬여들 수밖에 없다. 이런 모바일 뱅킹 앱들을 보호하려면 보다 근본적인 변화가 필요하다.
[보안뉴스 문가용 기자] 은행의 고객들 중 ‘모바일 뱅킹’ 기능을 사용하는 사람들의 비중이 점점 높아지고 있다. 2020년 미국 기준, 모바일 장비로 은행 잔고를 확인하는 사용자는 86.5%에 달했고, 계속 늘어나는 것으로 알려져 있다. 그리고 이런 상황에 맞춰 모바일 ‘사기 거래’ 역시 꾸준히 증가하고 있다. 2015년에 비해 600%나 늘어났다는 조사 결과가 있을 정도다. 이런 모바일 금융 사기의 5% 정도는 가짜 모바일 앱으로부터 발생한다고 한다.
[이미지 = utoimage]
최근 일부 전문가들이 모바일 사기 거래에 대해 조사했을 때 ‘모바일 뱅킹 앱들이 사이버 범죄자들 사이에서 인기가 높다’는 결과가 나왔다. 공격자들은 구글 플레이 스토어에 자신들의 악성 앱을 등록시키려고 여러 가지 방법들을 고안하고 있는데, 악성 기능이 전혀 존재하지 않은 상태로 스토어에 등록시키고, 추가 페이로드를 설치 이후에 다운로드시키는 방식으로 악성 기능을 덧붙이기도 한다. 즉 어느 정도 시간이 걸릴 수밖에 없는 ‘느린 공격’이기 때문에 일반 백신으로는 잡아내기 어렵다. 이런 식으로 조용히 설치되는 가짜 안드로이드 뱅킹 멀웨어가 빠르게 증가하고 있다고 한다.
사용자들을 위해 모바일 앱을 개발해 출시하는 금융 조직들은 이러한 사실을 반드시 염두에 두어야 한다. 구글 플레이 스토어가 완벽한 방어를 해 줄 수 없다는 것을 말이다. 공격자들은 구글이 보안 성능을 향상시키면 그에 맞게 자신들의 공격 성능도 향상시킨다. 그렇기 때문에 모든 보안 문제를 한 방에 해결해 주는 솔루션이나 기업은 존재할 수 없다. 지금 시점에서 은행 및 여타 금융 기관들이 악성 앱으로부터 고객들을 보호하기 위해 할 수 있는 일이 무엇인지 알아보자.
사기 앱의 작동 원리를 알아야 한다
모바일 애플리케이션들은 수천~수만 줄의 코드로 만들어져 있다. 이 때문에 수많은 앱들을 관리하는 구글 플레이는 자동으로 이 코드들을 스캔하여 악성 요소들을 찾아낸다. 이런 일을 매일 같이 진행한다. 자동으로 스캔되는 코딩 줄 수만 해도 수백만~수천만은 거뜬히 넘는다. 그 와중에 어떤 앱들은 감시의 눈을 빠져나가 사용자들에게 피해를 안긴다.
악성 코드가 성공적으로 스토어에 등록돼 사용자 모바일에까지 안착했다면, 그 다음부터 공격자들은 쉽게 자신들이 원하는 바를 할 수 있게 된다. 심지어 그 앱을 통해 ‘출처가 불분명한 페이로드’를 다운로드 하게도 만들 수 있다. 아직 구글 플레이에 대한 신뢰도가 높기 때문이다.
여기까지 성공한 공격자들은 앱을 통해 업데이트를 내보내는데, 주로 ‘접근성’과 관련된 설정 내용을 변경시킨다. ‘접근성’은 장애를 가진 사용자들이 보다 쉽게 스마트폰을 조작할 수 있도록 마련된 기능이다. 공격자들은 이 기능을 악용함으로써 자신들의 스마트폰 제어 능력을 강화한다. 주로 오버레이 공격(overlay attack : 애플리케이션 화면 위에 눈으로는 보이지 않는 투명한 층을 하나 더 깔아서 사용자가 입력하는 정보가 애플리케이션으로 전달되는 게 아니라 그 투명 층을 통해 공격자에게 전달되도록 하는 수법_역주)을 하거나 키로거(keylogger : 피해자가 타이핑 치는 내용을 훔쳐가는 기능의 멀웨어_역주)를 설치하기 위해서다. 이 두 가지 공격을 통해 공격자는 피해자의 비밀번호와 ID를 훔쳐갈 수 있게 된다.
이런 움직임에 대처하려면 모바일 뱅킹 서비스를 제공하는 조직들은 어떻게 해야 할까? 확실한 건 ‘만병통치약’은 없다는 것이다. 고객들이 사용하고 있는 앱에 대한 끊임없는 관심과 관찰, 실험이 있어야 한다. 고객의 인증 방식을 강화하고, 여러 층위의 방어막을 구성하며, 각종 사기 기술에 대한 분석과 트렌드 파악도 필요하다. 설사 고객들이 공격에 당해 누군가 사기 거래를 실시하려고 할 때, 은행 측에서 미리 알고 사기 거래를 막아줄 수도 있어야 한다.
