2018.11.22

2019년 경계해야 할 모바일 보안 위협 6가지

JR Raphael | CSO
요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분의 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다. 

입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스개 소리로는 스마트폰이 악성코드에 감염될 확률은 번개에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현되어 있는 방어 체계때문에 그렇다.


Credit: IDGNS

이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다.

1. 데이터 유출
2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다.

이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다.

가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS프로텍션과 같은 모바일 위협 방어(MTD) 솔루션 사용을 권장했다. 이런 유틸리티는 앱에서 '유출을 유발하는 동작'을 스캔, 자동으로 문제가 되는 프로세스를 차단한다.

물론 사람의 명백한 실수로 초래되는 유출은 방지하지 못한다. 기업의 자료를 퍼블릭 클라우드 스토리지 서비스로 전송하거나, 기밀 정보를 다른 사람에게 넘기거나, 이메일을 엉뚱한 사람에게 잘못 발송하는 것 등을 예로 들 수 있다. 이는 헬스케어(의료 및 보건, 건강보험) 산업이 극복하기 위해 노력하고 있는 도전 과제다. 보험업체인 비즐리(Beazley)에 따르면, 2018년 3분기 헬스케어 관련 기업이 보고한 데이터 침해 사고의 가장 큰 원인이 '실수로 데이터가 공개된 것'이다. 여기에 내부자가 유출하는 것까지 합할 경우 전체 침해 사고 가운데 약 절반을 차지한다.

이런 종류의 데이터 유출에 가장 효과적인 보호 도구는 데이터 유출 방지(DLP) 도구다. 사고나 실수로 인한 상황을 포함, 민감한 정보의 노출과 유출을 방지할 수 있는 소프트웨어들이다.

2. 소셜 엔지니어링
'한 번 시도해 보는' 속임수는 데스크톱만큼이나 모바일에서도 문제다. 소셜 엔지니어링 '사기꾼'을 쉽게 파악해 피할 수 있다고 생각할 수 있지만, 속임수는 여전히 놀라울 정도로 효과적이다.

보안업체인 파이어아이(FireEye)의 2018년 보고서에 따르면, 사이버 범죄의 91%가 이메일에서 시작된다. 파이어아이는 이런 공격을 '악성코드가 없는 공격(malware-less attacks)'이라고 부른다. 가짜 신원으로 사람들을 속여, 위험한 링크를 클릭하거나 민감한 정보를 넘기도록 유도하기 때문이다. 

파이어아이에 따르면, 2017년 한 해 피싱은 65%가 증가했다. 그리고 모바일 사용자가 가장 큰 위험에 노출된 것으로 나타났다. 발신인의 이름만 표시, 해당 이메일이 자신이 알고 있거나 믿고 있는 사람으로부터 왔다고 믿게 만드는 이메일 클라이언트가 많기 때문이다.

IBM 연구조사에 따르면, 데스크톱보다 모바일 기기에서 피싱 공격에 응답할 확률이 3배나 높다. 사람들이 가장 먼저 메시지를 확인하는 기기가 스마트폰인 것도 그 이유다. 버라이즌의 2018년 데이터 침해 조사 보고서(Data Breach Investigations Report)에 따르면, 실제 피싱 링크를 클릭하는 사용자 비율은 4%에 불과하지만, 피싱 링크를 클릭하는 사람들은 이런 행위를 반복하는 경향이 있다. 피싱에 속아 링크를 클릭하는 사람들이 나중에 다시 유사한 피싱 링크를 클릭할 확률이 더 높다. 

버라이즌에 따르면, 피싱 공격의 피해자가 된 사용자 가운데 같은 해 최소 한 차례 이상 더 유사한 공격의 피해자가 되는 비율이 15%에 달한다. 직원들이 피싱 시도를 인지해 대응할 수 있도록 실제 상황의 시뮬레이션 트레이닝을 제공하고 있는 업체인 피시미(PhishMe)의 정보 보안 및 안티-피싱 전략가인 존 '렉스' 로빈슨은 "모바일 컴퓨팅과 BYOD 업무 환경이 계속 증가 또는 확대되면서 모바일 위협과 취약점도 증가하고 있다"고 강조했다.

