2017.08.04

모바일 기기를 공격하는 5대 신종 위협

Stacy Collett | CSO
사이버 범죄자들은 신형 무기와 구형 무기의 변종을 동원해 모바일 기기에 대한 공격을 강화하고 있다.

10년 전만 해도 모바일 악성코드는 있을 법하지 않은 신종 위협으로 간주됐다. 이런 위협으로부터 자신은 안전하다고 여기는 모바일 기기 사용자들도 많았다. 시간이 흘러 2017년이 된 지금 총 1,600만 건이 넘는 모바일 악성코드 사례 가운데 맥아피 연구소(McAfee Labs)에서 올해 1분기에만 발견한 신종 사례가 150만 건이 넘는다.

오늘날 모바일 기기에 대한 공격은 증가 일로에 있으며 누구도 안전하지 않다. 체크 포인트 소프트웨어(Check Point Software)의 디멘셔널 리서치(Dimensional Research)에서 실시한 설문 조사에서 모바일 기기 침해를 겪은 적이 있다고 응답한 회사의 비율은 20%에 달했다.

응답자 가운데 1/4은 공격을 겪었는지 여부조차 몰랐다. 거의 모든 응답자(94 %)가 모바일 공격의 빈도가 증가할 것으로 예상했으며, 79%는 모바일 기기를 안전하게 보호하는 것이 점점 어려워지고 있음을 인정했다.

체크 포인트의 모바일 위협 연구원 대니얼 파돈(Daniel Padon)은 "모바일 위협으로 입을 수 있는 타격에 대해 기업들의 인식이 점점 커지기 시작하고 있다"고 전제하고, "굴리건(Gooligan), 허밍배드(Hummingbad)와 같이 수많은 기기에 피해를 입히는 국가 수준의 실질적인 대규모 악성코드 공격과 이런 악성코드의 능력은 빙산의 일각에 불과하다"고 덧붙였다.

애플(Apple) 및 안드로이드(Android) 운영체제의 보안이 강화된 반면, 더욱 교묘하게 사용자를 현혹하는 신종 악성코드 역시 끊임없이 쏟아지고 있다. 게다가, 앱 설계 시 보안은 여전히 최우선 순위에서 밀려나 있다. 사용자로 하여금 인증 정보를 보이는 곳에 또는 약하게 암호화해서 저장하거나 전달할 수 있게 허용하는 앱들도 있다.

영국 보안업체 소포스(Sophos)의 수석 보안 고문 존 쉬어는 "아직 계속되고 있는 이런 관행은 당장 멈춰야 한다"고 강조했다. 앞서 설명한 약점을 파고든다면 직장 내 어디에서나 모바일 기기가 있고 직원이 개인 소유 기기를 가져와 업무를 볼 수 있게 하는 정책이 확산되고 있는 현 상황에서 기업은 모바일 공격에 안성맞춤이 된다.

포레스터(Forrester)의 연간 보안 설문조사에 따르면, 오늘날 정보직 종사자 가운데 개인 소유 노트북 사용 비율은 절반에 가까우며 개인 소유 스마트폰 사용 비율은 68%, 개인 소유 태블릿을 직장에 가져오는 비율은 69%에 달한다.

포레스터 수석 분석가 크리스 셔먼은 "당연히 위험성이 큰 상황이다. 개인 기기에 저장된 고객 정보, 지적 재산, 계약서, 경쟁 자료 및 청구서 등의 온갖 기업 자료를 들여다보고 있을 때 특히 위험하다. 기업 네트워크 자체가 무단 접속에 노출되는 위험성은 말할 것도 없다"고 경고했다.

모바일 위협 연구원들이 밝힌, 기업에 타격을 입힐 수 있는 5대 신종 모바일 기기 보안 위협은 다음과 같다.

