IoT / 모바일 / 보안 / 컨슈머라이제이션

2019년에 진지하게 고민해야 할 7가지 모바일 보안 위협

JR Raphael | CSO 2019.02.25
최근 모바일 보안은 모든 기업의 걱정 목록에서 1위를 기록하고 있는데, 그럴 만한 이유가 있다. 현재 거의 모든 직원이 스마트폰을 이용해 기업 데이터에 접근하고 있기 때문에 민감한 정보를 보호하는 것이 점차 복잡해지고 있다. 그래서 모바일 보안이 그 어느 때보다도 어려운 시기다. 포네몬 연구소는 2018년 보고서를 통해 평균 기업 데이터 유출 비용이 386만 달러에 달한다고 밝혔다. 이는 1년 전의 추정 비용보다 6.4%나 높다.
 
ⓒ IDGNS


세상을 놀라게 하는 악성코드의 대상에 대해서는 집중하기 쉽지만 모바일 악성코드 감염은 실제로 점차 줄어들고 있다. 감염될 확률이 번개를 맞을 확률보다 낮다고 추정하는 사람들도 있다. 이는 모바일 악성코드의 특성과 현대의 모바일 운영체제에 내장된 보호 장치 때문이다.

더욱 현실적인 모바일 보안 위험이 일부 쉽게 간과할 수 있는 영역에 존재하며, 이 모든 것들은 2019년에 더욱 큰 문제가 될 것이다.


1. 데이터 유출

로봇 비뇨기과 의사의 진단처럼 들릴 수 있지만 데이터 유출은 2019년 기업 보안에 대한 가장 걱정스러운 위협 가운데 하나로 간주되고 있다. 악성코드에 감염될 확률이 거의 없다는 말을 기억하는가. 포네몬의 최신 연구에 따르면, 데이터 유출의 경우 기업들이 향후 2년 안에 최소 1건을 경험할 가능성이 28%나 되는데, 이는 4명 중 1명 꼴이라는 이야기다.

특히, 이 문제는 특성상 비도덕적이지 않은 경우가 많으며, 어떤 앱이 자신의 정보를 확인하고 전송할 수 있는지에 대해 부주의하고 무분별하게 결정하는 사용자가 문제다. 가트너의 모바일 보안 조사 책임자 다이오니시오 저멀은 "관리자에게 부담이 되지 않으면서 사용자의 만족도를 떨어뜨리지 않는 앱 베팅(Vetting) 프로세스를 이행하는 방법이 중요한 문제다"고 말했다.

저멀은 시만텍의 EPM(Endpoint Protection Mobile), 체크포인트의 SBM(SandBlast Mobile), 짐페리움(Zimperium)의 zIPS 프로텍션 같은 MTD(Mobile Threat Defense) 솔루션으로 눈을 돌리라고 조언했다. 이런 "유출 행동" 유틸리티 스캔 앱은 문제가 되는 프로세스의 차단을 자동화할 수 있다.

물론, 그렇다고 해서 기업 파일을 퍼블릭 클라우드 저장 서비스로 전송하거나 기밀 정보를 잘못된 곳에 붙여넣거나 의도하지 않은 수신인에게 이메일을 전달하는 등 공공연한 사용자 오류로 인해 발생하는 유출까지 항상 해결되는 것은 아니다. 의료 산업에서는 현재 이 문제를 극복하기 위해 고군분투하고 있다. 전문가 보험 제공기업 비즐리(Beazley)에 따르면, 2018년 3분기 의료 조직들이 보고한 데이터 유출의 가장 주된 원인은 "우연한 공개(accidental disclosure)"였다. 이 카테고리와 함께 내부자 유출이 해당 기간 동안 보고된 전체 유출의 절반 가까이를 차지했다.

이런 유출의 경우 DLP(Data Loss Prevention) 도구가 가장 효과적인 보호 형태가 될 수 있다. 이런 소프트웨어는 명시적으로 우연한 시나리오를 포함해 민감한 정보의 노출을 예방하기 위해 개발됐다.


2. 소셜 엔지니어링

이 입증된 사기 전략은 데스크톱과 마찬가지로 모바일에서도 문제가 되고 있다. 소셜 엔지니어링(Social engineering)의 단점을 예방하기 쉽다고 생각하는 사람들도 있지만 여전히 믿기 힘들 정도로 효과적이다.