로빈슨은 업무용 기기 및 기술, 개인용 기기 및 기술의 경계가 계속 흐려지고 있다고 말했다. 업무용과 개인용 이메일 서비스를 혼용하는 직원들이 증가하고 있다. 이를 위해 스마트폰도 사용한다. 대부분의 사람이 업무 중에 온라인에서 개인 용무를 처리한다. 그 결과, 표면적으로는 개인 이메일과 업무 관련 메시지를 함께 받아 처리하는 것이 전혀 이상하지 않게 되었다.

3. 와이파이 침해
모바일 기기의 '안전'은 이 기기의 데이터를 전송하는 네트워크가 결정한다. 많은 사람이 끊임없이 퍼블릭 와이파이 네트워크를 연결해 사용한다. 이 점을 감안하면, 우리의 정보는 생각만큼 안전하지 않을 수도 있다.

이 문제는 얼마나 큰 문제일까. 엔터프라이즈 보안업체인 완데라(Wandera)의 조사에 따르면, 기업 모바일 기기의 와이파이 사용 빈도는 이동통신 데이터의 약 3배다. 약 1/4에 달하는 기기가 개방되어 있고, 안전하지 않을 수도 있는 와이파이 네트워크를 연결한다. 최근 몇 개월 간 통계에 따르면, 이 가운데 누군가 악의적인 의도로 통신을 가로채는 중간자 공격(man-in-the-middle attack)을 당하는 비율은 4%였다.

이와 관련, 맥아피는 최근 네트워크 스푸핑(network spoofing)이 급증했다고 경고했다. 그런데 여행(출장)을 하거나 퍼블릭 네트워크를 사용하면서 통신을 안전하게 만드는 것을 신경쓰는 사람들은 절반이 채 되지 않는다.

스마트폰 보안 전문가인 시라큐스 대학의 컴퓨터 공학 교수 케빈 두는 "트래픽 암호화가 어렵지 않은 시대다. VPN을 사용하지 않는 것은 많은 문을 활짝 열어 놓는 것이나 마찬가지다"고 지적했다.

그러나 엔터프라이즈급 VPN을 골라 사용하는 것은 그렇게 쉬운 일이 아니다. 보안과 관련된 문제는 대부분 '절충과 타협'이 요구된다. 가트너의 주멀레는 "모바일 기기를 대상으로 하는 VPN은 훨씬 더 '스마트'해야 한다. 배터리를 중심으로 리소스를 최소화시키는 것이 아주 중요하기 때문이다"고 말했다. 정말 필요한 때를 파악해 활성화되는 VPN이 필요하다. 뉴스 사이트 방문이나, 신뢰할 수 있는 앱 사용에는 VPN이 필요없다.

4. 시대에 뒤떨어진 기기
스마트폰과 태블릿, 이보다 작은 연결 장치인 IoT는 기업 보안에 있어 과거 업무용 기기와는 전혀 다른 새로운 위험을 초래한다. 또한 이런 기기들은 제때, 그리고 지속적으로 소프트웨어가 업데이트되지 않는 경우가 많다. 특히 안드로이드에 이런 문제가 많다. 대부분의 제조업체가 제품을 최신 상태로 업데이트해 유지하는 데 비효율적인 접근 방식을 택하고 있다. 운영체제 업데이트는 물론, 그 사이 매달 배포되는 작은 보안 패치 모두에 적용되는 이야기다. IoT 기기도 마찬가지다. 업데이트가 되도록 설계되지 않은 기기도 많기 때문이다.

두는 "패치 체계가 갖춰지지 않은 경우도 많다. 이것이 갈수록 더 큰 위협이 되어가고 있다"고 지적했다.

