2018.01.09

2018년에 주의해야 할 5대 모바일 보안 위협

JR Raphael | CSO
모바일 보안은 요즘 모든 기업들이 가장 걱정하는 문제다. 그럴만한 타당한 이유가 있다. 거의 모든 직원들이 이제 스마트폰으로 기업 데이터에 주기적으로 접근하기 때문이다. 이는 민감한 정보가 엉뚱한 사람의 손에 넘어가지 않게 하는 것이 점점 어려워진다는 것을 의미한다.

손실의 위험이 그 어느 때보다 크다. 포네몬 연구소(Ponemon Institute) 2016년 보고서에 따르면, 기업 데이터 침해에 따른 평균 비용은 '하루에' 2만 1,155달러라고 한다. 

세상을 떠들썩하게 하는 악성코드 문제에 초점을 맞추기 쉽지만 사실 현실에서 모바일 악성코드 감염은 믿어지지 않을 정도로 드물다. 한 통계 자료에 따르면, 모바일 악성코드에 감염될 확률은 벼락맞을 확률보다 훨씬 낮다. 이는 모바일 악성코드의 속성 덕분이며 모바일 운영체제 내에 구축된 고유한 보호 기능 덕분이기도 하다.


Credit: Getty Images Bank 

좀 더 현실적인 모바일 보안 위험은 간과하기 쉬운 부분에 있다. 다음에 언급하는 것들은 올해 전부 더욱 시급한 문제가 될 것으로 예상된다.

1. 데이터 유출
로봇 비뇨기과 의사의 진단처럼 들릴지 모르지만 데이터 유출은 2018년에 가장 우려되는 기업 보안 위협 가운데 하나로 널리 인식되고 있다. 이 문제가 특히 짜증나는 이유는 악의적인 성격인 경우는 별로 없고 사용자들이 정보 동의 표시와 전송에 사용할 앱을 부주의하게 잘못 선택해 발생하기 때문이다.

가트너(Gartner)의 모바일 보안 연구 책임자 디오니시오 주멀은 "주요 과제는 앱 검사 프로세스를 이행하는 데 있어 관리자에게 부담을 주지 않고 사용자에게 불만이 생기지 않게 하는 것"이라고 말했다. 주멀은 모바일 위협 방어(MTD) 솔루션 활용을 추천했다. 예를 들면 시만텍(Symantec)의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS 프로텍션(zIPS Protection)과 같은 제품들이다.

주멀의 설명에 따르면, 이런 유틸리티들은 "유출 행위"가 없는지 앱을 검사하며 문제 있는 프로세스 차단을 자동화할 수 있다.

물론, 사용자의 공공연한 실수로 인한 유출은 막을 수 없다. 예를 들면 기업 파일을 퍼블릭 클라우드 스토리지 서버에 전송한다든가, 기밀 정보를 엉뚱한 곳에 붙여넣기 한다던가, 이메일을 의도치 않은 수신자에게 전달한다든가 하는 간단한 실수만으로도 데이터가 유출된다.

이는 현재 의료 업계에서 극복하기 위해 애쓰고 있는 문제다. 전문 보험업체인 비즐리(Beazley)에 따르면, 2017년 1~3분기 동안 의료 업체들이 신고한 데이터 침해 가운데 "의도치 않은 정보 공개"에 의한 것이 41%에 달한다. 이 비율은 그 다음 많은 원인보다 2배 이상 높다.

이런 종류의 유출을 가장 효과적으로 방지할 수 있는 것은 데이터 손실 방지(DLP) 도구일 것이다. 민감한 정보가 돌발적인 상황 등에서 노출되는 것을 방지할 목적으로 설계된 소프트웨어이기 때문이다.

2. 소셜 엔지니어링
효과가 있는 것으로 검증된 소셜 엔지니어링 사기 수법은 데스크톱에서나 모바일에서나 골칫거리다. 소셜 엔지니어링 사기꾼들을 쉽게 피할 수 있다고 생각하겠지만 여전히 놀라울 정도로 활개를 치고 있다.