모바일 보안, 지속적 교육이 필요하다
공식 스토어를 운영하는 주체들은 지속적으로 보안 상황을 모니터링하며 트렌드에 맞게 환경을 강화한다. 물론 사고가 자주 터지긴 하고, 그래서 보안 강화에 대한 노력이 없는 것처럼 보이지만, 이는 전혀 사실이 아니다. 집계되지 않고, 보도되지 않아서 그렇지 악성 공격자들에 의해 뚫리는 경우보다 제대로 방어하는 경우가 압도적으로 많은 것도 사실이다. 다만 상상할 수 없는 수의 앱을 다뤄야 하기 때문에 몇 가지가 보안의 그물망을 빠져나갈 수밖에 없다.
이것이 무슨 뜻이냐면, 스토어와 같은 공식 플랫폼에 대한 무조건적인 의존도는 해롭다는 것이다. 모바일 뱅킹을 이용하는 고객들 역시 어떤 위험이 도사리고 있는지 항시 인지하고 있어야 한다. 그리고 이를 돕기 위해 은행도 계속해서 고객들에게 보안 위협에 대해 알리고 또 알려야 한다. 악성 링크를 클릭하지 말라는 문자나 메일을 주기적으로 보낸다든지, 다운로드 하지 말아야 할 것들을 반복해서 알린다든지 하는 식으로 말이다.
물론 아무리 교육해도 누군가는 어느 시점에 반드시 실수를 하기 마련이고 사기술에 넘어간다. 사기꾼들도 자기들의 수법을 계속 최신화 하기 때문에 이는 어쩔 수 없는 일이다. 그럼에도 교육을 포기해서는 안 된다. 반복하다 보면 듣고 참고하고 행동을 고치는 게 사람이다. 다만 모두가 하룻밤 만에 변화될 것만 기대하지 않는 것이 중요하다.
안전한 곳은 어디에도 없다
금융 기관들은 고객들이 자기 핸드폰을 가지고 무슨 일을 하든 막거나 제한할 수 없다. 사용자가 위험한 링크를 클릭하든, 악성 앱을 다운로드 받든, 아무 와이파이에나 막 연결하든, 전부 사용자의 자유다. 그러니 금융 기관들은 앱을 출시하면서, “지금 이 앱은 매우 위험한 환경에 처하게 될 것”이라고 여겨야 한다. 최악의 경우를 상상하는 것이 최고의 수다. 이런 사고방식 없이 개발된 앱은 나중에 큰 문젯거리가 될 가능성이 높다. 앱 개발을 외주 인력에 맡겼다 한다면 더더욱 이런 마음으로 앱을 검토해야 한다.
모바일 앱은 출시된 순간 고객의 계좌와 깊은 관련성을 갖게 된다. 사실상 사람들의 지갑으로 연결되는 통로가 되는 건데, 그러니 악성 행위들이 저절로 멈추리라고 기대하는 건 어리석은 일이다. 고객들이 그 지갑을 알아서 잘 보관하리라고 보는 것도 금융 조직으로서는 안일한 것이다. 금융 조직이 사용자들을 위한 앱을 세상에 내놓았다면, 이건 지갑을 할렘가 거리에 던져놓은 것이나 마찬가지이므로, 고객들의 지갑을 통해 이뤄지는 모든 거래들이 올바르고 합법적인 것인지 판단할 수도 있어야 한다. 그리고 사기 거래라고 판단되는 순간 거래 행위 자체를 막을 수도 있어야 한다.
즉, 금융 조직들의 경우 ‘모바일 앱’이란 앱을 개발할 수 있느냐 마느냐의 차원의 문제가 아니라 그 앱을 세상에 내놓고 책임을 어디까지 질 수 있느냐의 문제가 된다. 그리고 공격자들은 과거의 기술만이 아니라 한 번도 나타나지 않았던 미래의 기술들도 들고 나올 준비를 하고 있다. 그 미래의 위협에까지도 책임을 지려는 태도가 금융 앱을 더 튼튼하게 만든다.
앞으로도 새로운 보안 위협들과 사기 전략들은 계속해서 등장할 것이고, 그에 대한 소식은 보안 업계에 꾸준히 전파될 것이다. 그런 상황에서도 새로운 모바일 뱅킹 앱은 더 많이 나올 것이고, 이를 노리는 자들 역시 늘어날 것이다. 보안을 커다란 플랫폼 사업자나 앱 개발자에게 전부 위탁하는 건 점점 더 말이 되지 않는 상황으로 흘러가고 있다. 모두가 능동적인 자세로 보안을 강화해야 한다.