포네몬에 따르면, 공격 확률이 증가하는 것에 더해 모바일 플랫폼을 광범위하게 사용하면서 데이터 침해와 이로 인해 초래되는 손실이 커지고 있다. 게다가 업무와 관련된 많은 IoT 제품은 이를 더 악화시킬 전망이다. 사이버보안 업체인 레이시언(Raytheon)에 따르면, 사물인터넷은 '활짝 열린 문'이나 다름없다. 레이시언이 지원을 한 조사 결과에 따르면, 안전하지 못한 IoT 기기가 조직에 '재앙적'인 데이터 침해 사고를 초래할 것이라고 예상한 IT 전문가가 82%에 달한다.

강력한 정책이 이런 위험을 극복하는 데 도움을 줄 수 있다. 예를 들어, 적시에 지속적으로 업데이트가 되는 안드로이드 기기들이 있다. IoT 기기의 경우, 관련 지형에 어느 정도 질서가 잡히기 전까지 이와 관련된 보안 체계를 구현해 적용하는 것은 기업의 책임이다.

5. 크립토재킹 공격
비교적 최근에 등장한 모바일 위협인 크립토재킹(Cryptojacking)은 누군가 소유주 모르게 소유주 기기가 암호화폐를 채굴하도록 만드는 공격이다. 더 간단히 설명하면, 공격자가 다른 사람의 기기를 이용해 이익을 챙길 수 있도록 도와주는 암호화폐 채굴 프로세스다. 여기에 감염된 스마트폰은 배터리 사용 시간이 아주 짧아진다. 또는 부품 과열로 인한 손상 등의 피해가 발생한다.

크립토재킹은 원래 데스크톱을 표적으로 삼는 공격이었다. 그러나 2017년 말부터 2018년 초까지 모바일을 대상으로 한 공격이 급증했다. 스카이박스 시큐리티(Skybox Security)의 분석 보고서에 따르면, 2018년 상반기 전체 공격에서 크립토재킹 공격이 약 1/3을 차지했다. 지난해 같은 기간에 비해 70%가 증가한 것이다. 특히 2017년 10월과 11월에 모바일 기기를 표적으로 삼는 크립토재킹 공격이 크게 증가했다. 완데라 보고서에 따르면, 영향을 받은 모바일 기기의 수가 287%가 증가했다.

이후 모바일 기기를 중심으로 크립토재킹 공격이 많이 줄어들었다. 애플과 구글이 각각 6월과 7월에 iOS 앱 스토어와 구글 플레이 스토어에서 암호화폐 채굴 앱을 금지시킨 것이 큰 도움이 됐다. 그러나 보안업계에 따르면, 모바일 웹사이트(또는 모바일 웹사이트의 악성 광고)나 비공식 앱 마켓을 통해 다운로드받은 앱을 통해 공격하는 사례가 계속 발생하고 있다.

보안 애널리스트들은 인터넷에 연결된 셋톱 박스를 통해서도 크립토재킹 공격을 할 수 있다고 경고한다. 일부 기업들이 스트리밍과 비디오 캐스팅에 사용하고 있을 수도 있는 기기들이다. 보안업체인 래피드7에 따르면, 해커들은 안드로이드 디버그 브릿지의 취약점을 악용하는 방법 한 가지를 찾았다. 안드로이드 디버그 브릿지는 개발자용 명령줄 도구다.

현재로서는 이에 대한 확실한 '해결책'이 없다. 기기 선택에 주의를 기울이고, 플랫폼의 공식 앱스토어에서만 앱을 다운로드 받도록 정책을 집행해야 한다. 이런 곳은 크립토재킹 코드가 크게 줄어들었으며, 업계 전반에 걸친 예방책 덕분에 중대하고 즉각적인 위협에 직면한 기업들은 거의 없다. 하지만 변동성이 크고, 최근 이 분야에 대한 관심이 높아졌다는 점을 감안했을 때, 앞으로 수년 간 계속 경계를 할 필요가 있다.

6. 물리적인 기기 침해
마지막은 아주 '현실적이고 실제적'인 위협이다. 잃어버린 기기, 사람이 관리하지 않는 기기는 중대한 보안 위험이 될 수 있다. PIN이나 비밀번호가 강력하지 않거나, 데이터 암호화가 미흡한 경우는 더 그렇다.