버라이즌(Verizon)의 2017년도 데이터 침해 실태 조사 보고서에 따르면, 엔터프라이즈 솔루션 부문에서 관찰한 데이터 침해 가운데 무려 90%가 피싱(phishing) 때문인 것으로 나타났다. 버라이즌은 피싱 시도에 걸린 사용자 비율은 7%에 불과하지만 이들과 같이 잘 속는 사람들이 상습범인 경향이 있다고 밝혔다. 버라이즌의 보고서에 따르면, 일반적인 조직에서 성공적으로 피싱 당한 사용자 가운데 15%가 같은 해에 '최소한' 한 번 이상 또 피싱을 당하게 된다.

게다가 다수의 조사 결과에 의하면, 사용자들은 데스크톱보다 모바일 기기에서 피싱을 당하기 더 쉽다. IBM 조사에 따르면 그 확률은 3배나 높다. 그 이유 가운데 하나는 사람들이 메시지를 처음 볼 가능성이 가장 높은 곳이 폰이기 때문이다.

피시미(PhishMe)의 정보 보안 및 피싱 방지 전략가 존 "렉스" 로빈슨은 "전반적으로 모바일 사용이 늘어나고 BYOD 업무 환경이 지속적으로 성장함에 따라 모바일 감염 가능성이 대체적으로 높아지고 있다"고 지적했다. 피시미는 피싱 시도 인식과 대처에 대한 직원 교육을 위해 실제 상황 시뮬레이션을 활용하는 업체다.

로빈슨은 업무용과 개인용 컴퓨팅 사이의 경계선이 계속해서 흐릿해지고 있다고 말했다. 업무용 계정과 개인용 계정에 연결된 여러 개의 받은 편지함을 모두 스마트폰에서 확인하는 직원들이 점점 많아지고 있다고 전제하고 근무 중에 온라인으로 모종의 개인 업무를 처리하지 않는 사람은 거의 없다고 덧붙였다. 그 결과, 업무 관련 메시지와 함께 개인 이메일처럼 보이는 것을 받는 것이 표면적으로는 이상할 것이 없어 보인다. 그러나 사실은 계략일 수도 있다.

3. 와이파이 중간자 공격
모바일 기기의 안전은 데이터가 전송되는 망의 안전에 달려 있다. 이 시대는 우리 모두가 공용 와이파이(Wi-Fi) 망에 늘 연결되어 있다. 즉, 우리의 정보는 생각보다 안전하지 않다.

이런 우려는 얼마나 중요할까? 기업 보안업체 완데라(Wandera)가 발표한 신규 조사 결과에 따르면, 기업 모바일 기기들의 와이파이 사용은 셀룰러 데이터 사용의 거의 3 배다. 공개되어 있고 안전하지 않을 가능성이 있는 와이파이 망에 연결되어 있는 기기가 거의 1/4에 달한다. 누군가 악의적으로 양자간 통신 내용을 가로채는 중간자(man-in-the-middle) 공격을 최근 한 달 안에 당한 비율도 4%나 된다.

스마트폰 보안 전문가이자 시라큐스 대학교(Syracuse University) 컴퓨터 과학과 교수인 케빈 두는 "요즘에는 트래픽 암호화가 어렵지 않다"며, "VPN이 없다면 자신의 구역에 많은 문을 열어 놓는 셈"이라고 지적했다.

그러나 제대로 된 엔터프라이즈급 VPN을 선택하는 것은 그렇게 쉽지 않다. 대부분의 보안 관련 사안을 고려할 때 그러하듯 타협이 필요할 수밖에 없다. 가트너의 주멀은 "VPN의 서비스 제공은 모바일 기기에서는 더욱 스마트해야 한다. 배터리 등 자원 소모를 최소화하는 것이 무엇보다 중요하기 때문"이라고 설명했다.

효과적인 VPN이라면 단순히 사용자가 새로운 사이트에 접속할 때가 아닌 절대적으로 필요할 때라든가 믿을 수 있고 안전하고 알려진 앱 내에서 사용자가 작업하고 있을 경우에만 활성화할 줄 알아야 한다.

4. 패치가 되지 않는 인터넷 연결 기기
스마트폰, 태블릿, 소형 인터넷 연결 기기(흔히 사물인터넷(IoT))는 기업 보안에 새로운 위험 요소다. 이들 기기는 전통적인 업무 기기와 달리 제때 지속적으로 소프트웨어 업데이트가 보장되지 않는 경우가 일반적이기 때문이다.

