세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
우리 주머니 속 위협, 모바일 보호하기
  |  입력 : 2018-09-02 23:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
PC와 비교해 저장된 데이터 수준 손색없고 보안 수준 낮아
APT 공격자들까지도 모바일 공격...D.N.A 지키는 게 관건


[보안뉴스 문가용 기자] 사이버 공간에서 생활하는 현대인에게 있어 가장 큰 위험은 주머니 안에 있다. 바로 모바일 폰이다. 보안 업체 짐페리움(Zimperium)의 기술 엔지니어링 총괄인 팻 슈에(Pat Shueh)는 “이제야 사람들이 모바일을 또 하나의 엔드포인트로서 인지하기 시작했다”고 말한다. PC 보호에는 신경을 써도 모바일은 당연히 안전한 것이라고 믿고 방치했던 사용자들이 조금씩 ‘이것도 보호해야 한다’는 걸 생각하기 시작했다는 것이다.

[이미지 = iclickart]


“모바일 OS는 PC용 OS에 비해 그리 강하지 않습니다. MITRE에 의하면 2017년 모바일 OS에서 발견된 취약점이 CVE 기준으로 1,200개 정도 됩니다. 윈도우 10은 200개 수준이고요. 그런데도 우리는 이 모바일 폰에 온갖 귀중한 정보들을 저장해서 다니죠. 인증서도 있고 지갑도 있으며 각종 개인정보도 폰 안에 있습니다.”

이런 점을 제일 잘 알고 있는 건 해커다. 이들은 일찌감치 모바일에 대한 공격법들을 연구하고 실행하기 시작했다. 그래서 모바일 환경에서 발생하는 보안 사고의 수와 수준은 무시할 수 없는 상황이다. “모바일에 대한 위협은 기기(device), 네트워크(network), 애플리케이션(application)의 층위에서 발생합니다. 이를 저희는 DNA라고 부르는데요, 각 층위마다 다양한 공격 기술이 존재합니다.”

몇 가지만 꼽아달라고 하니 긴 목록이 끝도 없이 나온다. “장비에 물리적으로 접근해 공격하는 것도 가능합니다. 악성 충전기를 사용한다거나, 안전하지 않은 메모리 카드를 꼽는다거나, 모바일 기기에 대한 키로깅 기술도 활용할 수 있죠. 네트워크 단에서는 악성 와이파이를 통하거나 문자메시지 가로채기 공격 등을 통해 모바일을 감염시킬 수 있고요. 애플리케이션을 통한 공격 중 대표적인 것은 모바일 브라우저에 대한 공격입니다. 스테이지프라이트(Stagefright) 취약점 역시 여기에 포함되고요.”

그러면서 그는 아래 그림을 통해 현재 우리 주머니 안에서 안락하게 자리 잡고 있는 모바일의 공격 시나리오를 보여줬다(한 눈에 볼 수 있도록 정리가 되었기 때문에 글씨가 작은 점 양해 부탁드린다). 그러면서 “이런 공격들이 전부 실제로 발생하고 있는 것들입니다. 이론상으로만 가능한 공격은 여기 하나도 포함되어 있지 않습니다.”

[이미지= 팻 슈에]


심지어 APT 공격자들도 모바일에서 활동한지 꽤나 시간이 지났다고 슈에는 설명한다. “모바일에 PC만큼 값어치 있는 정보들이 저장되어 있는데, 침투는 PC만큼 어렵지 않기 때문입니다. 쉽고 영양가 높은 먹잇감인 셈이죠.”

게다가 모바일 사용자들이 위협감을 전혀 느끼지 못한다는 것도 문제다. “모바일 속에서 일어나는 일이 눈에 보이는 것도 아니고, 내 계좌에서 돈이 뭉텅이로 인출된 것도 아니니까요. 뉴스에서 아무리 보안 사고를 보도하고, 그것을 근거로 위협에 대해 설명해도, ‘난 당하지 않는데?’라고 사람들은 말해요. 그래서 이걸 보여줄 방법이 없을까 고민했습니다.”