이와 관련된 통계가 있다. 2016년 포네몬 조사에 따르면, 조사 대상의 35%는 업무용 기기에 액세스 가능한 기업 데이터를 안전하게 만드는 '의무적인 대책'이 구현되어 있지 않다고 대답했다. 

더 심각한 것은 비밀번호나 PIN, 생체인식 보안 등으로 기기를 보호하지 않는다고 대답한 비율이 절반에 달한다는 것이다. 또 2/3는 암호화를 사용하지 않는다고 말했다. 그리고 66%는 모바일 기기를 통해 이용하는 개인 계정, 업무 계정에 때때로 같은 비밀번호를 사용한다고 대답했다.

교훈은 명확하다. 책임을 사용자에게 떠 넘기는 것만으로는 미흡하다. 지레짐작을 말고, 정책을 만들어야 한다. 그러면 나중에 도움이 될 것이다. editor@itworld.co.kr  


2018.11.22

2019년 경계해야 할 모바일 보안 위협 6가지

JR Raphael | CSO
요즘 모든 기업이 가장 크게 걱정하는 것이 모바일 보안이다. 여기에는 타당한 이유가 있다. 대부분의 직원이 정기적으로 스마트폰을 이용해 기업 데이터에 액세스한다. 이로 인해, 민감한 정보가 유출되는 것을 막기 어려워지고 있다. 그런데, 데이터에 대한 중요성은 과거 어느 때보다 높아졌다. 포네몬 연구소가 2018년 발표한 조사 결과에 따르면, 기업 데이터 침해로 초래되는 평균 손실이 386만 달러에 달한다. 또 2017년에 추정했던 평균 손실보다 6.4%가 증가했다. 

입에 자주 오르내리는 악성코드에 초점을 맞추기 쉽지만, 실제 발생하는 모바일 악성코드 감염 사례는 아주 낮다. 우스개 소리로는 스마트폰이 악성코드에 감염될 확률은 번개에 맞을 확률보다 훨씬 더 낮다. 모바일 악성코드의 특징과 최신 모바일 운영체제에 구현되어 있는 방어 체계때문에 그렇다.


Credit: IDGNS

이로 인해 실제는 간과하기 쉬운 것들이 모바일 보안 위험을 초래할 확률이 훨씬 더 높다. 그리고 이는 앞으로 더 심해질 것이다.

1. 데이터 유출
2019년에 기업 보안에 가장 꺼림칙한 위협 가운데 하나로 간주되는 것이 데이터 유출이다. 앞서 악성코드에 감염될 확률은 거의 없다고 강조했다. 하지만 포네몬의 지난해 조사 결과에 따르면, 향후 2년 간 데이터 침해 사고를 경험할 확률이 1/4이 넘는 28%에 달한다.

이 문제가 더 골치아픈 이유는 악의적인 의도로 이 문제가 발생하는 경우는 많지 않기 때문이다. 앱 권한이나 정보 전송과 관련해 실수로 잘못된 결정을 내리면서 이런 일이 일어나는 때가 많다.

가트너의 모바일 보안 담당 책임자 디오니시오 주멀레는 "관리자가 걱정하지 많도록 만들면서, 동시에 사용자는 화나게 만들지 않도록 앱 검사 및 심사 프로세스를 구현하는 방법이 가장 큰 도전과제"라고 말했다. 주멀레는 시만텍의 엔드포인트 프로텍션 모바일(Endpoint Protection Mobile), 체크포인트(CheckPoint)의 샌드블래스트 모바일(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS프로텍션과 같은 모바일 위협 방어(MTD) 솔루션 사용을 권장했다. 이런 유틸리티는 앱에서 '유출을 유발하는 동작'을 스캔, 자동으로 문제가 되는 프로세스를 차단한다.