보안 업체 파이어아이(FireEye)는 2018년 보고서를 통해 "사이버 범죄의 91%가 이메일로 시작된다"고 밝혔다. 파이어아이는 이런 사건이 사람들이 위험한 링크를 클릭하거나 민감한 정보를 제공하도록 속이는 사칭 등의 전략에 의존하기 때문에 "비 악성코드 공격"이라고 부른다.

특히, 2017년에 65%나 성장한 피싱과 모바일 사용자가 가장 큰 위험이며 그 이유는 많은 모바일 이메일 클라이언트가 발신자의 이름만 보여주기 때문이라고 해당 기업이 밝혔다. 그래서 메시지를 도용하고 속여 자신이 알거나 신뢰하는 사람이 보낸 이메일이라고 생각하도록 속이기가 쉽다.

IBM의 조사 결과, 사용자는 데스크톱보다 모바일 장치에서 피싱 공격에 응답할 가능성이 3배나 높은 것으로 나타났으며, 그 이유 가운데 하나는 사람들이 휴대전화로 메시지를 먼저 확인할 가능성이 높기 때문이다. 

버라이즌의 2018년 데이터 유출 조사 보고서(Data Breach Investigations Report)에서는 사용자 가운데 4%만 피싱 관련 링크를 클릭하는 것으로 나타났지만 잘 속아 넘어가는 사람들은 반복적으로 범죄에 당하는 경향이 있다. 해당 기업은 누군가 피싱 캠페인 링크를 클릭할 가능성이 높을수록 추후 이를 반복할 가능성이 높다고 지적했다. 버라이즌은 피싱을 당한 사용자 가운데 15%가 같은 해에 최소 1회의 피싱을 경험할 것이라고 보고한 바 있다.

피싱 시도 인지 및 대응에 대한 실질적인 직원 교육 시뮬레이션을 이용하는 업체인 피시미(PhishMe)의 정보 보안 및 피싱 방지 전략가 존 "렉스" 로빈슨은 "전반적인 모바일 컴퓨팅 증가와 BYOD 업무 환경의 지속적인 성장으로 인해 모바일 민감성이 증가하고 있다"고 말했다.

로빈슨은 업무와 개인용 컴퓨팅 사이의 경계가 지속적으로 모호해지고 있다고 말했다. 로빈슨은 "점차 많은 직원이 업무 및 개인 계정의 조합에 연결된 여러 받은 편지함을 스마트폰에서 확인하고 있으며, 거의 모든 사람들이 근무일 중 일종의 개인적인 비즈니스 온라인을 수행하고 있다고 지적했다. 이에 업무 관련 메시지와 함께 개인적인 이메일로 보이는 것을 수신하는 경우 실제로는 책략이라 하더라도 표면적으로는 전혀 이상해 보이지 않게 된다.


3. 와이파이 간섭

모바일 장치는 데이터를 전송하는 네트워크의 보안에 의존한다. 모두가 지속적으로 퍼블릭 와이파이(Wi-Fi) 네트워크에 연결되어 있는 시대에는 자신의 정보가 생각만큼 안전하지 못할 수 있다.

이런 걱정이 얼마나 의미가 있을까. 기업용 보안 업체 원데라(Wandera)에 따르면, 기업용 모바일 장치는 이동통신 데이터보다 와이파이를 약 3배 가까이 사용하고 있다고 밝혔다. 장치 가운데 약 1/4이 개방되고 잠재적으로 안전하지 못한 와이파이 네트워크에 연결되어 있는 것이며 장치 가운데 4%는 최근 1개월 이내에 누군가 악의적으로 두 당사자들 사이의 통신을 가로채는 중간자 공격을 당했다. 

한편 맥아피는 네트워크 스푸핑이 최근 "크게" 증가했으며 이동 중 그리고 퍼블릭 네트워크 접속 중 연결을 보호하는 사람은 아직 절반이 되지 않는다고 밝혔다. 시러큐스대학교의 컴퓨터 공학 교수이자 스마트폰 보안 전문가인 케빈 두는 "요즈음에는 트래픽을 암호화하기가 어렵지 않다"며, ""VPN이 없는 경우 주변에 많은 문을 열어 두고 있는 것이다"고 말했다. 

하지만 적절한 기업용 VPN을 선택하기가 그리 쉽지 않다. 대부분의 보안 관련 고려사항과 마찬가지로 항상 타협이 필요하다. 가트너의 저멀은 "모바일 장치의 경우 VPN을 더욱 스마트하게 제공해야 하며, 배터리 등의 자원 소비량 최소화가 무엇보다도 중요하다"고 지적했다. 저멀은 "효과적인 VPN은 사용자가 뉴스 등에 접속하거나 안전하다고 알려진 앱 안에서 작업할 때가 아니라 절대적으로 필요할 때에만 활성화되어야 한다"고 말했다.