글 : 랄리사 미테바(Ralitsa Miteva), Manager, OneSpan
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 은행의 고객들 중 ‘모바일 뱅킹’ 기능을 사용하는 사람들의 비중이 점점 높아지고 있다. 2020년 미국 기준, 모바일 장비로 은행 잔고를 확인하는 사용자는 86.5%에 달했고, 계속 늘어나는 것으로 알려져 있다. 그리고 이런 상황에 맞춰 모바일 ‘사기 거래’ 역시 꾸준히 증가하고 있다. 2015년에 비해 600%나 늘어났다는 조사 결과가 있을 정도다. 이런 모바일 금융 사기의 5% 정도는 가짜 모바일 앱으로부터 발생한다고 한다.
[이미지 = utoimage]
최근 일부 전문가들이 모바일 사기 거래에 대해 조사했을 때 ‘모바일 뱅킹 앱들이 사이버 범죄자들 사이에서 인기가 높다’는 결과가 나왔다. 공격자들은 구글 플레이 스토어에 자신들의 악성 앱을 등록시키려고 여러 가지 방법들을 고안하고 있는데, 악성 기능이 전혀 존재하지 않은 상태로 스토어에 등록시키고, 추가 페이로드를 설치 이후에 다운로드시키는 방식으로 악성 기능을 덧붙이기도 한다. 즉 어느 정도 시간이 걸릴 수밖에 없는 ‘느린 공격’이기 때문에 일반 백신으로는 잡아내기 어렵다. 이런 식으로 조용히 설치되는 가짜 안드로이드 뱅킹 멀웨어가 빠르게 증가하고 있다고 한다.
사용자들을 위해 모바일 앱을 개발해 출시하는 금융 조직들은 이러한 사실을 반드시 염두에 두어야 한다. 구글 플레이 스토어가 완벽한 방어를 해 줄 수 없다는 것을 말이다. 공격자들은 구글이 보안 성능을 향상시키면 그에 맞게 자신들의 공격 성능도 향상시킨다. 그렇기 때문에 모든 보안 문제를 한 방에 해결해 주는 솔루션이나 기업은 존재할 수 없다. 지금 시점에서 은행 및 여타 금융 기관들이 악성 앱으로부터 고객들을 보호하기 위해 할 수 있는 일이 무엇인지 알아보자.
사기 앱의 작동 원리를 알아야 한다
모바일 애플리케이션들은 수천~수만 줄의 코드로 만들어져 있다. 이 때문에 수많은 앱들을 관리하는 구글 플레이는 자동으로 이 코드들을 스캔하여 악성 요소들을 찾아낸다. 이런 일을 매일 같이 진행한다. 자동으로 스캔되는 코딩 줄 수만 해도 수백만~수천만은 거뜬히 넘는다. 그 와중에 어떤 앱들은 감시의 눈을 빠져나가 사용자들에게 피해를 안긴다.
악성 코드가 성공적으로 스토어에 등록돼 사용자 모바일에까지 안착했다면, 그 다음부터 공격자들은 쉽게 자신들이 원하는 바를 할 수 있게 된다. 심지어 그 앱을 통해 ‘출처가 불분명한 페이로드’를 다운로드 하게도 만들 수 있다. 아직 구글 플레이에 대한 신뢰도가 높기 때문이다.
여기까지 성공한 공격자들은 앱을 통해 업데이트를 내보내는데, 주로 ‘접근성’과 관련된 설정 내용을 변경시킨다. ‘접근성’은 장애를 가진 사용자들이 보다 쉽게 스마트폰을 조작할 수 있도록 마련된 기능이다. 공격자들은 이 기능을 악용함으로써 자신들의 스마트폰 제어 능력을 강화한다. 주로 오버레이 공격(overlay attack : 애플리케이션 화면 위에 눈으로는 보이지 않는 투명한 층을 하나 더 깔아서 사용자가 입력하는 정보가 애플리케이션으로 전달되는 게 아니라 그 투명 층을 통해 공격자에게 전달되도록 하는 수법_역주)을 하거나 키로거(keylogger : 피해자가 타이핑 치는 내용을 훔쳐가는 기능의 멀웨어_역주)를 설치하기 위해서다. 이 두 가지 공격을 통해 공격자는 피해자의 비밀번호와 ID를 훔쳐갈 수 있게 된다.
이런 움직임에 대처하려면 모바일 뱅킹 서비스를 제공하는 조직들은 어떻게 해야 할까? 확실한 건 ‘만병통치약’은 없다는 것이다. 고객들이 사용하고 있는 앱에 대한 끊임없는 관심과 관찰, 실험이 있어야 한다. 고객의 인증 방식을 강화하고, 여러 층위의 방어막을 구성하며, 각종 사기 기술에 대한 분석과 트렌드 파악도 필요하다. 설사 고객들이 공격에 당해 누군가 사기 거래를 실시하려고 할 때, 은행 측에서 미리 알고 사기 거래를 막아줄 수도 있어야 한다.