1. 끈질긴 엔터프라이즈급 스파이웨어
직원들은 모바일 기기를 항상 가까이 두고 일상의 거의 모든 부분에서 사용한다. 국가를 상대로 하는 악성 행위자들은 이처럼 기업 네트워크 접속과 음성 활성화, GPS 추적이 가능한 점을 노려 모바일 기기를 스파이웨어(spyware)로 감염시키기 위해 혈안이 되어 있다. 스파이웨어 감염 전술은 iOS 기기와 안드로이드 기기에 모두 성공적인 것으로 판명되었다.

지난 8월 등장해 아이패드(iPad)나 아이폰(iPhone)이라면 가리지 않고 해킹해 해당 기기 사용자에 대한 데이터 수집과 감시를 자행하던 페가수스(Pegasus) 스파이웨어는 시작에 불과했다. iOS 제로데이(zero-day) 취약점 3종도 발견됐다. 이 취약점의 악용으로 일어난 연쇄 공격은 애플의 강력한 보안 환경조차 무너뜨렸다. 신속히 대처에 나선 애플은 9.3.5 패치에서 트라이던트(Trident) iOS 취약점 3종 전부를 해결했다.

2017년 4월이 되자 악성코드 공격이 재개됐다. 이번에는 안드로이드용 버전의 페가수스 스파이웨어였다. 정상 앱 다운로드로 가장해 침투한 뒤 기기에 대한 최고권한을 몰래 획득함으로써 장기간에 걸쳐 해당 기기 사용자를 광범위하게 감시하는 것이 목적이다.

보안 조치 강화에 나선 구글(Google)은 플레이 스토어(Play Store) 내부에 플레이 프로텍트(Play Protect) 보안 기능을 포함시켰다.
쉬어는 "국가를 상대로 하는 악성 행위자가 어떤 기업에 침투하고자 할 때 한 가지 가능한 방법은 해당 기업 내부로 들어가는 것이 확실한 모바일 기기에 침투하는 것"이라고 설명했다. 또한, "아직도 어떤 기업들은 자사의 모바일 기기를 가치가 더 큰 다른 기기들과 함께 기업 네트워크에 존재하도록 허용하고 있다"고 지적했다.

2. 모바일 봇넷
신종 악성코드에 감염되면 수많은 모바일 기기가 순식간에 봇넷으로 변해 주인도 모르게 해커들에게 조종당한다. 안드로이드 기기를 겨냥한 최초의 모바일 봇넷은 바이킹 군단(Viking Horde)으로 명명되었다. 이들이 모습을 드러낸 것은 불과 1년 전이었다. 바이킹 군단은 루팅 여부와 관계 없이 모든 기기에 봇넷을 만든 다음 프록시 IP주소로 광고 클릭을 위장해 수익을 올린다.

그 이후 10개가 넘는 모바일 봇넷이 추가로 확인됐다. 이 가운데에는 2016년 중반 1,000만 개 이상의 안드로이드 운영체제를 감염시킨 허밍배드(Hummingbad)도 있다. 사용자가 모르는 사이에 사용자 정보를 팔아 넘기고 광고를 붙여 부정한 광고 수익을 올리는 방식이다.



파돈은 "처음에는 애드웨어 목적으로 사용되던 것이 이제는 기기 수백만 대를 루팅하고 있는 것을 확인했다. 악성코드가 감염된 기기의 뒷문을 열어주는 것이다. 이는 민감한 자료 탈취를 비롯한 그 어떤 목적에도 사용될 위험성이 있다"고 경고했다.

모바일 기기의 대역폭과 계선 처리량은 데스크톱 컴퓨터 수준에 미치지 못하지만 봇넷 기능은 계산 능력이 크지 않아도 위협이 될 수 있다. 게다가 모바일 기기는 대부분 항상 켜져 있다. 따라서 봇넷 보유자는 다수의 잠재적 좀비 봇들에게 24시간 접속 가능하다.

