iOS
2013.11.19

“애플 iOS 모바일 앱 90%가 보안 취약점 있어” HP

Ellen Messmer | Network World
HP가 애플의 iOS 모바일 앱의 보안 취약점 테스트를 한 결과 10개 중 9개에서 심각한 취약점이 발견됐다고 밝혔다. 테스트 대항 앱들은 모두 50개국의 600여개 대기업에서 일반 사용자들을 대상으로 만든 앱 2,000여종이다.

HP의 부사장인 마이크 아미스테드는 금융 혹은 유통 등 B2C 혹은 B2B 목적으로 사용되는 22개 아이튠즈 앱 스토어 카테고리의 앱들을 조사했다고 밝혔다. 이중 97%의 앱이 디바이스 내의 개인 정보에 부적절하게 접근하고 있으며, 86%가 SQL 주입 공격 등에 취약한 것으로 드러났다고 전했다.

애플은 iOS 앱 개발을 위한 가이드라인을 개발자들에게 제공하고 있으나, 보안 측면에서는 아직 충분하지 못하다는 것이 아미스테드의 설명. “모바일 앱은 기업 웹사이트를 모바일 디바이스로 확대하는 용도로 사용되기 때문에 공격할 만한 대상을 늘려주고 있는 격”이라고 덧붙였다.

이번 조사 요약에서 HP는 테스트한 앱 중 86%가 암호화된 데이터, CSS, 보안 처리되지 않은 전송 데이터 등의 남용 같은 일반적인 공격 행태로부터 사용자를 보호하는 수단이 부족하다고 밝혔다.

HP는 조사 대상 앱 중 86%가 개발 초기 단계에서 보안 최적화가 빠져있었다고 지적했다. 더불어 3/4는 “모바일 디바이스에 데이터를 저장할 때 적절한 암호화 기술을 사용하지 않았으며, 이 때문에 비암호화된 데이터에 공격자들이 접근할 수 있도록 한다”라고 설명했다. 또한 앱 중 상당수가 SSL/HTTPS를 정확하게 사용하지 않았다고 덧붙였다.

앱의 취약점을 발견하기 위해서는 개발자들이 보안을 위한 앱 스캐닝, 침투 테스트, 라이프 사이클 측면에서의 보안 코딩 개발 등이 필요하다고 조언했다.

HP는 이 같은 취약점이 많이 생긴 이유로 비즈니스 목적을 위해서 앱 개발의 속도만을 강조했기 때문이라고 지적하면서, 모바일 측면의 취약점은 서버 측면에도 영향을 끼칠 수 있다고 경고했다.

HP는 보고서에서 “모바일 영역에서의 개발 속도나 비용이 보안 노력을 등한시하게 만든다고 생각하고 있다”라면서, “모바일 앱 보안은 여전히 초기 단계에 불과하다”라고 지적했다. editor@itworld.co.kr


iOS
2013.11.19

“애플 iOS 모바일 앱 90%가 보안 취약점 있어” HP

Ellen Messmer | Network World
HP가 애플의 iOS 모바일 앱의 보안 취약점 테스트를 한 결과 10개 중 9개에서 심각한 취약점이 발견됐다고 밝혔다. 테스트 대항 앱들은 모두 50개국의 600여개 대기업에서 일반 사용자들을 대상으로 만든 앱 2,000여종이다.

HP의 부사장인 마이크 아미스테드는 금융 혹은 유통 등 B2C 혹은 B2B 목적으로 사용되는 22개 아이튠즈 앱 스토어 카테고리의 앱들을 조사했다고 밝혔다. 이중 97%의 앱이 디바이스 내의 개인 정보에 부적절하게 접근하고 있으며, 86%가 SQL 주입 공격 등에 취약한 것으로 드러났다고 전했다.

애플은 iOS 앱 개발을 위한 가이드라인을 개발자들에게 제공하고 있으나, 보안 측면에서는 아직 충분하지 못하다는 것이 아미스테드의 설명. “모바일 앱은 기업 웹사이트를 모바일 디바이스로 확대하는 용도로 사용되기 때문에 공격할 만한 대상을 늘려주고 있는 격”이라고 덧붙였다.

이번 조사 요약에서 HP는 테스트한 앱 중 86%가 암호화된 데이터, CSS, 보안 처리되지 않은 전송 데이터 등의 남용 같은 일반적인 공격 행태로부터 사용자를 보호하는 수단이 부족하다고 밝혔다.

HP는 조사 대상 앱 중 86%가 개발 초기 단계에서 보안 최적화가 빠져있었다고 지적했다. 더불어 3/4는 “모바일 디바이스에 데이터를 저장할 때 적절한 암호화 기술을 사용하지 않았으며, 이 때문에 비암호화된 데이터에 공격자들이 접근할 수 있도록 한다”라고 설명했다. 또한 앱 중 상당수가 SSL/HTTPS를 정확하게 사용하지 않았다고 덧붙였다.

앱의 취약점을 발견하기 위해서는 개발자들이 보안을 위한 앱 스캐닝, 침투 테스트, 라이프 사이클 측면에서의 보안 코딩 개발 등이 필요하다고 조언했다.

HP는 이 같은 취약점이 많이 생긴 이유로 비즈니스 목적을 위해서 앱 개발의 속도만을 강조했기 때문이라고 지적하면서, 모바일 측면의 취약점은 서버 측면에도 영향을 끼칠 수 있다고 경고했다.

HP는 보고서에서 “모바일 영역에서의 개발 속도나 비용이 보안 노력을 등한시하게 만든다고 생각하고 있다”라면서, “모바일 앱 보안은 여전히 초기 단계에 불과하다”라고 지적했다. editor@itworld.co.kr


X