이는 안드로이드(Android) 기기의 경우 특히 그렇다. 대다수의 제조업체들이 제품을 최신 상태로 유지하는 것에 당혹스러울 정도로 비효율적이다. 운영체제 업데이트는 물론 중간 중간의 월간 보안 패치도 마찬가지다. IoT 기기들은 말할 것도 없다. 애초에 업데이트를 받을 수 있게 설계되지 않은 것조차 많기 때문이다.

케빈 두는 "패칭 메커니즘조차 내장되지 않은 경우가 많다. 요즘 그것이 점점 더 위협이 되고 있다"고 지적했다.

이번에도 강력한 정책이 도움이 된다. 지속적인 업데이트를 제때 안정적으로 받는 안드로이드 기기가 없지 않다. IoT 환경에 질서와 안정이 찾아올 때까지는 각 회사가 IoT 주변에 자체적인 보안망을 만드는 수밖에 없다.

5. 물리적 기기 침해
마지막은 바보같아 보이지만 여전히 충격적으로 현실적인 위협으로 남아 있는 것이다. 분실하거나 제대로 간수하지 않은 기기는 중대한 보안 위협이 될 수 있다. 강력한 PIN이나 비밀번호가 없거나 전체적인 데이터 암호화가 되어 있지 않은 경우는 특히 그렇다.

다음 내용을 생각해 보자. 2016년도 포네몬 연구소 조사에서 전문직 종사자 가운데 35%가 자신의 업무용 기기에 접근 가능한 기업 데이터를 안전하게 보호할 수 있는 필수 조치가 되어 있지 않다고 답변했다.

더 심각한 것은 설문 조사 대상자 가운데 거의 절반이 기기를 보호할 만한 비밀번호, PIN 또는 생체 보안 기능이 없다고 답했다는 것이다. 약 2/3는 암호화를 사용하지 않는다고 답했다. 응답자 가운데 68%는 자신의 모바일 기기를 통해 접속되는 개인 계정과 업무 계정에 같은 암호를 쓴 적이 있다고 답변했다.

이를 통해 얻을 수 있는 교훈은 간단하다. 사용자에게 책임을 맡겨두는 것만으로는 부족하다. 알아서 할 것이라 지레짐작하지 말고 정책을 만들어야 한다. 하길 잘했다는 생각이 나중에 들 것이다. editor@itworld.co.kr  


2018.01.09

2018년에 주의해야 할 5대 모바일 보안 위협

JR Raphael | CSO
모바일 보안은 요즘 모든 기업들이 가장 걱정하는 문제다. 그럴만한 타당한 이유가 있다. 거의 모든 직원들이 이제 스마트폰으로 기업 데이터에 주기적으로 접근하기 때문이다. 이는 민감한 정보가 엉뚱한 사람의 손에 넘어가지 않게 하는 것이 점점 어려워진다는 것을 의미한다.

손실의 위험이 그 어느 때보다 크다. 포네몬 연구소(Ponemon Institute) 2016년 보고서에 따르면, 기업 데이터 침해에 따른 평균 비용은 '하루에' 2만 1,155달러라고 한다. 

세상을 떠들썩하게 하는 악성코드 문제에 초점을 맞추기 쉽지만 사실 현실에서 모바일 악성코드 감염은 믿어지지 않을 정도로 드물다. 한 통계 자료에 따르면, 모바일 악성코드에 감염될 확률은 벼락맞을 확률보다 훨씬 낮다. 이는 모바일 악성코드의 속성 덕분이며 모바일 운영체제 내에 구축된 고유한 보호 기능 덕분이기도 하다.


Credit: Getty Images Bank 

좀 더 현실적인 모바일 보안 위험은 간과하기 쉬운 부분에 있다. 다음에 언급하는 것들은 올해 전부 더욱 시급한 문제가 될 것으로 예상된다.

1. 데이터 유출
로봇 비뇨기과 의사의 진단처럼 들릴지 모르지만 데이터 유출은 2018년에 가장 우려되는 기업 보안 위협 가운데 하나로 널리 인식되고 있다. 이 문제가 특히 짜증나는 이유는 악의적인 성격인 경우는 별로 없고 사용자들이 정보 동의 표시와 전송에 사용할 앱을 부주의하게 잘못 선택해 발생하기 때문이다.

