모바일 앱을 통한 금융거래가 많아지고 있는데요. 모바일 앱을 다운 받을 때나 사용할 때 특별히 주의해야 할 사항이나 수칙이 있을까요?
.jpg)
[보안뉴스 원병철 기자] 모바일 앱을 다운 받을 때 사용자들이 주의할 사항은 다음과 같습니다. 첫 번째는 단말기를 루팅하지 않는 것입니다. 이 경우 신뢰할 수 없는 사이트 방문 시 악성 앱이 자동으로 설치될 수 있고, 정상 앱 스토어가 아닌 사설 앱 스토어를 통한 악성 앱 설치가 가능해집니다. 루팅된 단말기는 겉으로는 사용자에게 정상적인 동작을 하는 것처럼 보이지만, 내부적으로 어떤 악성행위들이 일어나고 있는지 알 수가 없습니다. 루팅된 단말기에 백신을 설치하더라도 악성행위를 방지하는 데에는 무용지물입니다.
두 번째는 정상 앱 스토어라도 의심스러운 앱을 다운로드 받지 않는 것입니다. 사용자 입장에서는 다운로드 받을 앱의 개발자(혹은 판매자)명이 알고 있는 회사명과 일치하는지를 확인할 필요가 있습니다. 공격자는 정상 앱을 리버스 엔지니어링 기법을 이용해 분석한 후, 앱 리패키징 기법을 이용해서 악성 앱을 만들고, 앱 이름 및 앱 이미지 등을 정상 앱과 똑같이 앱 스토어에 등록해 사용자의 설치를 유도합니다. 현재의 앱 스토어 보안 기술에는 개발자명 도용방지 및 개발자 정보 전자서명 기술 등이 사용되고 있어 공격자가 정상 앱과 같은 개발자 정보를 가질 수 없습니다.
세 번째는 단말에 백신 앱을 설치, 다운로드 받은 앱에 대한 악성여부를 검사할 필요가 있습니다. 앱 스토어에는 다양한 앱 검사 기법들이 적용되고 있지만 그 탐지에는 시간 및 기술적 한계가 있기 때문에, 단말에서도 이에 대한 보완의 의미로 백신 앱으로 추가 검사를 하는 것이 좋습니다.
[김대원 한국전자통신연구원(dwkim77@etri.re.kr)]
TNS Infratest Germany(2016.06, google)의 스마트폰 보급률 현황에 따르면 국내 스마트폰 보급률은 성인사용자 기준 91%에 달하고 있습니다. 모바일 보안이 갈수록 중요한 시기입니다. 한국인터넷진흥원(KISA)에서는 스마트폰 10대 안전 수칙을 발표했는데, PC에서의 보안 수칙과 크게 다르지 않습니다.
1. 의심스러운 애플리케이션 다운로드하지 않기
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 발신이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
5. 블루투스 기능 등 무선 인터페이스는 사용 시에만 켜놓기
6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
8. 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
10. 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기
이외에도 미인증 앱 설치 기능 해제나 스마트폰 권한 임의 변경 금지, 인가된 무선 AP만 접근(Free Wi-fi 미사용)하는 등의 주의도 필요합니다. 특히, 개인정보처리자의 업무용 모바일의 경우에는 개인정보의 안전성 확보조치 기준 제5조(접근통제)의 내용에 따라 불법적인 접근 및 침해사고 방지를 위한 방화벽이나 백신 설치, 모바일 기기 비밀번호 설정 등의 보호조치를 하며, 제6조(개인정보의 암호화) 7항에 따라 고유 식별정보를 저장해 관리하는 경우 암호화해 저장해야 합니다.
[문성태 한국정보보호심사원협회 이사(munnt72@hotmail.com)]
모바일 앱을 다운 받을 때 주의사항에 대해 말씀드리겠습니다. 사전에 안드로이드 사용자는 안티바이러스 제품을 설치해야 합니다. 그런 후 플레이스토어, 앱 스토어, MS스토어 등 공식 마켓에서 앱을 다운로드를 받아 사용해야 하며, 블랙마켓 등에서 유통되는 앱 또는 iOS 프로파일 등은 함부로 설치하지 않도록 합니다. 앱을 사용할 때에 사용자의 개인정보, 민감정보, 금융정보를 과다하게 요구하는 경우에는 이를 입력하지 않고, 앱의 정상유무를 해당 기관에 직접 문의한 후, 정상적인 경우에 한해 제공하셔야 합니다. 무엇보다 가장 중요한 것은 관리자 권한 탈취가 발생할 수 있는 루팅이나 탈옥은 절대 해서는 안 됩니다.
