모바일 기기가 지배하는 시대 속에 기업들에게 주어진 숙제 애플리케이션 개발 단계에서부터의 새로운 기술 도입 절실

[보안뉴스 주소형] 모바일 기기가 우리의 생활을 지배하고 있다. 상황이 그렇다보니 모바일 기기는 회사 업무 환경에도 이미 깊숙이 들어와 있다. 언제 어디에서든 빠르게 일처리를 할 수 있기 때문이다. 그런데 과연 이러한 모바일의 애플리케이션이 갖은 위협과 해커로부터 안전한가?
 


최근 보안컨설팅 전문업체인 포네몬(Ponemon)사가 IBM으로부터 의뢰를 받고 640개 기업을 대상으로 해당 이슈 관련 조사를 실시했다. 그 결과, 기업들은 자신들이 개발한 애플리케이션 중 보안테스트를 실시하는 것은 절반도 채 되지 않고 애플리케이션을 다운받기 전에 보안테스트를 단 한 번도 하지 않았다는 사용자들의 비중은 무려 33%로 나타났다. 애플리케이션을 개발하는 기업과 사용자 모두 보안테스트를 제대로 하고 있지 않다는 것. 그만큼 사이버공격을 당할 확률도 높아진다. 이에 따라 해커들은 아주 쉽게 모바일 기기를 통해 민감한 개인 및 기업 정보들에 접속할 수 있게 된다. 

대부분의 기업들이 개인 소유의 노트북, 태블릿, 스마트폰 같은 모바일 기기를 업무에 활용하는 BYOD에 대한 나름대로의 정책을 만들어 놓고 있다. 실제로 포네몬 조사에 따르면 응답한 기업의 55%가 직원들의 개인기기에 비즈니스 애플리케이션을 다운받고 사용토록 허용하고 있다. 그러나 기업의 67%가 검증되지도 않은 애플리케이션들을 직원이 다운받고 업무에 사용할 수 있는 것을 허가해주고 있는 것으로 드러났다.

이 같은 통계는 모바일 기기가 다양한 사이버공격에 노출되어 지금 당장 유출사고가 일어나도 전혀 놀라운 것이 없다는 것으로 풀이된다. 그렇다면 어떻게 해야 하는 것일까?

1. 안전한 애플리케이션 설치
모바일 멀웨어는 모바일 애플리케이션의 코드에 있는 취약점들과 버그 등을 사용하는 것에서 비롯된다. 때문에 모바일 애플리케이션 개발 단계에서부터의 보안 강화가 필요하다. 소스 코드 스캐닝 툴 등을 통해 다양한 위험요소들을 완화시킬 수 있다. 또한 서드 파티로부터 코드 분석을 받는 것도 중요하다.

최근 해커들이 가짜 애플리케이션을 만드는 추세가 늘어나고 있다. 누구나 모바일 애플리케이션의 복사본들을 손쉽게 얻을 수 있고 이를 악용하여 악성 코드를 심어두는 등과 같은 리버스 엔지니어링을 할 수 있는 환경이 조성되어 있기 때문이다.

그런데 문제는 사용자들이 그런 사안들까지 고려해서 애플리케이션을 다운받고 사용하는 것이 아니라는 데 있다. 결국 그렇게 사용자의 개인정보는 물론 기업 정보, 신용카드정보, 환자정보, 지적재산, 고객 정보 등 모든 민감한 정보들이 유출된다.

2. 리스크에 밝은 기기 만들기
애플리케이션 보안은 모바일 기기 자체의 보안 상태와 연관성이 있다. 애플리케이션 보안도 중요하지만 모바일 기기의 보안 역시 중요하다는 것이다. 모바일 기기 자체에서 검증되지 않은 애플리케이션의 다운 및 설치를 거부시킬 수 있어야 한다. 특히 모바일 기기를 사용자 스스로가 탈옥이나 루팅 시킬 경우 상황은 악화된다. 이러한 탈옥 기술은 감지를 피하는 것이 주요 성능이기 때문이다.

이렇게 탈옥 및 루팅 시킨 기기들은 해커들의 인기 먹잇감이다. 기기 자체가 보안에 대한 판단력을 잃고 모든 모바일 애플리케이션에 대해 무작위로 승인 처리할 수 있다. 멀웨어 유입경로도 애플리케이션 뿐 아니라 SMS와 같은 기본 서비스들을 통해서도 충분히 감염될 수 있다.

따라서 기업들은 모바일 기기가 멀웨어를 감지할 수 있는 기술을 도입해야 한다. 탈옥 또는 루팅 되어 있는 기기에서도 감지할 수 있어야 할 것으로 보인다.

3. 데이터 탈취 및 유출 방어
모바일 애플리케이션을 통해 회사 데이터에 접속하여 필요한 문서를 모바일 기기에 저장하는 경우가 많다. 그런데 모바일 기기를 분실하거나 업무와 무관한 애플리케이션에 공유하게 되면 상당히 위험한 상황에 놓이게 된다.

따라서 기업들은 ‘선별적 원격 삭제’ 기능 개발이 시급하다. 직원들이 기기를 도난당하거나 분실했을 때 원격으로 해당 문서들을 삭제할 수 있는 기술과 기타 애플리케이션에서 회사 문서가 공유되는 것을 제한하는 기술을 개발해야 한다.

4. 리스크에 대한 계산을 통해 접속 및 처리 사전 제한
모바일 애플리케이션은 백엔드(backend) 서비스와 연동되는 경우가 많다. 여기서 백엔드 서비스는 우리 눈에 직접적으로 보이지 않는 서비스를 말한다. 예를 들어 모바일 뱅킹 애플리케이션의 경우 은행 및 금융기관 내 사용자의 계좌정보 및 사용 관련 서비스와 연결되므로 성립된다. 또한 영업사원들이 외근을 다니면서 회사 계정에 접속하여 정보를 업데이트할 때 사용되는 모바일 CRM 애플리케이션의 경우도 마찬가지다.
 
여기서 접속자의 위치, 시간 등과 같은 상황정보를 통해 리스크 요소들을 관리할 수 있어야 한다. 말도 안 되는 장소에나 시간에서 접속을 시도한다면 이를 지정하여 사전에 차단하고 시간을 지연시키는 등과 같은 프로세스를 구축해야 해야 한다는 것이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC 

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>