3. 광고 클릭 사기
모바일 기기의 광고 클릭 사기는 점점 더 심각해지고 있다. 쉬어의 설명에 따르면, "광고 클릭 악성코드를 통해 모바일 기기에 침투하면 회사 내부 네트워크에 손쉽게 접속할 수 있다. 이를테면 SMS 피시(phish)를 보내서 누군가 링크를 클릭해 악성 앱이 다운로드 되도록 유도하는 것이다. 그러면 폰 안에 침투해 조종 가능한 상태가 되므로 인증 정보를 훔쳐내서 내부 네트워크에 접속할 수 있게 된다."

섬뜩한 부분은 시작은 애드웨어이지만 마음만 먹으면 쉽게 전체 봇넷에게 스파이웨어를 전파할 수 있다는 점이다. 파돈은 "그러면 사용자의 일거수 일투족을 기록하는 1,000만 대의 기기가 생기게 된다. 앱을 단순히 클릭하는 것만으로도 치명적인 결과를 낳는다"고 설명했다.

4. IoT
맥아피의 모바일 악성코드 연구 수석 관리자 얼판 아스라는 "사물인터넷(IoT) 악성코드는 아직 초기 단계에 있지만 곧 변화가 예상된다"고 밝혔다. 아스라는 "현존하는 IoT 악성코드들은 겨우 10개이며 그 가운데 대부분은 동일한 코드 기반의 변종에 불과하다. 그러나 지하 세계에서 모바일 악성코드 키트 판매와 IoT 분야로의 이동 조짐이 포착되고 있다"고 전했다.

여러 IoT 기기들은 주로 스마트폰에 연결되어 있으며 모바일 건물 출입이나 검문소 통과와 같은 기능이 스마트폰에 의해 구성되고 있다.
아스라는 "이들의 공격 목표는 특정 장소에 도착하는 것에 집중되어 있다"며, "이들은 수단을 가리지 않는다. 저항이 가장 약한 것을 노릴 뿐이다. 현재 보안 대책이 거의 마련되어 있지 않은 곳이 바로 IoT 분야다. 기기 제조업체가 표준을 따르기 시작한 것은 이제 얼마 되지 않았다"고 말했다.

5. 죽은 앱
직원들은 자신들의 모바일 앱 상태를 주기적으로 확인한 다음 업데이트하거나 구글이나 애플 스토어에서 더 이상 지원되지 않는다면 삭제해야 한다. 양대 운영체제의 보안팀은 그 수를 밝히지 않은 앱을 점점 더 많이 자사 스토어에서 조용히 제거해 왔다. 그러나 제거한 앱의 목록이나 제거 이유는 공개하지 않았다. 악성코드 문제, 저작권 침해, 제삼자에게 데이터를 유출하는 앱의 발견 등이 제거 이유가 될 수 있다.

아스라는 투명성 부족이 기업에 타격을 입힐 수 있다고 지적했다. 기업 네트워크가 침투당하면 더 민감한 데이터가 위험에 처할 수 있기 때문이다. 아스라는 "특히 안드로이드 기기 사용자라면 스토어에서 제거된 앱이 적어도 몇 개는 있을 것이다. 기기에는 여전히 남아있지만 더 이상 사용하지 않는 것이 좋다"라고 덧붙였다.

기업들은 어떻게 해야 하는가?
파돈은 "모바일 네트워크는 매우 파편화되어 있기 때문에 전체를 보호하는 것은 매우 어렵다"고 지적했다.

파돈은 모든 모바일 기기에 보안 소프트웨어 설치를 의무화할 것을 권장했다. "캔디 크러시(Candy Crush) 앱에서 간단한 업데이트가 다운로드되는 것까지는 좋지만 업데이트 다운로드 후 악성 활동이 시작된다면 이야기가 완전히 달라진다. 구글과 애플이 통제할 수 없는 부분이 바로 이 부분이다"고 덧붙였다.

사용자 행동 인식 제고와 훈련 역시 위협과 더불어 진화해야 한다고 모바일 연구원들은 입을 모은다. 쉬어는 "네트워크에 접근권이 있는 모든 기기에 가시성을 확보하고 암호화를 적용해 위험을 경감하는 것이 핵심"이라고 덧붙였다. editor@itworld.co.kr
 

2017.08.04

모바일 기기를 공격하는 5대 신종 위협

Stacy Collett | CSO
사이버 범죄자들은 신형 무기와 구형 무기의 변종을 동원해 모바일 기기에 대한 공격을 강화하고 있다.

