2024-03-29 01:00 (금)
모바일 금융앱, 전자상거래앱, 의료앱 상당수 해킹당해
상태바
모바일 금융앱, 전자상거래앱, 의료앱 상당수 해킹당해
  • 길민권
  • 승인 2015.01.05 12:11
이 기사를 공유합니다

악산, 모바일 앱 보안의 현 주소 보고서 발표…모바일 앱 보안대책 마련 시급
상위 100개의 안드로이드 유료 앱 중 97%가, Apple iOS 유료 앱 중 87%가 해킹을 당한 사실이 있는 것으로 조사돼 모바일 앱에 대한 보안대책이 필요한 시점이다.
 
또한 작년과 마찬가지로 인기 무료 앱에 대한 해킹 증가와 함께 안드로이드 앱의 경우 금융 서비스 및 의료용, 상거래 앱 등 폭넓은 앱의 해킹 사례가 발견돼 대책 마련이 시급하다.
 
애플리케이션 보안 솔루션 제공 업체인 악산(Arxan Technologies-Bethesda)은 이번 발표한 ‘모바일 앱 보안의 현 주소 보고서’에서 두 가지 주요 모바일 플랫폼인 iOS와 안드로이드에서 앱 해킹에 대한 전년도 지표 값을 업데이트한 것으로써, 이러한 앱 해킹 증가에 대한 조사 결과에 따라 최근 전 세계적으로 모바일 애플리케이션 사용이 급증하고 있음에 특히 주목해야 할 필요성이 있다고 말한다.
 
또한 2017년 무료 앱의 다운로드 수는 99% 증가한 2조 530억 개, 유료 앱은 약 33% 증가한 150억 개에 다다를 전망인데, 이는 시장 점유율의 85%를 차지하고 있는 안드로이드 모바일 운영 체제에서 실행하는 앱에서 해킹 시도가 계속해서 증가할 것이라고 예상했다. 
 
이러한 점을 근거로, 본 보고서는 최근 와이어럴커(WireLurker) 및 마스크 어택(Masque Attack) 등을 통해 모바일 애플리케이션이 여러 차례 공격 당한 이후, 자체 보호를 포함하는 모바일 애플리케이션의 필요성을 더욱 강조하고 있다.

 
이번 2014년 보고서의 주요 조사 결과는 다음과 같다.
◇상위 100개의 유료 및 무료 앱에 대한 해킹이 빈번하게 발생하고 있다. 안드로이드 유료 앱 상위 100개 중 97%, iOS 유료 앱 상위 100개 중 87%가 해킹을 당했다. 조사를 통해 나타난 안드로이드 앱을 향한 높은 해킹 비율은 전년도 결과와 일치한다. iOS 앱에 대한 해킹 비율 또한 전년도 56%와 비교했을 때 급격한 증가를 보인다. 
 
인기 무료 안드로이드 앱은 80%, 인기 무료 iOS 앱은 75%가 해킹 당했다. 인기 iOS 앱의 해킹 비율은 지난 3년 이상 동안 계속 증가해 왔다.
 
◇모바일 앱을 대상으로 업계 전반에 걸쳐 고 위험 앱 해킹이 증가하고 있다.
모바일 금융 앱은 여전히 위험한 상황에 놓여 있다. iOS 금융 앱의 70%가 해킹을 당했고, 안드로이드 금융 앱의 95%가 크래킹 되었다. 이는 안드로이드의 약 80% 증가와 함께 두 경우에서 모두 증가한 비율이다.
 
상거래 앱 중 안드로이드는 90%, iOS는 35%가 위험한 상황에 놓여 있다. 해커들은 B2C 상거래 앱인 모바일 결제/지갑 서비스와 B2B 상거래 앱인POS(Point-of-Sale)의 성장을 타깃으로 삼고 있다. 현재 민감한 데이터, 개인정보 및 금융 거래내역은 모두 위험한 상태이다.
 
안드로이드 의료용 앱의 90%가 해킹을 당했으며, 그 중 22%는 FDA 승인을 받은 앱이다.
 
가트너의 애플리케이션 보안 분석가인 조셉 페이먼(Joseph Feiman)과 같은 업계 리더들은 애플리케이션을 보호하기 위해 위험 요인에 대한 사전 대응 조치를 마련하고 있다.  그는 최근 매버릭(Maverick) 보고서에서 CISO(최고정보보호책임자)들에게 “새로운 투자 부문으로 IT 인프라에 대한 보호보다는 애플리케이션의 자체 보호에 우선순위를 두도록 해야 한다.”며,  “RASP(런타임 애플리케이션 자체 보호)는 애플리케이션 런타임 환경에 보호 기능을 추가해 자체적으로 애플리케이션을 보호하도록 설계되어 있다”고 조언하고 있다.
 