물론 사람의 명백한 실수로 초래되는 유출은 방지하지 못한다. 기업의 자료를 퍼블릭 클라우드 스토리지 서비스로 전송하거나, 기밀 정보를 다른 사람에게 넘기거나, 이메일을 엉뚱한 사람에게 잘못 발송하는 것 등을 예로 들 수 있다. 이는 헬스케어(의료 및 보건, 건강보험) 산업이 극복하기 위해 노력하고 있는 도전 과제다. 보험업체인 비즐리(Beazley)에 따르면, 2018년 3분기 헬스케어 관련 기업이 보고한 데이터 침해 사고의 가장 큰 원인이 '실수로 데이터가 공개된 것'이다. 여기에 내부자가 유출하는 것까지 합할 경우 전체 침해 사고 가운데 약 절반을 차지한다.

이런 종류의 데이터 유출에 가장 효과적인 보호 도구는 데이터 유출 방지(DLP) 도구다. 사고나 실수로 인한 상황을 포함, 민감한 정보의 노출과 유출을 방지할 수 있는 소프트웨어들이다.

2. 소셜 엔지니어링
'한 번 시도해 보는' 속임수는 데스크톱만큼이나 모바일에서도 문제다. 소셜 엔지니어링 '사기꾼'을 쉽게 파악해 피할 수 있다고 생각할 수 있지만, 속임수는 여전히 놀라울 정도로 효과적이다.

보안업체인 파이어아이(FireEye)의 2018년 보고서에 따르면, 사이버 범죄의 91%가 이메일에서 시작된다. 파이어아이는 이런 공격을 '악성코드가 없는 공격(malware-less attacks)'이라고 부른다. 가짜 신원으로 사람들을 속여, 위험한 링크를 클릭하거나 민감한 정보를 넘기도록 유도하기 때문이다. 

파이어아이에 따르면, 2017년 한 해 피싱은 65%가 증가했다. 그리고 모바일 사용자가 가장 큰 위험에 노출된 것으로 나타났다. 발신인의 이름만 표시, 해당 이메일이 자신이 알고 있거나 믿고 있는 사람으로부터 왔다고 믿게 만드는 이메일 클라이언트가 많기 때문이다.

IBM 연구조사에 따르면, 데스크톱보다 모바일 기기에서 피싱 공격에 응답할 확률이 3배나 높다. 사람들이 가장 먼저 메시지를 확인하는 기기가 스마트폰인 것도 그 이유다. 버라이즌의 2018년 데이터 침해 조사 보고서(Data Breach Investigations Report)에 따르면, 실제 피싱 링크를 클릭하는 사용자 비율은 4%에 불과하지만, 피싱 링크를 클릭하는 사람들은 이런 행위를 반복하는 경향이 있다. 피싱에 속아 링크를 클릭하는 사람들이 나중에 다시 유사한 피싱 링크를 클릭할 확률이 더 높다. 

버라이즌에 따르면, 피싱 공격의 피해자가 된 사용자 가운데 같은 해 최소 한 차례 이상 더 유사한 공격의 피해자가 되는 비율이 15%에 달한다. 직원들이 피싱 시도를 인지해 대응할 수 있도록 실제 상황의 시뮬레이션 트레이닝을 제공하고 있는 업체인 피시미(PhishMe)의 정보 보안 및 안티-피싱 전략가인 존 '렉스' 로빈슨은 "모바일 컴퓨팅과 BYOD 업무 환경이 계속 증가 또는 확대되면서 모바일 위협과 취약점도 증가하고 있다"고 강조했다.

로빈슨은 업무용 기기 및 기술, 개인용 기기 및 기술의 경계가 계속 흐려지고 있다고 말했다. 업무용과 개인용 이메일 서비스를 혼용하는 직원들이 증가하고 있다. 이를 위해 스마트폰도 사용한다. 대부분의 사람이 업무 중에 온라인에서 개인 용무를 처리한다. 그 결과, 표면적으로는 개인 이메일과 업무 관련 메시지를 함께 받아 처리하는 것이 전혀 이상하지 않게 되었다.

3. 와이파이 침해
모바일 기기의 '안전'은 이 기기의 데이터를 전송하는 네트워크가 결정한다. 많은 사람이 끊임없이 퍼블릭 와이파이 네트워크를 연결해 사용한다. 이 점을 감안하면, 우리의 정보는 생각만큼 안전하지 않을 수도 있다.

