보안

기업에 위험한 5가지 유형의 모바일 앱

Michael Hill | CSO 2021.08.09
기업 모바일 기기에서 실행되는 미승인 소프트웨어와 애플리케이션은 보안에 있어 악몽과 같은 존재다. 여기에는 동료와의 효율적인 원격 통신, 또는 다운로드 가능한 메시징, 파일 공유 앱을 통한 기업 문서 관리와 같은 일반적으로 섀도우 IT(Shadow IT)라고 부르는 비즈니스 요구를 충족시키는 앱 등이 포함된다. 뿐만 아니라 사교, 피트니스, 게임, 스포츠 시청 등 업무와 관련되지 않은 생활이나 엔터테인먼트 목적의 앱에 이르기까지 다양하다.  
 
ⓒ Getty Images Bank

기업 기기에서 관리되지 않은 개인 앱은 데이터 유출, 사이버 공격, 악의적인 서드파티로부터의 직원 활동 감시 등 기업에 잠재적인 위험으로 간주되는 여러 요소를 포함해 악용할 수 있는 수많은 벡터와 취약점을 야기한다. 포레스터 보안 및 위험 분석가 스티브 터너는 “이런 앱은 기업에서 관리하지 않으며 직원이 무심코 다운로드, 사용함으로써 다양한 데이터, 개인정보 보호 및 기타 정책을 침해할 수 있다”라고 말했다.  

웹루트(Webroot) 선임 위협 연구원 켈빈 머레이는 코로나 19 팬데믹의 발발 이후, 원격 근무로 대거 전환하면서 원치 않는 앱으로 인한 기업의 위험이 더욱 심화됐다”라고 말했다. 머레이는 “대면 회의와 상호 작용이 줄어들면서 직원들은 이메일이나 팀즈 통화와 같은 격식없이 소통할 새로운 방법을 찾고 있다. 그러나 원치 않는 앱을 통해 새로운 공격 전술, 익스플로잇 및 도구가 등장하면서 모바일 기기와 앱이 지금처럼 기업에 큰 위협이 된 적은 없었다”라고 설명했다. 

사용자는 사이버 범죄자가 자신을 표적으로 삼을 것이라고 믿지 않는 경향이 있지만, 이런 앱들은 종종 개인정보에 대한 과도한 접근이나 특권 계정과의 통합을 요청한다. 교활한 공격자에게는 매우 효과적인 위협 벡터가 될 수 있다. 

금융서비스 플랫폼 웨이브머니(Wave Money) CISO 도미닉 글런든은 “모바일 기기에 대한 공격에는 사용자 데이터에 접근하거나 도청하기 위한 원격 접속 트로이목마(Remote Access Trojans, RAT)와 중간자 공격(Man-in-the-Middle, MitM), 기기 접근을 제한하는 랜섬웨어, 악성 앱을 로드하기 위한 가짜 인증서 등이 있다”라고 덧붙였다. 

겉보기에 정품이고 신뢰할 수 있는 앱과 앱 스토어조차 믿어서는 안된다. 예를 들어, 실제로 애플과 구글 스토어에서 승인받은 일부 계산기 앱이 파일 전송 매커니즘을 만들 수 있으며, 이 보다 더 악의적인 앱이 될 수도 있다. 

마찬가지로, 정보보안 포럼(ISF)의 수석 연구 분석가인 폴 홀랜드는 구글 플레이와 같은 신뢰할 수 있는 앱 스토어에 악성코드로 가득한 앱이 포함되는 경우가 드물지 않다고 지적했다. 머레이는 합법적인 틱톡(TikTok) 앱조차도 지난해 애플 기기에서 복사 버퍼 데이터를 캡처해서는 안되는 것을 캡처하는 것을 적발했다고 덧붙였다. 그 이후로 이 소셜네트워킹 서비스는 이런 데이터 캡처를 중단했는데, 이는 면밀히 조사하지 않으면 앱에 의해 발생할 수 있는 숨겨진 위험을 보여주는 하나의 사례다.

넷스코프(Netskope)의 클라우드 위협 연구 보고서에 따르면, 기업에서 사용하는 클라우드 앱의 97%가 관리되지 않고 자유롭게 채택되는 것으로 나타났다. 기업은 직원이 업무용 기기에서 사용하는 앱을 확인하기 위해 훨씬 더 많은 노력을 기울여야 한다. 

어떤 미승인 애플리케이션 유형이 가장 위험할까? 또 그 이유는 무엇일까? 보안 전문가들이 꼽은 가장 위험한 앱 유형은 다음과 같다. 