이 보고서는 위와 같은 보안 리더들을 지지하면서 모바일 애플리케이션의 보안 향상을 위한 주요 권장사항에 대해 다룬다.
 
또 보고서는 다음 사항을 강력히 권장하고 있다.
◇모바일 플랫폼에서 실행 중인 고위험 프로필을 가진 애플리케이션은 런타임에서 보안 위협을 감지하여 자체적으로 방어하고 부정 조작을 방지할 수 있어야 한다.
 
◇모든 애플리케이션은 해당 애플리케이션 및 코드의 신뢰성이 유지되도록 개발해야 한다.
 
◇모바일 지갑/결제 앱(예: 호스트 카드 에뮬레이션 소프트웨어)의 활성화에 사용되는 소프트웨어는 안전한 암호화 및 앱 강화를 통해 보호되어야 한다.
 
◇기업들은 기존 앱이 모바일 환경에서 위험 요인에 노출된 경우 모바일 앱 보안 평가를 고려해야 한다. 또한 모바일 애플리케이션 개발 수명주기의 일환으로, 기업들은 여러 테스트들 가운데 비보호 바이너리 코드에서 발생할 수 있는 리버스엔지니어링 및 악용, 변조에 대한 취약성을 평가하는 침투 테스트를 수행해야 한다.
 
이번 보고서와 이를 뒷받침하는 인포그래픽은 현재 악산의 국내 총판사인 엔시큐어 홈페이지(대표 문성준 www.ensecure.co.kr)에서 무료로 다운로드 받을 수 있다. 또 데일리시큐 자료실에서도 다운로드 가능하다. 이 결과는 각 플렛폼의 상위 100개의 유료 앱을 포함하여 인기 무료 앱 20개, 금융 서비스 및 상거래, 의료앱 20개씩, 총 360개의 앱에 대한 분석을 기초로 했다.
 
악산의 기술 디렉터인 조나단 카터(Jonathan Carter)는 “보다 향상된 모바일 애플리케이션 보안을 실현하는 일은 악산의 연구와 개발 동기에 있어 최우선적인 과제다,” 라고 말하며 “악산은 역동적인 공격을 하는 해커와의 전장에서 고객을 보호 하기 위해 최신의 위협을 기반으로 강력한 애플리케이션 보안 혁신을 지속적으로 실현하고 있다”고 밝혔다.
 
한편, 엔시큐어는 악산의 국내 총판 파트너사로써 애플리케이션 위변조 방지 솔루션인 가드 잇(GuardIT), 인슈어 잇(EnsureIT) 솔루션을 제공하고 있으며, 국내 게임, 금융, 제조 등 다양한 고객을 확보하고 있다.
 
악산은 강력한 애플리케이션 보호 솔루션을 제공하고 있는 글로벌 기업이다. 악산의 기술은 공격에 대해 애플리케이션을 방어하고, 공격이 발생할 경우를 감지하며, 경보 및 복구 프로그램으로 감지된 공격에 대응하는 데 사용된다.
 
또 악산은 사물인터넷(IOT)의 일부로 연결된 것을 포함해 모바일 기기, 데스크탑, 서버 및 내장형 플랫폼을 실행하는 소프트웨어를 위한 솔루션을 제공하며 금융 서비스, 첨단 기술/독립 소프트웨어 공급업체(ISV), 제조업, 헬스케어, 디지털 미디어, 게임 등 다양한 업계에 걸쳐 현재는 3억개 이상의 장치에서 실행하는 애플리케이션을 보호하고 있다. 악산의 본사 및 엔지니어 영업은 EMEA 및 APAC에 있는 전 세계 사무소와 함께 미국을 기반으로 한다.
 
엔시큐어는 국내 애플리케이션 보안 분야 전문 기업으로, 2008년 창립 이후 지속적으로 양질의 정보보안 솔루션 및 컨설팅 서비스를 제공하고 있다. 특히 엔시큐어만의 기술력 및 시스템 구축 노하우, 정보보호 컨설팅 능력을 기반으로 ‘시큐어코딩 통합관리 솔루션’, ‘일체형 통합계정권한관리 시스템’, ‘정보보안 이러닝 서비스’ 등 보다 더 나은 솔루션 및 서비스를 제공하기 위해 노력하고 있다. 한편 국내 주요 금융 및 제조, 유통, 게임 등 다양한 레퍼런스를 보유하고 있다. 또한 악산의 국내 총판을 담당하고 있다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★