가트너(Gartner)의 모바일 보안 연구 책임자 디오니시오 주멀은 "주요 과제는 앱 검사 프로세스를 이행하는 데 있어 관리자에게 부담을 주지 않고 사용자에게 불만이 생기지 않게 하는 것"이라고 말했다. 주멀은 모바일 위협 방어(MTD) 솔루션 활용을 추천했다. 예를 들면 시만텍(Symantec)의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS 프로텍션(zIPS Protection)과 같은 제품들이다.

주멀의 설명에 따르면, 이런 유틸리티들은 "유출 행위"가 없는지 앱을 검사하며 문제 있는 프로세스 차단을 자동화할 수 있다.

물론, 사용자의 공공연한 실수로 인한 유출은 막을 수 없다. 예를 들면 기업 파일을 퍼블릭 클라우드 스토리지 서버에 전송한다든가, 기밀 정보를 엉뚱한 곳에 붙여넣기 한다던가, 이메일을 의도치 않은 수신자에게 전달한다든가 하는 간단한 실수만으로도 데이터가 유출된다.

이는 현재 의료 업계에서 극복하기 위해 애쓰고 있는 문제다. 전문 보험업체인 비즐리(Beazley)에 따르면, 2017년 1~3분기 동안 의료 업체들이 신고한 데이터 침해 가운데 "의도치 않은 정보 공개"에 의한 것이 41%에 달한다. 이 비율은 그 다음 많은 원인보다 2배 이상 높다.

이런 종류의 유출을 가장 효과적으로 방지할 수 있는 것은 데이터 손실 방지(DLP) 도구일 것이다. 민감한 정보가 돌발적인 상황 등에서 노출되는 것을 방지할 목적으로 설계된 소프트웨어이기 때문이다.

2. 소셜 엔지니어링
효과가 있는 것으로 검증된 소셜 엔지니어링 사기 수법은 데스크톱에서나 모바일에서나 골칫거리다. 소셜 엔지니어링 사기꾼들을 쉽게 피할 수 있다고 생각하겠지만 여전히 놀라울 정도로 활개를 치고 있다.

버라이즌(Verizon)의 2017년도 데이터 침해 실태 조사 보고서에 따르면, 엔터프라이즈 솔루션 부문에서 관찰한 데이터 침해 가운데 무려 90%가 피싱(phishing) 때문인 것으로 나타났다. 버라이즌은 피싱 시도에 걸린 사용자 비율은 7%에 불과하지만 이들과 같이 잘 속는 사람들이 상습범인 경향이 있다고 밝혔다. 버라이즌의 보고서에 따르면, 일반적인 조직에서 성공적으로 피싱 당한 사용자 가운데 15%가 같은 해에 '최소한' 한 번 이상 또 피싱을 당하게 된다.

게다가 다수의 조사 결과에 의하면, 사용자들은 데스크톱보다 모바일 기기에서 피싱을 당하기 더 쉽다. IBM 조사에 따르면 그 확률은 3배나 높다. 그 이유 가운데 하나는 사람들이 메시지를 처음 볼 가능성이 가장 높은 곳이 폰이기 때문이다.

피시미(PhishMe)의 정보 보안 및 피싱 방지 전략가 존 "렉스" 로빈슨은 "전반적으로 모바일 사용이 늘어나고 BYOD 업무 환경이 지속적으로 성장함에 따라 모바일 감염 가능성이 대체적으로 높아지고 있다"고 지적했다. 피시미는 피싱 시도 인식과 대처에 대한 직원 교육을 위해 실제 상황 시뮬레이션을 활용하는 업체다.

로빈슨은 업무용과 개인용 컴퓨팅 사이의 경계선이 계속해서 흐릿해지고 있다고 말했다. 업무용 계정과 개인용 계정에 연결된 여러 개의 받은 편지함을 모두 스마트폰에서 확인하는 직원들이 점점 많아지고 있다고 전제하고 근무 중에 온라인으로 모종의 개인 업무를 처리하지 않는 사람은 거의 없다고 덧붙였다. 그 결과, 업무 관련 메시지와 함께 개인 이메일처럼 보이는 것을 받는 것이 표면적으로는 이상할 것이 없어 보인다. 그러나 사실은 계략일 수도 있다.

3. 와이파이 중간자 공격
모바일 기기의 안전은 데이터가 전송되는 망의 안전에 달려 있다. 이 시대는 우리 모두가 공용 와이파이(Wi-Fi) 망에 늘 연결되어 있다. 즉, 우리의 정보는 생각보다 안전하지 않다.