[한국산업기술보호협회 중소기업기술지킴센터]
금융기관을 위장한 모바일 앱 등이 발생하고 있기 때문에 설치할 때에는 먼저 다운로드 받은 숫자가 얼마나 되는지 확인하고 평판 댓글도 확인하는 것이 필요합니다. 정상 사이트는 다운로드 받은 횟수가 백만 건 이상이 되는 등 상당히 많은 사람들이 사용하고 있으나, 위장 사이트는 다운로드 받은 숫자가 매우 적습니다. 또한 설치 전에 평판 댓글도 확인하면 정상사이트 여부를 판단하는데 도움이 됩니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
모바일 앱을 통한 금융거래가 많아짐에 따라 이에 대한 공격 또한 증가되고 있는 추세입니다. 특히 모바일의 경우에는 시간과 컴퓨팅 자원에 제약이 있는 모바일 디바이스에 대한 직접적인 공격보다는 사회공학적 기법과 결부된 피싱 혹은 여러 경로를 통해 악의적인 가짜 앱을 설치하도록 유도하는 것이 보다 일반적입니다. 출처가 불분명한 앱의 설치는 가급적 하지 말고, 금융회사로부터 앱 설치에 대한 안내 메일을 받았을 때에는 웹사이트나 금융회사에 직접 사실 여부를 확인하는 것이 보다 안전한 방법입니다. 또한, 금융회사에서도 금융거래를 할 수 있는 중요 앱을 배포할 때에는 시큐어코딩뿐만 아니라, 난독화와 가짜 앱으로부터 금융 트랜잭션이 발생했는지 여부를 확인할 수 있는 모바일 보안 기술 등의 적용이 필요합니다.
[IBM 박형근 실장]
ESM은 보안 시스템을 대상으로 보안위협 발생 시 대처할 수 있도록 모니터링 하는 제품입니다. 원본 로그는 보관하지 않으며, 수집 데이터 또한 1~2개월 내외로 분석하게 됩니다. 통합 로그관리 솔루션은 보안관제 기능보다는 컴플라이언스 준수에 목적이 있습니다. 보안 시스템 외에도 서버, 업무 어플리케이션, 네트워크 등 사내에서 발생하는 모든 로그를 통합 관리하는 제품입니다. 최근에는 수집된 로그를 분석해서 보안 모니터링까지 그 영역을 확장하고 있습니다. 침해사고 시 안전하게 암호화 되어 있는 원본로그를 감사 자료로 제시할 수도 있습니다.
[이너버스(sales@innerbus.com)]
모바일 앱을 다운로드 받을 때에는 공식 앱 스토어를 통하여 다운로드 해야 하며 SMS나 웹사이트를 통한 의심스러운 앱 설치는 하지 않아야 합니다. 또한 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제해야 하며, 스마트폰의 OS는 항상 최신 버전으로 유지합니다. 또한, 신뢰할 수 있는 백신업체의 스마트폰 백신을 설치한 후, 주기적인 악성코드 검사를 해야만 악성 앱 또는 스미싱의 피해를 예방할 수 있습니다.
[지란지교시큐리티]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 모바일 앱을 다운 받을 때 사용자들이 주의할 사항은 다음과 같습니다. 첫 번째는 단말기를 루팅하지 않는 것입니다. 이 경우 신뢰할 수 없는 사이트 방문 시 악성 앱이 자동으로 설치될 수 있고, 정상 앱 스토어가 아닌 사설 앱 스토어를 통한 악성 앱 설치가 가능해집니다. 루팅된 단말기는 겉으로는 사용자에게 정상적인 동작을 하는 것처럼 보이지만, 내부적으로 어떤 악성행위들이 일어나고 있는지 알 수가 없습니다. 루팅된 단말기에 백신을 설치하더라도 악성행위를 방지하는 데에는 무용지물입니다.
두 번째는 정상 앱 스토어라도 의심스러운 앱을 다운로드 받지 않는 것입니다. 사용자 입장에서는 다운로드 받을 앱의 개발자(혹은 판매자)명이 알고 있는 회사명과 일치하는지를 확인할 필요가 있습니다. 공격자는 정상 앱을 리버스 엔지니어링 기법을 이용해 분석한 후, 앱 리패키징 기법을 이용해서 악성 앱을 만들고, 앱 이름 및 앱 이미지 등을 정상 앱과 똑같이 앱 스토어에 등록해 사용자의 설치를 유도합니다. 현재의 앱 스토어 보안 기술에는 개발자명 도용방지 및 개발자 정보 전자서명 기술 등이 사용되고 있어 공격자가 정상 앱과 같은 개발자 정보를 가질 수 없습니다.
세 번째는 단말에 백신 앱을 설치, 다운로드 받은 앱에 대한 악성여부를 검사할 필요가 있습니다. 앱 스토어에는 다양한 앱 검사 기법들이 적용되고 있지만 그 탐지에는 시간 및 기술적 한계가 있기 때문에, 단말에서도 이에 대한 보완의 의미로 백신 앱으로 추가 검사를 하는 것이 좋습니다.
[김대원 한국전자통신연구원(dwkim77@etri.re.kr)]
TNS Infratest Germany(2016.06, google)의 스마트폰 보급률 현황에 따르면 국내 스마트폰 보급률은 성인사용자 기준 91%에 달하고 있습니다. 모바일 보안이 갈수록 중요한 시기입니다. 한국인터넷진흥원(KISA)에서는 스마트폰 10대 안전 수칙을 발표했는데, PC에서의 보안 수칙과 크게 다르지 않습니다.
