.gif)
일반 ID와 업무용 ID 구분하는 보안 기능, 사실상 무용지물
사용자들에게 해당 사실을 알려 ‘안드로이드 포 워크’의 의존도 낮춰야
[보안뉴스 문가용 기자] 안드로이드 포 워크(Android for Work)에 저장된 데이터를 위협하는 ‘중간 앱 공격(app-in-the-middle)’이 등장했다. 안드로이드 포 워크는 5.0 롤리팝 버전에서 최초로 도입된 보안 기능으로 갈수록 보편화되고 있는 BYOD 현상을 보다 더 안전하게 만들고자 개발되었다.
.jpg)
안드로이드 포 워크의 원리는 간단하다. 업무용 ID와 일반 ID를 만들어 상황에 맞는 ID로 일을 처리하면 된다. 업무용 앱이나 이메일, 문서 작업 등은 당연히 업무용 ID로 관리하고, 그 외 나머지 일들은 일반 ID로 처리하면 된다. 마치 망을 분리하는 것처럼, 기기 내 사용 권한을 분리하는 것이다. 이 기능을 활용함으로써 회사 내의 같은 업무용 모바일 기기를 여러 사람이 안전하게 사용할 수도 있게 된다.
얼른 생각해도 안전을 위한 구조로 보인다. 업무용 ID에서 했던 문서 작업이나 설치했던 앱은 일반 ID로 접근이 불가능하니 기업의 중요한 데이터 역시 안전하게 보호될 것이기 때문이다. 하지만 안전이란 게 생각만큼 그렇게 간단히 보장되지 않는다. 이번 RSA에서 보안 전문업체인 스카이큐어(Skycure)는 “안드로이드 포 워크의 분리 논리 내에 취약점이 존재한다”고 설명한다.
“이 취약점을 익스플로잇 하기 위한 악성 앱을 중간에 삽입하면 원래는 보이지 않아야 할 데이터나 앱들에 접근할 수 있게 됩니다.” 스카이큐어의 CTO이자 공동 창립자인 예어 아밋(Yair Amit)의 설명이다. “일반용 ID로 특수 제작된 앱을 설치하면 업무용 ID에서 하는 일들이 보이기 시작합니다. 보일 뿐 아니라 일반용 ID로도 업무용 ID에서 할 작업들을 할 수 있게 되고요.”
물론 스카이큐어는 이미 작년 말에 이 취약점에 대해 구글에 알렸고, 구글과 합의된 절차를 통해 이번 RSA의 강연장에 섰다. 둘이 협의한 내용을 발표하고, 구글은 뒤에서 이 오류에 대한 픽스를 개발하고 있다. “안드로이드 포 워크는 분명히 좋은 시스템입니다. 하지만 아직은 저희가 발견한 오류가 있기에, 완전히 신뢰만 할 수는 없는 부분도 있고요. RSA를 통해 이 사실을 공개하는 건, 안드로이드 포 워크의 패치가 곧 뜨니 다들 업데이트를 잊지 말라고 당부하기 위해서입니다.”
이런 공격법을 스카이큐어는 ‘중간자 공격’과 비슷하다고 해서 ‘중간 앱 공격’이라고 부른다. “이 앱은 매우 위험합니다. 기업 입장에서는 직원들의 일반적이고 사적인 ID를 검사할 수가 없습니다. 그러니 이 부분에서 어떤 앱이 설치되는지 알지 못하죠. 여기에서 뭔가 은밀한 일들을 진행해도 속을 수밖에 없습니다. 그 허점을 노린 공격이기도 합니다.”
일단 공격의 시작은 사용자가 악성 앱을 일반 ID로 설치하게끔 유도하는 것이다. 이 앱은 안드로이드에 탑재된 시스템 수준의 허용치를 요구하며 업무용 ID에 접근한다. 스카이큐어는 이 부분에 대해 자세하게 설명하지는 않았다. “익스플로잇 방법을 너무 상세히 공개하면 위험할 수 있기 때문”이다. 다만 이 앱을 설치한 후에는 업무용 이메일을 열람하고 비밀번호를 탈취하는 등 굉장히 민감한 정보들을 훔치는 게 가능해진다는 것을 강조했다.
중간 앱 공격 중 하나는 알림 접근(Notification Access)을 통해서 실행된다. 안드로이드 포 워크의 알림 기능은 개인용 알림 기능과 같은 인터페이스를 가지고 있고, 둘 다 기기 시스템 수준에서 처리되는 기능이기 때문에 업무용 ID와 일반 ID의 중간 다리 역할을 할 수 있게 된다. 비슷한 것으로는 접근 허용(Accessbility Permissions) 공격이 있다.