10년 전만 해도 모바일 악성코드는 있을 법하지 않은 신종 위협으로 간주됐다. 이런 위협으로부터 자신은 안전하다고 여기는 모바일 기기 사용자들도 많았다. 시간이 흘러 2017년이 된 지금 총 1,600만 건이 넘는 모바일 악성코드 사례 가운데 맥아피 연구소(McAfee Labs)에서 올해 1분기에만 발견한 신종 사례가 150만 건이 넘는다.

오늘날 모바일 기기에 대한 공격은 증가 일로에 있으며 누구도 안전하지 않다. 체크 포인트 소프트웨어(Check Point Software)의 디멘셔널 리서치(Dimensional Research)에서 실시한 설문 조사에서 모바일 기기 침해를 겪은 적이 있다고 응답한 회사의 비율은 20%에 달했다.

응답자 가운데 1/4은 공격을 겪었는지 여부조차 몰랐다. 거의 모든 응답자(94 %)가 모바일 공격의 빈도가 증가할 것으로 예상했으며, 79%는 모바일 기기를 안전하게 보호하는 것이 점점 어려워지고 있음을 인정했다.

체크 포인트의 모바일 위협 연구원 대니얼 파돈(Daniel Padon)은 "모바일 위협으로 입을 수 있는 타격에 대해 기업들의 인식이 점점 커지기 시작하고 있다"고 전제하고, "굴리건(Gooligan), 허밍배드(Hummingbad)와 같이 수많은 기기에 피해를 입히는 국가 수준의 실질적인 대규모 악성코드 공격과 이런 악성코드의 능력은 빙산의 일각에 불과하다"고 덧붙였다.

애플(Apple) 및 안드로이드(Android) 운영체제의 보안이 강화된 반면, 더욱 교묘하게 사용자를 현혹하는 신종 악성코드 역시 끊임없이 쏟아지고 있다. 게다가, 앱 설계 시 보안은 여전히 최우선 순위에서 밀려나 있다. 사용자로 하여금 인증 정보를 보이는 곳에 또는 약하게 암호화해서 저장하거나 전달할 수 있게 허용하는 앱들도 있다.

영국 보안업체 소포스(Sophos)의 수석 보안 고문 존 쉬어는 "아직 계속되고 있는 이런 관행은 당장 멈춰야 한다"고 강조했다. 앞서 설명한 약점을 파고든다면 직장 내 어디에서나 모바일 기기가 있고 직원이 개인 소유 기기를 가져와 업무를 볼 수 있게 하는 정책이 확산되고 있는 현 상황에서 기업은 모바일 공격에 안성맞춤이 된다.

포레스터(Forrester)의 연간 보안 설문조사에 따르면, 오늘날 정보직 종사자 가운데 개인 소유 노트북 사용 비율은 절반에 가까우며 개인 소유 스마트폰 사용 비율은 68%, 개인 소유 태블릿을 직장에 가져오는 비율은 69%에 달한다.

포레스터 수석 분석가 크리스 셔먼은 "당연히 위험성이 큰 상황이다. 개인 기기에 저장된 고객 정보, 지적 재산, 계약서, 경쟁 자료 및 청구서 등의 온갖 기업 자료를 들여다보고 있을 때 특히 위험하다. 기업 네트워크 자체가 무단 접속에 노출되는 위험성은 말할 것도 없다"고 경고했다.

모바일 위협 연구원들이 밝힌, 기업에 타격을 입힐 수 있는 5대 신종 모바일 기기 보안 위협은 다음과 같다.

