Home > 전체기사
기업 네트워크 위협하는 탈옥폰과 미승인 앱 다운로드
  |  입력 : 2017-05-17 15:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
보안 무시하는 아이폰 탈옥과 안드로이드 루팅
회사 네트워크 연결 시 데이터 침해 위험 커
미승인 앱 다운하면 과도하게 정보 접근될 위험도


[보안뉴스 오다인 기자] 탈옥한 아이폰이나 루팅한 안드로이드 폰을 회사 네트워크에 연결하는 건, CISO를 포함한 보안 팀 직원들의 최대 걱정거리 중 하나라는 새 연구결과가 나왔다.

이런 걱정에는 이유가 있다. 모바일 보안 기업 룩아웃시큐리티(Lookout Security)는 일반 회사 내 안드로이드 기기 1,000대 중 5대가 루팅됐고, 아이폰 1,000대 중 1대가 탈옥했다는 걸 발견했다. 이런 사실은 룩아웃시큐리티가 지난 12개월 간 전 세계 안드로이드 및 iOS 기기 1억 대 이상에서 나온 사용자와 기업 데이터를 조사한 결과다.

[이미지=iclickart]


아이폰을 탈옥하거나 안드로이드 기기를 루팅하기 위해선 보안 설정을 우선 꺼야 한다. 보안 장치가 일단 무효화되면 공격자들은 스마트폰에 침투해 데이터를 훔칠 수 있다고 룩아웃시큐리티 보안 연구자 앤드류 블레이치(Andrew Blaich)는 말한다.

보안 팀이 두 번째로 염려하는 건 모바일 앱이다. 승인된 애플 스토어나 구글 플레이 스토어 외의 다른 모든 곳에서 모바일 앱을 다운로드 받는 사용자들은 매우 위험한 행동을 하는 거라고 블레이치는 말한다. 룩아웃시큐리티는 지난 6개월 동안 승인되지 않은 곳에서 앱을 다운받은 기기는 iOS 기기 100대 당 평균 11대였다고 발표했다.

1억 대가 넘는 안드로이드와 iOS 기기를 조사한 결과, 애플리케이션의 3분의 1 정도가 필요한 것보다 더 많은 정보를 검색했다는 사실이 나타났다.

● 앱 30%가 연락처 정보에 접근했다.
● 앱 30%가 GPS 정보에 접근했다.
● 앱 31%가 달력 정보에 접근했다.
● 앱 39%가 스마트폰의 마이크에 접근했다.
● 앱 75%가 카메라에 접근했다.

심지어 앱 개발자 스스로 어떤 정보에 접근했는지 모르는 경우도 있다. 예컨대, 자신의 게임 앱이 폰의 달력 정보를 복사했다는 걸 모르는 식이다. 블레이치는 “앱을 만들려고 소프트웨어 개발 킷(SDK)을 사용한 개발자가 자신이 인지한 것보다 더 많은 정보를 당겨오는 SDK의 잠재력에 대해 잘 모를 수도 있다”고 말했다.

따라서 이런 앱 활동은 민감한 회사 데이터를 외부로 유출할 위험이 있다. 회사 정책을 잠재적으로 침해할뿐더러 유출 시 회사에 엄청난 컴플라이언스 위험을 초래할 수 있다.

이처럼 모바일 기기들이 네트워크에 자주 접속하므로 CISO와 보안 전문가들은 네트워크에 대해 보다 주의 깊게 감시해야 할 필요가 있다. 블레이치는 기업의 네트워크가 중간자 공격(man-in-the-middle)에 당해 트래픽을 가로채이고 경로가 재설정되는 등의 잠재적이고도 거대한 위험에 직면해 있다고 말했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)