1. 의심스러운 애플리케이션 다운로드하지 않기
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 발신이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
5. 블루투스 기능 등 무선 인터페이스는 사용 시에만 켜놓기
6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기
7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
8. 백신프로그램을 설치하고 정기적으로 바이러스 검사하기
9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
10. 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기
이외에도 미인증 앱 설치 기능 해제나 스마트폰 권한 임의 변경 금지, 인가된 무선 AP만 접근(Free Wi-fi 미사용)하는 등의 주의도 필요합니다. 특히, 개인정보처리자의 업무용 모바일의 경우에는 개인정보의 안전성 확보조치 기준 제5조(접근통제)의 내용에 따라 불법적인 접근 및 침해사고 방지를 위한 방화벽이나 백신 설치, 모바일 기기 비밀번호 설정 등의 보호조치를 하며, 제6조(개인정보의 암호화) 7항에 따라 고유 식별정보를 저장해 관리하는 경우 암호화해 저장해야 합니다.
[문성태 한국정보보호심사원협회 이사(munnt72@hotmail.com)]
모바일 앱을 다운 받을 때 주의사항에 대해 말씀드리겠습니다. 사전에 안드로이드 사용자는 안티바이러스 제품을 설치해야 합니다. 그런 후 플레이스토어, 앱 스토어, MS스토어 등 공식 마켓에서 앱을 다운로드를 받아 사용해야 하며, 블랙마켓 등에서 유통되는 앱 또는 iOS 프로파일 등은 함부로 설치하지 않도록 합니다. 앱을 사용할 때에 사용자의 개인정보, 민감정보, 금융정보를 과다하게 요구하는 경우에는 이를 입력하지 않고, 앱의 정상유무를 해당 기관에 직접 문의한 후, 정상적인 경우에 한해 제공하셔야 합니다. 무엇보다 가장 중요한 것은 관리자 권한 탈취가 발생할 수 있는 루팅이나 탈옥은 절대 해서는 안 됩니다.
[한국산업기술보호협회 중소기업기술지킴센터]
금융기관을 위장한 모바일 앱 등이 발생하고 있기 때문에 설치할 때에는 먼저 다운로드 받은 숫자가 얼마나 되는지 확인하고 평판 댓글도 확인하는 것이 필요합니다. 정상 사이트는 다운로드 받은 횟수가 백만 건 이상이 되는 등 상당히 많은 사람들이 사용하고 있으나, 위장 사이트는 다운로드 받은 숫자가 매우 적습니다. 또한 설치 전에 평판 댓글도 확인하면 정상사이트 여부를 판단하는데 도움이 됩니다.
[유진호 상명대학교 교수(jyhyoo@smu.ac.kr)]
모바일 앱을 통한 금융거래가 많아짐에 따라 이에 대한 공격 또한 증가되고 있는 추세입니다. 특히 모바일의 경우에는 시간과 컴퓨팅 자원에 제약이 있는 모바일 디바이스에 대한 직접적인 공격보다는 사회공학적 기법과 결부된 피싱 혹은 여러 경로를 통해 악의적인 가짜 앱을 설치하도록 유도하는 것이 보다 일반적입니다. 출처가 불분명한 앱의 설치는 가급적 하지 말고, 금융회사로부터 앱 설치에 대한 안내 메일을 받았을 때에는 웹사이트나 금융회사에 직접 사실 여부를 확인하는 것이 보다 안전한 방법입니다. 또한, 금융회사에서도 금융거래를 할 수 있는 중요 앱을 배포할 때에는 시큐어코딩뿐만 아니라, 난독화와 가짜 앱으로부터 금융 트랜잭션이 발생했는지 여부를 확인할 수 있는 모바일 보안 기술 등의 적용이 필요합니다.
[IBM 박형근 실장]
ESM은 보안 시스템을 대상으로 보안위협 발생 시 대처할 수 있도록 모니터링 하는 제품입니다. 원본 로그는 보관하지 않으며, 수집 데이터 또한 1~2개월 내외로 분석하게 됩니다. 통합 로그관리 솔루션은 보안관제 기능보다는 컴플라이언스 준수에 목적이 있습니다. 보안 시스템 외에도 서버, 업무 어플리케이션, 네트워크 등 사내에서 발생하는 모든 로그를 통합 관리하는 제품입니다. 최근에는 수집된 로그를 분석해서 보안 모니터링까지 그 영역을 확장하고 있습니다. 침해사고 시 안전하게 암호화 되어 있는 원본로그를 감사 자료로 제시할 수도 있습니다.
[이너버스(sales@innerbus.com)]
모바일 앱을 다운로드 받을 때에는 공식 앱 스토어를 통하여 다운로드 해야 하며 SMS나 웹사이트를 통한 의심스러운 앱 설치는 하지 않아야 합니다. 또한 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제해야 하며, 스마트폰의 OS는 항상 최신 버전으로 유지합니다. 또한, 신뢰할 수 있는 백신업체의 스마트폰 백신을 설치한 후, 주기적인 악성코드 검사를 해야만 악성 앱 또는 스미싱의 피해를 예방할 수 있습니다.
[지란지교시큐리티]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