1. 끈질긴 엔터프라이즈급 스파이웨어
직원들은 모바일 기기를 항상 가까이 두고 일상의 거의 모든 부분에서 사용한다. 국가를 상대로 하는 악성 행위자들은 이처럼 기업 네트워크 접속과 음성 활성화, GPS 추적이 가능한 점을 노려 모바일 기기를 스파이웨어(spyware)로 감염시키기 위해 혈안이 되어 있다. 스파이웨어 감염 전술은 iOS 기기와 안드로이드 기기에 모두 성공적인 것으로 판명되었다.

지난 8월 등장해 아이패드(iPad)나 아이폰(iPhone)이라면 가리지 않고 해킹해 해당 기기 사용자에 대한 데이터 수집과 감시를 자행하던 페가수스(Pegasus) 스파이웨어는 시작에 불과했다. iOS 제로데이(zero-day) 취약점 3종도 발견됐다. 이 취약점의 악용으로 일어난 연쇄 공격은 애플의 강력한 보안 환경조차 무너뜨렸다. 신속히 대처에 나선 애플은 9.3.5 패치에서 트라이던트(Trident) iOS 취약점 3종 전부를 해결했다.

2017년 4월이 되자 악성코드 공격이 재개됐다. 이번에는 안드로이드용 버전의 페가수스 스파이웨어였다. 정상 앱 다운로드로 가장해 침투한 뒤 기기에 대한 최고권한을 몰래 획득함으로써 장기간에 걸쳐 해당 기기 사용자를 광범위하게 감시하는 것이 목적이다.

보안 조치 강화에 나선 구글(Google)은 플레이 스토어(Play Store) 내부에 플레이 프로텍트(Play Protect) 보안 기능을 포함시켰다.
쉬어는 "국가를 상대로 하는 악성 행위자가 어떤 기업에 침투하고자 할 때 한 가지 가능한 방법은 해당 기업 내부로 들어가는 것이 확실한 모바일 기기에 침투하는 것"이라고 설명했다. 또한, "아직도 어떤 기업들은 자사의 모바일 기기를 가치가 더 큰 다른 기기들과 함께 기업 네트워크에 존재하도록 허용하고 있다"고 지적했다.

2. 모바일 봇넷
신종 악성코드에 감염되면 수많은 모바일 기기가 순식간에 봇넷으로 변해 주인도 모르게 해커들에게 조종당한다. 안드로이드 기기를 겨냥한 최초의 모바일 봇넷은 바이킹 군단(Viking Horde)으로 명명되었다. 이들이 모습을 드러낸 것은 불과 1년 전이었다. 바이킹 군단은 루팅 여부와 관계 없이 모든 기기에 봇넷을 만든 다음 프록시 IP주소로 광고 클릭을 위장해 수익을 올린다.

그 이후 10개가 넘는 모바일 봇넷이 추가로 확인됐다. 이 가운데에는 2016년 중반 1,000만 개 이상의 안드로이드 운영체제를 감염시킨 허밍배드(Hummingbad)도 있다. 사용자가 모르는 사이에 사용자 정보를 팔아 넘기고 광고를 붙여 부정한 광고 수익을 올리는 방식이다.



파돈은 "처음에는 애드웨어 목적으로 사용되던 것이 이제는 기기 수백만 대를 루팅하고 있는 것을 확인했다. 악성코드가 감염된 기기의 뒷문을 열어주는 것이다. 이는 민감한 자료 탈취를 비롯한 그 어떤 목적에도 사용될 위험성이 있다"고 경고했다.

모바일 기기의 대역폭과 계선 처리량은 데스크톱 컴퓨터 수준에 미치지 못하지만 봇넷 기능은 계산 능력이 크지 않아도 위협이 될 수 있다. 게다가 모바일 기기는 대부분 항상 켜져 있다. 따라서 봇넷 보유자는 다수의 잠재적 좀비 봇들에게 24시간 접속 가능하다.