이 문제는 얼마나 큰 문제일까. 엔터프라이즈 보안업체인 완데라(Wandera)의 조사에 따르면, 기업 모바일 기기의 와이파이 사용 빈도는 이동통신 데이터의 약 3배다. 약 1/4에 달하는 기기가 개방되어 있고, 안전하지 않을 수도 있는 와이파이 네트워크를 연결한다. 최근 몇 개월 간 통계에 따르면, 이 가운데 누군가 악의적인 의도로 통신을 가로채는 중간자 공격(man-in-the-middle attack)을 당하는 비율은 4%였다.

이와 관련, 맥아피는 최근 네트워크 스푸핑(network spoofing)이 급증했다고 경고했다. 그런데 여행(출장)을 하거나 퍼블릭 네트워크를 사용하면서 통신을 안전하게 만드는 것을 신경쓰는 사람들은 절반이 채 되지 않는다.

스마트폰 보안 전문가인 시라큐스 대학의 컴퓨터 공학 교수 케빈 두는 "트래픽 암호화가 어렵지 않은 시대다. VPN을 사용하지 않는 것은 많은 문을 활짝 열어 놓는 것이나 마찬가지다"고 지적했다.

그러나 엔터프라이즈급 VPN을 골라 사용하는 것은 그렇게 쉬운 일이 아니다. 보안과 관련된 문제는 대부분 '절충과 타협'이 요구된다. 가트너의 주멀레는 "모바일 기기를 대상으로 하는 VPN은 훨씬 더 '스마트'해야 한다. 배터리를 중심으로 리소스를 최소화시키는 것이 아주 중요하기 때문이다"고 말했다. 정말 필요한 때를 파악해 활성화되는 VPN이 필요하다. 뉴스 사이트 방문이나, 신뢰할 수 있는 앱 사용에는 VPN이 필요없다.

4. 시대에 뒤떨어진 기기
스마트폰과 태블릿, 이보다 작은 연결 장치인 IoT는 기업 보안에 있어 과거 업무용 기기와는 전혀 다른 새로운 위험을 초래한다. 또한 이런 기기들은 제때, 그리고 지속적으로 소프트웨어가 업데이트되지 않는 경우가 많다. 특히 안드로이드에 이런 문제가 많다. 대부분의 제조업체가 제품을 최신 상태로 업데이트해 유지하는 데 비효율적인 접근 방식을 택하고 있다. 운영체제 업데이트는 물론, 그 사이 매달 배포되는 작은 보안 패치 모두에 적용되는 이야기다. IoT 기기도 마찬가지다. 업데이트가 되도록 설계되지 않은 기기도 많기 때문이다.

두는 "패치 체계가 갖춰지지 않은 경우도 많다. 이것이 갈수록 더 큰 위협이 되어가고 있다"고 지적했다.

포네몬에 따르면, 공격 확률이 증가하는 것에 더해 모바일 플랫폼을 광범위하게 사용하면서 데이터 침해와 이로 인해 초래되는 손실이 커지고 있다. 게다가 업무와 관련된 많은 IoT 제품은 이를 더 악화시킬 전망이다. 사이버보안 업체인 레이시언(Raytheon)에 따르면, 사물인터넷은 '활짝 열린 문'이나 다름없다. 레이시언이 지원을 한 조사 결과에 따르면, 안전하지 못한 IoT 기기가 조직에 '재앙적'인 데이터 침해 사고를 초래할 것이라고 예상한 IT 전문가가 82%에 달한다.

강력한 정책이 이런 위험을 극복하는 데 도움을 줄 수 있다. 예를 들어, 적시에 지속적으로 업데이트가 되는 안드로이드 기기들이 있다. IoT 기기의 경우, 관련 지형에 어느 정도 질서가 잡히기 전까지 이와 관련된 보안 체계를 구현해 적용하는 것은 기업의 책임이다.