1. 소셜 미디어 및 메시징 앱 
회사 소유 기기에서 가장 흔하게 발견되는 앱은 소셜 미디어 및 메시징 앱으로, 심각한 보안 위협과 개인정보 보호 문제를 일으킬 수 있다. 터너는 “소셜 미디어 앱은 기기, 방문한 웹사이트, 방문한 장소 등을 파악해 사용자가 수행하는 작업을 추적한다”라고 경고했다. 글런든은 과거에 보안 허점과 취약점, 개인정보 문제, 기밀 정보 유출로 어려움을 겪었던 페이스북을 예로 들면서 터너의 주장에 동의했다. 

터너는 “또한 기업은 사업을 하는 국가가 아닌 곳의 소셜 미디어 앱을 원치 않는다. 기기에 있는 다른 국가의 앱은 백도어나 제로데이를 통해 데이터를 유출하거나 악의적인 내부자가 앱을 사용해 데이터를 유출하거나 손상시킬 수 있으므로 개인정보 보호 및 데이터 보존과 관련한 법률과 규정을 위반할 수 있는 통로 혹은 경로를 열어준다”라고 설명했다. 

터너는 “일부 국가에서는 모든 데이터가 중앙 정부를 통과해야 한다. 기업은 해당 국가에서 사업을 하지 않음에도 회사의 데이터를 이런 위험에 노출할 가치는 없다”라고 말했다. 

중국 기반의 앱은 글런든의 특별한 관심사다. 글런든은 “중국에서 개발하고 소싱된 앱에는 백도어와 악성코드가 있고, 기업의 민감한 데이터가 노출되는 경향이 있기 때문에 보안 및 사이버 위험에 대해 말할 필요조차 없다”라고 지적했다. 

메시징 앱을 둘러싼 보안 문제는 왓츠앱(WhatsApp), 시그널(Signal) 및 텔레그램(Telegram)과 같은 인기있는 서비스가 공급업체에서 호스팅하는 중앙 집중식 소비자용 앱이라는 것이다. 분산형 IP 메시징을 지향하는 비영리 오픈소스 프로젝트인 매트릭스(Matrix.org)의 공동 설립자인 아망디 르 파페는 “직원의 업무 관련 대화가 앱의 서버로 들어가 저장되거나 관리되는 방식을 기업이 통제할 수 없으며, 잠재적으로 데이터 유출의 대상이 될 수 있다”라고 경고했다. “게다가 공식화된 중재가 없고, 대화한 그룹이 관련 당사자 모두를 제어할 방법도 없다. 더 심각한 것은 기업에서 떠나는 사람의 프로비저닝 해제나 감사를 제어할 수 없다는 것이다. 이는 책임질 수 없는 의사결정을 초래한다”라고 덧붙였다. 

2. 원격 접근 및 클라우드 스토리지 앱 
지난 18개월 동안 기업이 대규모 원격 작업으로 전환하면서 직원은 원격 접근 앱과 클라우드 스토리지 앱의 사용이 크게 증가했다. 그러나 터너는 이런 도구가 기업 기기에 침투할 경우, 데이터 유출이 우려된다고 경고했다.  

정당하지 않은 원격 접근 앱은 기기의 모든 네트워크 트래픽을 알 수 없는 서버/VPN/원격접근 인프라로 리디렉션할 수 있다. 터너는 “이 시나리오에서 공격자는 자격인증, 인증 토큰 등 무엇이든 사용할 수 있다”라고 말했다.

마찬가지로 대체 클라우드 스토리지 솔루션을 구성해 기기의 파일, 사진 및 기타 데이터를 자동으로 백업할 수 있다. 터너는 “만약 직원의 작업이 기기에서 로컬 서버에 있는 파일과 사진을 사용하는 것이라면 데이터가 기업의 보안 솔루션에 의해 보호되지 않는 다른 곳에 의도적으로, 혹은 부주의하게 저장할 수 있는 또 다른 시나리오다”라고 설명했다. 

공격자가 동일한 앱을 사용해 직원의 계정으로 기기에서 작업 중인 데이터의 복사본을 가져올 수 있다. “이 모든 상황은 기업이 자격 증명이나 중요한 데이터가 잘못 유출, 저장되는 등의 잠재적인 손상과 데이터 침해 사고에 노출될 수 있다는 것을 의미한다”라고 말했다. 

글런든은 기업이 이런 위험을 확인하지 않을 경우, 지속적인 원격 근무와 기업 내, 협력업체 간, 고객과의 정보를 공유하기 위한 오피스 365 또는 드롭박스와 같은 앱을 사용하는 것은 여러 이유로 인해 위험이 계속 증가하게 될 것이라고 경고했다.