4. 오래된 장치

스마트폰, 태블릿, 일반적으로 사물인터넷(IoT)이라 알려진 소형 연결 장치는 전통적인 업무용 장치와는 달리 일반적으로 시의적절하고 지속적인 소프트웨어 업데이트가 보장되지 않기 때문에 기업 보안에 새로운 위험을 유발한다.

특히, 광범위한 제조업체들이 운영체제 업데이트와 소규모 보안 패치 등으로 제품의 최신 상태를 유지하는데 있어서 창피할 정도로 효율적이지 못한 안드로이드 뿐만 아니라 심지어 처음부터 업데이트를 고려해 설계되지 않은 경우가 많은 IoT 장치의 경우에는 더욱 그렇다. 시라큐스 대학의 두는 "이 가운데 상당수는 패치 메커니즘이 내장되어 있지 않고 이것이 점차 위협이 되고 있다"고 말했다. 

포네몬은 "공격 가능성 증가는 차치하더라도 광범위한 모바일 플랫폼 사용으로 인해 전반적인 데이터 유출 비용이 증가하고 있으며 업무 관련 IoT 제품의 증가는 이런 수치를 높여줄 뿐"이라고 밝혔다. 사이버보안 업체 레이썬(Raytheon)은 "IoT가 '열린 문'과 같다"고 밝혔다. 레이썬이 후원한 조사에 따르면, IT 전문가 가운데 82%가 안전하지 못한 IoT 장치로 인해 조직 내에서 "비극적"일 가능성이 높은 데이터 유출이 발생할 것으로 전망했다.

다시 한 번 말하지만 강력한 정책이 오래 지속된다. 시의적절하고 신뢰할 수 있는 지속적인 업데이트를 제공받는 안드로이드 장치가 있다. IoT 분야가 발전할 때까지는 기업이 자체적인 보안망을 구축해야 한다.


5. 크립토재킹 공격

관련된 모바일 위협의 목록에 상대적으로 새롭게 추가된 크립토재킹(Cryptojacking)은 누군가 소유자 몰래 장치를 사용해 암호 화폐를 마이닝하는 공격 유형이다. 기술적으로 너무 어렵다고 생각된다면 이것만은 알아두자. 이 크립토마이닝 프로세스는 누군가의 이익을 위해 기업의 장치를 사용한다. 자신의 기술에 의존해 이를 수행하기 때문에 영향을 받는 휴대전화는 배터리 수명 저하를 경험할 수 있으며 심지어 과열된 부품으로 인한 피해를 입을 수도 있다.

크립토재킹이 데스크톱에서 시작되긴 했지만 2017년 말부터 2018년 초까지 모바일 부문에서 급격히 증가했다. 스카이박스 시큐리티(Skybox Security) 분석 결과, 원치 않는 암호화폐 마이닝이 2018년 전반기의 모든 공격의 1/3을 차지해 해당 기간 동안의 중요성이 2017년 하반기와 비교해 70% 증가한 것으로 나타났다. 그리고 원데라는 모바일 크립토재킹 공격이 2017년 10월과 11월 사이에 폭발적으로 증가했으며 영향을 받은 모바일 장치의 수가 287%나 증가했다고 보고했다.

그 이후로 상황이 다소 가라앉았는데, 모바일 영역이 특히 그랬다. 그 이유는 애플의 iOS 앱 스토어와 안드로이드 관련 구글 플레이 스토어에서 각각 6월과 7월에 암호화폐 채굴 앱이 금지되었기 때문이다. 하지만 보안 기업들은 모바일 웹사이트(또는 심지어 모바일 웹사이트에서의 악성 광고) 그리고 비공식적인 서드파티 마켓에서 다운로드한 앱을 통한 공격 중 일부가 지속적으로 성공하고 있다고 지적했다.

또한 분석가들은 일부 기업들은 스트리밍과 비디오 캐스팅에 사용하는 인터넷 연결 셋톱 박스를 통한 크립토재킹의 가능성을 지적했다. 보안 업체 라피드7에 따르면 해커들이 개발자만이 사용할 수 있는 명령줄 도구인 안드로이드 디버그 브리지를 구성하는 확실한 구멍을 이용하는 수단에 접근할 수 있으며 이런 제품에서 악용하기에 충분한다는 점을 발견했다고 밝혔다.