5. 크립토재킹 공격
비교적 최근에 등장한 모바일 위협인 크립토재킹(Cryptojacking)은 누군가 소유주 모르게 소유주 기기가 암호화폐를 채굴하도록 만드는 공격이다. 더 간단히 설명하면, 공격자가 다른 사람의 기기를 이용해 이익을 챙길 수 있도록 도와주는 암호화폐 채굴 프로세스다. 여기에 감염된 스마트폰은 배터리 사용 시간이 아주 짧아진다. 또는 부품 과열로 인한 손상 등의 피해가 발생한다.

크립토재킹은 원래 데스크톱을 표적으로 삼는 공격이었다. 그러나 2017년 말부터 2018년 초까지 모바일을 대상으로 한 공격이 급증했다. 스카이박스 시큐리티(Skybox Security)의 분석 보고서에 따르면, 2018년 상반기 전체 공격에서 크립토재킹 공격이 약 1/3을 차지했다. 지난해 같은 기간에 비해 70%가 증가한 것이다. 특히 2017년 10월과 11월에 모바일 기기를 표적으로 삼는 크립토재킹 공격이 크게 증가했다. 완데라 보고서에 따르면, 영향을 받은 모바일 기기의 수가 287%가 증가했다.

이후 모바일 기기를 중심으로 크립토재킹 공격이 많이 줄어들었다. 애플과 구글이 각각 6월과 7월에 iOS 앱 스토어와 구글 플레이 스토어에서 암호화폐 채굴 앱을 금지시킨 것이 큰 도움이 됐다. 그러나 보안업계에 따르면, 모바일 웹사이트(또는 모바일 웹사이트의 악성 광고)나 비공식 앱 마켓을 통해 다운로드받은 앱을 통해 공격하는 사례가 계속 발생하고 있다.

보안 애널리스트들은 인터넷에 연결된 셋톱 박스를 통해서도 크립토재킹 공격을 할 수 있다고 경고한다. 일부 기업들이 스트리밍과 비디오 캐스팅에 사용하고 있을 수도 있는 기기들이다. 보안업체인 래피드7에 따르면, 해커들은 안드로이드 디버그 브릿지의 취약점을 악용하는 방법 한 가지를 찾았다. 안드로이드 디버그 브릿지는 개발자용 명령줄 도구다.

현재로서는 이에 대한 확실한 '해결책'이 없다. 기기 선택에 주의를 기울이고, 플랫폼의 공식 앱스토어에서만 앱을 다운로드 받도록 정책을 집행해야 한다. 이런 곳은 크립토재킹 코드가 크게 줄어들었으며, 업계 전반에 걸친 예방책 덕분에 중대하고 즉각적인 위협에 직면한 기업들은 거의 없다. 하지만 변동성이 크고, 최근 이 분야에 대한 관심이 높아졌다는 점을 감안했을 때, 앞으로 수년 간 계속 경계를 할 필요가 있다.

6. 물리적인 기기 침해
마지막은 아주 '현실적이고 실제적'인 위협이다. 잃어버린 기기, 사람이 관리하지 않는 기기는 중대한 보안 위험이 될 수 있다. PIN이나 비밀번호가 강력하지 않거나, 데이터 암호화가 미흡한 경우는 더 그렇다.

이와 관련된 통계가 있다. 2016년 포네몬 조사에 따르면, 조사 대상의 35%는 업무용 기기에 액세스 가능한 기업 데이터를 안전하게 만드는 '의무적인 대책'이 구현되어 있지 않다고 대답했다. 

더 심각한 것은 비밀번호나 PIN, 생체인식 보안 등으로 기기를 보호하지 않는다고 대답한 비율이 절반에 달한다는 것이다. 또 2/3는 암호화를 사용하지 않는다고 말했다. 그리고 66%는 모바일 기기를 통해 이용하는 개인 계정, 업무 계정에 때때로 같은 비밀번호를 사용한다고 대답했다.

교훈은 명확하다. 책임을 사용자에게 떠 넘기는 것만으로는 미흡하다. 지레짐작을 말고, 정책을 만들어야 한다. 그러면 나중에 도움이 될 것이다. editor@itworld.co.kr  


X