3. 보안 도구 앱 
홀랜드는 “일부 윈도우 10 시스템에서는 관리자 권한 없이 마이크로소프트 스토어(Microsoft Store)에서 소프트웨어를 다운로드할 수 있다”라고 지적했다. 이렇게 하면 전문가 역할을 맡은 사람만 사용해야 하는 정교한 보안 도구를 무단으로 설치하고 사용할 위험이 있다. 

베어드는 와이어샤크(Wireshark)나 칼리 리눅스(Kali Linux)와 같은 보안 도구를 사용하는 미승인 사용자는 이런 도구가 기업에 미칠 수 있는 피해를 전혀 알지 못할 수 있다"라고 말했다. 도구는 합법적이지만, 무단 사용은 그렇지 않다. 사용자는 이 도구를 사용해 회사 네트워크를 도청할 수 있으며, 이는 불만을 품은 직원이나 내부 위협인 경우 특히 위험하다. 

또한 재미를 위해 이런 도구를 사용하는 직원은 다른 국가에 있는 공격자에 대해 들어본 적이 없을 가능성이 높으며, 이런 도구를 무단으로 사용하면 기업을 해킹하는 데 필요한 기본적인 도구를 제공하는 셈이므로 공격자는 일을 훨씬 더 쉽게 할 수 있다. 

예를 들어, 칼리 리눅스에는 전체 기업 네트워크를 방해할 수 있는 수백 개의 DDoS 도구가 있다. 특히 대부분의 DDoS 보호 계층이 네트워크 경계에 위치한다는 점을 감안할 때 내부로부터의 모든 DDoS는 보안 도구에 탐지되지 않을 수 있어 악용되는 것을 방지할 수 없다.  
 
4. 서드파티 앱 플러그인 
검증된 앱에도 기능을 추가하도록 설계된 서드파티 앱 플러그인은 기업의 데이터를 크게 위협할 가능성이 있다. 넷스코프 보고서에 따르면, 구글 워크스페이스(Google Workspace) 사용자의 97%가 기업 구글 계정에 대한 하나 이상의 서드파티 앱 접근을 승인했으며, 구글 드라이브 내의 파일 보기 및 관리와 같은 범위로 인해 서드파티가 데이터를 악용할 가능성이 있다. 

넷스코프 위협 연구소(Netscope Threat Labs) 책임자 레이 캔저니스는 앱 플러그인이 서드파티에게 지속적인 데이터 접근을 제공할 수 있다고 말했다. 캔저니스는 “예를 들어, 캠스캐너(CamScanner)의 앱 플러그인은 구글 드라이브에 있는 모든 문서에 접근할 수 있다. 캠스캐너는 악성코드를 포함하고 있는 것으로 밝혀져 인도 정부에 의해 금지됐다. 즉, 서드파티 앱 플러그인은 유효한 서비스를 제공할 수 있지만, 앱을 운영하는 기업이 민감한 데이터를 처리할 만큼 신뢰받지 못할 수 있다. 

공격자들은 또한 앱 스토어/플레이 스토어를 통해 모바일 기기를 제어하는 구글 계정에 접근하는 것이 취약점을 찾고 모바일용 취약점을 개발하는 것보다 훨씬 더 효과적이라는 사실을 발견했다. 

글런든은 “이런 접근 방식은 기밀 데이터, 신용카드 정보 등과 같은 기업의 열쇠를 제공한다. 해킹된 계정을 가진 공격자는 백업에 접근하고 메시지, 연락처, 통화 기록을 포함한 모바일 기기의 모든 앱에 속한 데이터를 복구할 수 있다”라며, “누군가 이 계정을 도용하면 기기를 영구적으로 추적하고 무단 구매 또는 악성 앱 설치 등 여러 악의적인 작업을 원격으로 제어해 추가 피해를 줄 수 있다”라고 설명했다.

5. 게임 앱 
회사 기기와 네트워크는 근무 시간 중이든, 외부든 상관없이 게임을 지원하지 않지만, 일부 직원은 아랑곳하지 않고 설치를 시도한다. 이는 회사 자산의 총체적인 오남용과 불필요한 지출을 의미하지만, 회사 기기에 게임 소프트웨어를 설치하고, 플레이하는 것 자체가 심각한 보안 문제를 야기한다. 
 