모바일 보안, 지속적 교육이 필요하다
공식 스토어를 운영하는 주체들은 지속적으로 보안 상황을 모니터링하며 트렌드에 맞게 환경을 강화한다. 물론 사고가 자주 터지긴 하고, 그래서 보안 강화에 대한 노력이 없는 것처럼 보이지만, 이는 전혀 사실이 아니다. 집계되지 않고, 보도되지 않아서 그렇지 악성 공격자들에 의해 뚫리는 경우보다 제대로 방어하는 경우가 압도적으로 많은 것도 사실이다. 다만 상상할 수 없는 수의 앱을 다뤄야 하기 때문에 몇 가지가 보안의 그물망을 빠져나갈 수밖에 없다.
이것이 무슨 뜻이냐면, 스토어와 같은 공식 플랫폼에 대한 무조건적인 의존도는 해롭다는 것이다. 모바일 뱅킹을 이용하는 고객들 역시 어떤 위험이 도사리고 있는지 항시 인지하고 있어야 한다. 그리고 이를 돕기 위해 은행도 계속해서 고객들에게 보안 위협에 대해 알리고 또 알려야 한다. 악성 링크를 클릭하지 말라는 문자나 메일을 주기적으로 보낸다든지, 다운로드 하지 말아야 할 것들을 반복해서 알린다든지 하는 식으로 말이다.
물론 아무리 교육해도 누군가는 어느 시점에 반드시 실수를 하기 마련이고 사기술에 넘어간다. 사기꾼들도 자기들의 수법을 계속 최신화 하기 때문에 이는 어쩔 수 없는 일이다. 그럼에도 교육을 포기해서는 안 된다. 반복하다 보면 듣고 참고하고 행동을 고치는 게 사람이다. 다만 모두가 하룻밤 만에 변화될 것만 기대하지 않는 것이 중요하다.
안전한 곳은 어디에도 없다
금융 기관들은 고객들이 자기 핸드폰을 가지고 무슨 일을 하든 막거나 제한할 수 없다. 사용자가 위험한 링크를 클릭하든, 악성 앱을 다운로드 받든, 아무 와이파이에나 막 연결하든, 전부 사용자의 자유다. 그러니 금융 기관들은 앱을 출시하면서, “지금 이 앱은 매우 위험한 환경에 처하게 될 것”이라고 여겨야 한다. 최악의 경우를 상상하는 것이 최고의 수다. 이런 사고방식 없이 개발된 앱은 나중에 큰 문젯거리가 될 가능성이 높다. 앱 개발을 외주 인력에 맡겼다 한다면 더더욱 이런 마음으로 앱을 검토해야 한다.
모바일 앱은 출시된 순간 고객의 계좌와 깊은 관련성을 갖게 된다. 사실상 사람들의 지갑으로 연결되는 통로가 되는 건데, 그러니 악성 행위들이 저절로 멈추리라고 기대하는 건 어리석은 일이다. 고객들이 그 지갑을 알아서 잘 보관하리라고 보는 것도 금융 조직으로서는 안일한 것이다. 금융 조직이 사용자들을 위한 앱을 세상에 내놓았다면, 이건 지갑을 할렘가 거리에 던져놓은 것이나 마찬가지이므로, 고객들의 지갑을 통해 이뤄지는 모든 거래들이 올바르고 합법적인 것인지 판단할 수도 있어야 한다. 그리고 사기 거래라고 판단되는 순간 거래 행위 자체를 막을 수도 있어야 한다.
즉, 금융 조직들의 경우 ‘모바일 앱’이란 앱을 개발할 수 있느냐 마느냐의 차원의 문제가 아니라 그 앱을 세상에 내놓고 책임을 어디까지 질 수 있느냐의 문제가 된다. 그리고 공격자들은 과거의 기술만이 아니라 한 번도 나타나지 않았던 미래의 기술들도 들고 나올 준비를 하고 있다. 그 미래의 위협에까지도 책임을 지려는 태도가 금융 앱을 더 튼튼하게 만든다.
앞으로도 새로운 보안 위협들과 사기 전략들은 계속해서 등장할 것이고, 그에 대한 소식은 보안 업계에 꾸준히 전파될 것이다. 그런 상황에서도 새로운 모바일 뱅킹 앱은 더 많이 나올 것이고, 이를 노리는 자들 역시 늘어날 것이다. 보안을 커다란 플랫폼 사업자나 앱 개발자에게 전부 위탁하는 건 점점 더 말이 되지 않는 상황으로 흘러가고 있다. 모두가 능동적인 자세로 보안을 강화해야 한다.
글 : 랄리사 미테바(Ralitsa Miteva), Manager, OneSpan
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