3. 광고 클릭 사기
모바일 기기의 광고 클릭 사기는 점점 더 심각해지고 있다. 쉬어의 설명에 따르면, "광고 클릭 악성코드를 통해 모바일 기기에 침투하면 회사 내부 네트워크에 손쉽게 접속할 수 있다. 이를테면 SMS 피시(phish)를 보내서 누군가 링크를 클릭해 악성 앱이 다운로드 되도록 유도하는 것이다. 그러면 폰 안에 침투해 조종 가능한 상태가 되므로 인증 정보를 훔쳐내서 내부 네트워크에 접속할 수 있게 된다."

섬뜩한 부분은 시작은 애드웨어이지만 마음만 먹으면 쉽게 전체 봇넷에게 스파이웨어를 전파할 수 있다는 점이다. 파돈은 "그러면 사용자의 일거수 일투족을 기록하는 1,000만 대의 기기가 생기게 된다. 앱을 단순히 클릭하는 것만으로도 치명적인 결과를 낳는다"고 설명했다.

4. IoT
맥아피의 모바일 악성코드 연구 수석 관리자 얼판 아스라는 "사물인터넷(IoT) 악성코드는 아직 초기 단계에 있지만 곧 변화가 예상된다"고 밝혔다. 아스라는 "현존하는 IoT 악성코드들은 겨우 10개이며 그 가운데 대부분은 동일한 코드 기반의 변종에 불과하다. 그러나 지하 세계에서 모바일 악성코드 키트 판매와 IoT 분야로의 이동 조짐이 포착되고 있다"고 전했다.

여러 IoT 기기들은 주로 스마트폰에 연결되어 있으며 모바일 건물 출입이나 검문소 통과와 같은 기능이 스마트폰에 의해 구성되고 있다.
아스라는 "이들의 공격 목표는 특정 장소에 도착하는 것에 집중되어 있다"며, "이들은 수단을 가리지 않는다. 저항이 가장 약한 것을 노릴 뿐이다. 현재 보안 대책이 거의 마련되어 있지 않은 곳이 바로 IoT 분야다. 기기 제조업체가 표준을 따르기 시작한 것은 이제 얼마 되지 않았다"고 말했다.

5. 죽은 앱
직원들은 자신들의 모바일 앱 상태를 주기적으로 확인한 다음 업데이트하거나 구글이나 애플 스토어에서 더 이상 지원되지 않는다면 삭제해야 한다. 양대 운영체제의 보안팀은 그 수를 밝히지 않은 앱을 점점 더 많이 자사 스토어에서 조용히 제거해 왔다. 그러나 제거한 앱의 목록이나 제거 이유는 공개하지 않았다. 악성코드 문제, 저작권 침해, 제삼자에게 데이터를 유출하는 앱의 발견 등이 제거 이유가 될 수 있다.

아스라는 투명성 부족이 기업에 타격을 입힐 수 있다고 지적했다. 기업 네트워크가 침투당하면 더 민감한 데이터가 위험에 처할 수 있기 때문이다. 아스라는 "특히 안드로이드 기기 사용자라면 스토어에서 제거된 앱이 적어도 몇 개는 있을 것이다. 기기에는 여전히 남아있지만 더 이상 사용하지 않는 것이 좋다"라고 덧붙였다.

기업들은 어떻게 해야 하는가?
파돈은 "모바일 네트워크는 매우 파편화되어 있기 때문에 전체를 보호하는 것은 매우 어렵다"고 지적했다.

파돈은 모든 모바일 기기에 보안 소프트웨어 설치를 의무화할 것을 권장했다. "캔디 크러시(Candy Crush) 앱에서 간단한 업데이트가 다운로드되는 것까지는 좋지만 업데이트 다운로드 후 악성 활동이 시작된다면 이야기가 완전히 달라진다. 구글과 애플이 통제할 수 없는 부분이 바로 이 부분이다"고 덧붙였다.

사용자 행동 인식 제고와 훈련 역시 위협과 더불어 진화해야 한다고 모바일 연구원들은 입을 모은다. 쉬어는 "네트워크에 접근권이 있는 모든 기기에 가시성을 확보하고 암호화를 적용해 위험을 경감하는 것이 핵심"이라고 덧붙였다. editor@itworld.co.kr
 

X