예를 들어, 스팀(Steam) 클라이언트는 회사 네트워크에 접근할 수 있는 기기에 설치된 경우, 웜 상자를 여는 것과 같다. 베어드는 “스팀을 사용해 설치할 수 있는 게임의 양은 보안이 네트워크에 있는 내용을 파악하고 이에 따라 대응하는 것을 매우 어렵게 만든다. 미승인 소프트웨어는 보안 팀의 패치 관리 프로세스에서 제외되기 때문에 악용할 수 있는 빈틈이 생길 수 있다”라고 경고했다. 2020년 연구진이 스팀 개발업체인 밸브(Valve)에서 4개 취약점을 발견했는데, 이를 통해 공격자가 서드파티 서비스를 인수해 임의의 코드를 실행하고 자격 증명을 훔치는 것을 허용한 바 있다.  

글런든은 “CISO에 가장 위험한 게임 앱은 무료 안드로이드 게임을 다운로드할 수 있는 포털인 9Game.com이다”라며, “지난 몇 년 동안 이 모바일 앱 스토어에서는 다른 어떤 스토어보다 악성 앱이 더 많이 발견됐다”라고 밝혔다.


미승인 모바일 앱의 위험 감소 방안 

전문가들은 사용자가 미승인 소프트웨어를 설치하지 못하도록 차단해 원치 않는 앱으로 인한 위험을 해결할 때에는 정책과 교육의 결합이 필요하다고 주장한다. 홀랜드는 “CISO는 보안 팀이 미승인 앱으로 인한 위험에 신속하게 대처하고 정책에 따라 규정된 규칙을 준수하고 있는지 확인해야 한다. 이는 다른 직원의 사용량을 모니터링하고 관리하는 드라이브를 지원하는 데 도움이 된다”라고 말했다. 
 
또한 전문가들은 기기/앱 허용 목록을 작성해 특정 실행 파일 및 관련 파일만 실행할 수 있도록 하는 것도 찬성한다. 홀랜드는 “이는 미승인 앱이 기기에 실행되기 전에 중지된다는 것을 의미한다. 이는 또한 합법적인 앱의 악성코드에 감염된 복사본을 막는 데에도 도움이 되는데, 실행 파일이 다르고 일반적으로 MD5 해시가 다르기 때문이다. 이 선택지는 설정 및 관리에 상당한 노력과 시간이 필요하지만, 투자할만한 가치가 있다. 

튜너는 미승인 앱에 대한 승인 프로세스와 미승인 기존 앱에 대한 교정 조치를 엔드포인트 관리 솔루션을 통해 시행할 수 있다고 덧붙였다. 또한 글런든은 사용자의 ID, 기기, 위치 및 연결 유형을 기반으로 정책을 중앙에서 제어하고 구성해 기업 기기 및 콘텐츠의 악의적인 사용을 제한할 수 있다고 말했다. 

그러나 이런 방법을 통해 사용자의 소프트웨어 요청이 거부된다면, 사용자는 종종 악성코드에 감염된 앱이 검증되지 않은 서드파티 소스에서 크랙 버전을 다운로드하고 실행할 여지를 남긴다. 이는 합법적인 버전을 설치했을 때보다 더 큰 보안 위험을 초래할 가능성이 있다. 일부 앱이 제기하는 위협에 대해 직원을 교육하고 보안 관점에서 안전한 행동을 유도하기 위한 통제가 필요한 이유를 설명하는 것도 매우 중요하다. 

머레이는 “이를 염두에 두고 모든 기업이 직원들에게 최신 위협에 대해 교육하고 업무용 기기와 컴퓨터에서 다운로드할 수 있는 것과 없는 것에 대한 명확한 지침을 제공하기 위해 사이버보안 인식 교육을 실시해야 한다”라고 말했다. 섀도우 IT는 IT 관리자에게 큰 문제이지만, 사용자 행동 패턴에서 많은 것을 배울 수 있으며, 이는 기업 내 교육, 정책 및 도구의 격차를 부각시킬 수 있다. 
 
마지막으로, 기업 기기로의 앱 다운로드를 최소화하는 데 도움이 되는 또 다른 선택지는 내부 네트워크와 완전히 분리된, 즉 게스트(guest) 와이파이 네트워크를 만드는 것이다. 이는 최근 많은 기업에서 구현되고 있다. 

이 게스트 네트워크를 통해 일반 사용자는 사무실에 있는 동안 비즈니스에 대한 위험 없이 자신의 기기를 사용할 수 있다. 예를 들어, 사무실에 있을 때 자신의 데이터를 사용하지 않아도 되거나 사용자 마음대로 회사 기기를 사용할 수 있기 때문에 직원들의 만족도를 높이는 이점을 제공한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.