현재로써는 장치를 신중하게 선택하고 사용자가 크립토재킹 코드의 가능성이 훨씬 낮은 플랫폼의 공식 스토어에서만 앱을 다운로드하도록 요구하는 것 외에는 별다른 해결책이 없다. 또한 현실적으로 산업 전반에 걸쳐 예방 조치가 취해지고 있는 상황에서 대부분의 기업들이 상당하거나 즉각적인 위협을 받고 있다는 조짐이 없다. 하지만 지난 수 개월 동안 이 영역의 활동 변동과 관심 증가를 고려할 때 2019년에는 이를 인지하고 예의주시하는 것이 좋다.


6. 허술한 비밀번호 위생

지금은 이런 수준을 벗어났다고 생각하겠지만 어쨌든 사용자들은 여전히 계정을 적절히 보호하고 있지 않으며 기업 계정과 함께 개인용 로그인 정보가 모두 들어있는 휴대전화를 보유하고 있을 때 특히 문제가 될 수 있다.

구글과 해리스 폴이 수행한 새로운 조사에 따르면, 조사의 샘플에 기초해 미국인 가운데 절반 이상이 여러 계정에서 비밀번호를 재사용하고 있는 것으로 나타났다. 게다가 약 1/3은 이중 인증을 이용하지 않고 있는 것으로 나타났다(또는 심지어 사용하고 있는지조차 모르는 경우도 있었다). 

그리고 1/4만이 비밀번호 관리자를 능동적으로 사용하고 있는 것으로 나타났으며, 이는 대부분의 사람이 스스로 비밀번호를 생성해 기억하기 때문에 대부분의 경우에 강력한 비밀번호가 없을 가능성이 높다는 것을 의미한다.

여기에서 상황은 더욱 나빠진다. 2018년 라스트패스의 분석에 따르면, 절반의 전문가가 업무 및 개인용 계정 모두에 같은 비밀번호를 사용하고 있는 것으로 나타났다. 게다가 일반적인 직원은 근무 중 동료와 약 6개의 비밀번호를 공유하고 있는 것으로 나타났다.

이 모든 것들이 아무 것도 아닌데 야단법석을 떠는 것이라고 생각하는 사람들이 있겠지만 2017년 버라이즌은 약하거나 도난당한 비밀번호가 기업 해킹 관련 유출의 80% 이상을 차지하고 있음을 발견했다. 특히 직원들이 다양한 앱, 사이트, 서비스에 신속하게 접속하고 싶어하는 모바일 장치의 경우 단 한 명이 기업 계정에 사용하는 비밀번호를 무작위 소매 사이트, 채팅 앱, 메시지 포럼 등에 입력할 때의 위험을 생각해 보자. 

이제 이런 위험을 앞서 언급한 와이파이 간섭의 위험과 결합하고 직장 내 직원의 총 수와 곱해 빠르게 추가되고 있는 발생 가능한 노출점으로 구성된 계층에 관해 생각해 보자.

무엇보다 성가신 것은 대부분의 사람이 이 영역에서의 감독에 대해 전혀 인식하지 못하고 있는 것으로 보인다는 점이다. 구글과 해리스 폴의 조사에서 응답자 가운데 69%는 온라인 계정 보호 효과에 대해 자신에게 "A" 또는 "B"를 주었지만 이후의 답변은 달랐다. 확실히 사용자 스스로의 평가는 믿을 수 없다.


7. 물리적인 장치 해킹

마지막으로 유독 어리석은 것처럼 보이지만 충격적으로 현실적인 위협을 살펴보자. 분실하거나 주인이 옆에 없는 장치는 주된 보안 위험이 될 수 있으며, 강력한 PIN 또는 비밀번호와 완전한 데이터 암호화가 없는 경우에는 더욱 그렇다.

다음을 고려하자. 2016년 포네몬의 연구에서 전문가 가운데 35%는 자신의 업무용 장치에 접근 가능한 기업용 데이터를 보호하는 의무적인 조치가 없다고 답했다. 게다가 조사에 참여한 사람 가운데 절반 가량은 장치를 보호하는 비밀번호, PIN, 생체인식 보안이 없다고 말했으며 약 2/3는 암호화를 사용하지 않는다고 말했다. 응답자 중 68%는 모바일 장치를 통해 접속하는 개인 및 업무용 계정의 비밀번호를 공유한 적이 있다고 답했다.

교훈은 단순하다. 사용자에게 책임을 부과하는 것으로는 부족하다. 가정을 하지 말고 정책을 만들자. 나중에는 스스로에게 감사하게 될 것이다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.