이런 취약점은 구글이 안드로이드를 ‘업무용 플랫폼’으로 계속해서 미는 흐름에 있어서 치명적으로 작용할 수 있다. “사실상 일반 ID와 업무용 ID를 구분하는 것의 이유가 없어지게 하는 취약점이니까요.” 아밋은 구글에서 해결책을 제시하기 전까지 이런 취약점이 있다는 걸 직원들에게 알려야 한다고 설명한다. “이게 만병통치약이 아니라는 것만 알려줘도 도움이 됩니다. 맹목적인 신뢰를 깨는 것이 보안의 첫 걸음이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
사용자들에게 해당 사실을 알려 ‘안드로이드 포 워크’의 의존도 낮춰야
[보안뉴스 문가용 기자] 안드로이드 포 워크(Android for Work)에 저장된 데이터를 위협하는 ‘중간 앱 공격(app-in-the-middle)’이 등장했다. 안드로이드 포 워크는 5.0 롤리팝 버전에서 최초로 도입된 보안 기능으로 갈수록 보편화되고 있는 BYOD 현상을 보다 더 안전하게 만들고자 개발되었다.
안드로이드 포 워크의 원리는 간단하다. 업무용 ID와 일반 ID를 만들어 상황에 맞는 ID로 일을 처리하면 된다. 업무용 앱이나 이메일, 문서 작업 등은 당연히 업무용 ID로 관리하고, 그 외 나머지 일들은 일반 ID로 처리하면 된다. 마치 망을 분리하는 것처럼, 기기 내 사용 권한을 분리하는 것이다. 이 기능을 활용함으로써 회사 내의 같은 업무용 모바일 기기를 여러 사람이 안전하게 사용할 수도 있게 된다.
얼른 생각해도 안전을 위한 구조로 보인다. 업무용 ID에서 했던 문서 작업이나 설치했던 앱은 일반 ID로 접근이 불가능하니 기업의 중요한 데이터 역시 안전하게 보호될 것이기 때문이다. 하지만 안전이란 게 생각만큼 그렇게 간단히 보장되지 않는다. 이번 RSA에서 보안 전문업체인 스카이큐어(Skycure)는 “안드로이드 포 워크의 분리 논리 내에 취약점이 존재한다”고 설명한다.
“이 취약점을 익스플로잇 하기 위한 악성 앱을 중간에 삽입하면 원래는 보이지 않아야 할 데이터나 앱들에 접근할 수 있게 됩니다.” 스카이큐어의 CTO이자 공동 창립자인 예어 아밋(Yair Amit)의 설명이다. “일반용 ID로 특수 제작된 앱을 설치하면 업무용 ID에서 하는 일들이 보이기 시작합니다. 보일 뿐 아니라 일반용 ID로도 업무용 ID에서 할 작업들을 할 수 있게 되고요.”
물론 스카이큐어는 이미 작년 말에 이 취약점에 대해 구글에 알렸고, 구글과 합의된 절차를 통해 이번 RSA의 강연장에 섰다. 둘이 협의한 내용을 발표하고, 구글은 뒤에서 이 오류에 대한 픽스를 개발하고 있다. “안드로이드 포 워크는 분명히 좋은 시스템입니다. 하지만 아직은 저희가 발견한 오류가 있기에, 완전히 신뢰만 할 수는 없는 부분도 있고요. RSA를 통해 이 사실을 공개하는 건, 안드로이드 포 워크의 패치가 곧 뜨니 다들 업데이트를 잊지 말라고 당부하기 위해서입니다.”
이런 공격법을 스카이큐어는 ‘중간자 공격’과 비슷하다고 해서 ‘중간 앱 공격’이라고 부른다. “이 앱은 매우 위험합니다. 기업 입장에서는 직원들의 일반적이고 사적인 ID를 검사할 수가 없습니다. 그러니 이 부분에서 어떤 앱이 설치되는지 알지 못하죠. 여기에서 뭔가 은밀한 일들을 진행해도 속을 수밖에 없습니다. 그 허점을 노린 공격이기도 합니다.”
일단 공격의 시작은 사용자가 악성 앱을 일반 ID로 설치하게끔 유도하는 것이다. 이 앱은 안드로이드에 탑재된 시스템 수준의 허용치를 요구하며 업무용 ID에 접근한다. 스카이큐어는 이 부분에 대해 자세하게 설명하지는 않았다. “익스플로잇 방법을 너무 상세히 공개하면 위험할 수 있기 때문”이다. 다만 이 앱을 설치한 후에는 업무용 이메일을 열람하고 비밀번호를 탈취하는 등 굉장히 민감한 정보들을 훔치는 게 가능해진다는 것을 강조했다.
중간 앱 공격 중 하나는 알림 접근(Notification Access)을 통해서 실행된다. 안드로이드 포 워크의 알림 기능은 개인용 알림 기능과 같은 인터페이스를 가지고 있고, 둘 다 기기 시스템 수준에서 처리되는 기능이기 때문에 업무용 ID와 일반 ID의 중간 다리 역할을 할 수 있게 된다. 비슷한 것으로는 접근 허용(Accessbility Permissions) 공격이 있다.
이런 취약점은 구글이 안드로이드를 ‘업무용 플랫폼’으로 계속해서 미는 흐름에 있어서 치명적으로 작용할 수 있다. “사실상 일반 ID와 업무용 ID를 구분하는 것의 이유가 없어지게 하는 취약점이니까요.” 아밋은 구글에서 해결책을 제시하기 전까지 이런 취약점이 있다는 걸 직원들에게 알려야 한다고 설명한다. “이게 만병통치약이 아니라는 것만 알려줘도 도움이 됩니다. 맹목적인 신뢰를 깨는 것이 보안의 첫 걸음이죠.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