이런 우려는 얼마나 중요할까? 기업 보안업체 완데라(Wandera)가 발표한 신규 조사 결과에 따르면, 기업 모바일 기기들의 와이파이 사용은 셀룰러 데이터 사용의 거의 3 배다. 공개되어 있고 안전하지 않을 가능성이 있는 와이파이 망에 연결되어 있는 기기가 거의 1/4에 달한다. 누군가 악의적으로 양자간 통신 내용을 가로채는 중간자(man-in-the-middle) 공격을 최근 한 달 안에 당한 비율도 4%나 된다.

스마트폰 보안 전문가이자 시라큐스 대학교(Syracuse University) 컴퓨터 과학과 교수인 케빈 두는 "요즘에는 트래픽 암호화가 어렵지 않다"며, "VPN이 없다면 자신의 구역에 많은 문을 열어 놓는 셈"이라고 지적했다.

그러나 제대로 된 엔터프라이즈급 VPN을 선택하는 것은 그렇게 쉽지 않다. 대부분의 보안 관련 사안을 고려할 때 그러하듯 타협이 필요할 수밖에 없다. 가트너의 주멀은 "VPN의 서비스 제공은 모바일 기기에서는 더욱 스마트해야 한다. 배터리 등 자원 소모를 최소화하는 것이 무엇보다 중요하기 때문"이라고 설명했다.

효과적인 VPN이라면 단순히 사용자가 새로운 사이트에 접속할 때가 아닌 절대적으로 필요할 때라든가 믿을 수 있고 안전하고 알려진 앱 내에서 사용자가 작업하고 있을 경우에만 활성화할 줄 알아야 한다.

4. 패치가 되지 않는 인터넷 연결 기기
스마트폰, 태블릿, 소형 인터넷 연결 기기(흔히 사물인터넷(IoT))는 기업 보안에 새로운 위험 요소다. 이들 기기는 전통적인 업무 기기와 달리 제때 지속적으로 소프트웨어 업데이트가 보장되지 않는 경우가 일반적이기 때문이다.

이는 안드로이드(Android) 기기의 경우 특히 그렇다. 대다수의 제조업체들이 제품을 최신 상태로 유지하는 것에 당혹스러울 정도로 비효율적이다. 운영체제 업데이트는 물론 중간 중간의 월간 보안 패치도 마찬가지다. IoT 기기들은 말할 것도 없다. 애초에 업데이트를 받을 수 있게 설계되지 않은 것조차 많기 때문이다.

케빈 두는 "패칭 메커니즘조차 내장되지 않은 경우가 많다. 요즘 그것이 점점 더 위협이 되고 있다"고 지적했다.

이번에도 강력한 정책이 도움이 된다. 지속적인 업데이트를 제때 안정적으로 받는 안드로이드 기기가 없지 않다. IoT 환경에 질서와 안정이 찾아올 때까지는 각 회사가 IoT 주변에 자체적인 보안망을 만드는 수밖에 없다.

5. 물리적 기기 침해
마지막은 바보같아 보이지만 여전히 충격적으로 현실적인 위협으로 남아 있는 것이다. 분실하거나 제대로 간수하지 않은 기기는 중대한 보안 위협이 될 수 있다. 강력한 PIN이나 비밀번호가 없거나 전체적인 데이터 암호화가 되어 있지 않은 경우는 특히 그렇다.

다음 내용을 생각해 보자. 2016년도 포네몬 연구소 조사에서 전문직 종사자 가운데 35%가 자신의 업무용 기기에 접근 가능한 기업 데이터를 안전하게 보호할 수 있는 필수 조치가 되어 있지 않다고 답변했다.

더 심각한 것은 설문 조사 대상자 가운데 거의 절반이 기기를 보호할 만한 비밀번호, PIN 또는 생체 보안 기능이 없다고 답했다는 것이다. 약 2/3는 암호화를 사용하지 않는다고 답했다. 응답자 가운데 68%는 자신의 모바일 기기를 통해 접속되는 개인 계정과 업무 계정에 같은 암호를 쓴 적이 있다고 답변했다.

이를 통해 얻을 수 있는 교훈은 간단하다. 사용자에게 책임을 맡겨두는 것만으로는 부족하다. 알아서 할 것이라 지레짐작하지 말고 정책을 만들어야 한다. 하길 잘했다는 생각이 나중에 들 것이다. editor@itworld.co.kr  


X