그래서 짐페리움은 집스(zIPS)라는 모바일 전용 보안 솔루션에 댄저 존(Danger Zone)이라는 기능을 집어넣었다. 댄저 존을 누르면 근방 네트워크들의 이름이 지도 위에 뜨고, 그 중 지난 3개월 안에 공격이 발생한 전적이 있는 곳에 동그란 표시가 나타난다. 슈에가 한 번 보여주겠다고 하니 코엑스 근처의 지도가 나타나고, 근처 무선 네트워크의 이름들이 뜨고, 족히 15개 정도 되는 동그라미가 그려졌다. “지금 이 근방에서 이렇게 많은 사이버 공격 시도가 있었다는 겁니다.”

집스는 머신 러닝을 기반으로 한 모바일 전용 보안 솔루션이다. 구글 플레이 스토어를 통해 이미 배포되고 있으며, 한글 버전도 존재한다. “저희가 직접 개발한 위협 탐지 엔진으로, 머신 러닝을 기반으로 하고 있어서 시그니처가 없는 위협도 탐지해냅니다.” 그래서 악성 앱이 설치되면, 그 앱의 행동 패턴을 분석한 집스가 경고를 사용자에게 보낸다.

슈에에 의하면 짐페리움은 집스 엔진을 출시하기 이전부터 약 5년 동안 이 머신 러닝 알고리즘을 훈련시켰다고 한다. “실험실에서 아까 보여드린 표(위 그림)에 나온 공격을 전부 실험용 모바일 기기에 가했어요. 실제 공격을 가해 피해를 일으키고, 그에 따라 시스템에 변화가 생기면, 정상 상태의 데이터와 변화된 상태의 데이터를 머신 러닝에 주입했죠. 이걸 5년 동안 반복했어요.”

설명이 이어졌다. “이런 패턴이나 저런 패턴이 나타나면 공격이라는 걸 알려주는 게 아니라, 모바일이 아플 때 나타나는 증상들이 무엇인지, 그 증상을 좀 더 민감하게 파악할 수 있도록 학습을 시킨 겁니다. 마치 사람이 몸이 안 좋을 때 그 병이 무엇이든 근육이 아프고 목이 붓는 등의 증상이 일반적으로 나타나는 것처럼 말이죠. 즉 저희 알고리즘은 ‘모바일 전화기가 좀 아픈 거 같아’라는 걸 정확하고 빠르게 파악하도록 훈련받았습니다.”

모바일에서 머신 러닝 기반 앱을 돌리기에는 무리가 있지 않을까? “하루 종일 켜놔도 배터리의 1%만 사용합니다. 작고 가볍게 만들었기 때문입니다. 또한 모바일이 오프라인으로 변해도 작동합니다. 이런 식으로 작동하도록 만든 것이 짐페리움의 기술력이고, 지적재산입니다.”

이 엔진은 집스라는 앱 형태로 배포되기도 하지만, 개발자들을 위해 SDK로 판매되기도 한다. 기업용 앱을 만드는 전문가들이 이 SDK를 구매해 앱을 구축하면 보안 통제를 좀 더 원활하게 할 수 있게 된다. “더 안전한 앱을 만들 수 있게 되는 겁니다.” 앱이 일반 소비자들을 위한 것이라면 이 소프트웨어 개발 툴킷은 좀 더 기업용 혹은 산업용이다.

주머니 안의 위험, 모바일을 안전하게 하려면 어떻게 해야 할까? “사실 교육만으로는 해결이 되지 않습니다. 교육이 중요하지만 전부는 아니에요. 예를 들어 얼마 전 BBC 뉴스 앱이 구글 스토어에 두 개가 뜬 적이 있어요. 아이콘이나 앱 설명만 보면 정확히 똑같아서, 교육을 잘 받은 사람들도 구분할 수가 없습니다. 기껏해야 둘 다 설치하지 않는 것이 그나마 가장 안전한 선택이죠. 이런 사례는 수도 없이 많습니다.”

모바일 보안 엔지니어로서 슈에는 “DNA(장비, 네트워크, 애플리케이션)를 기억하라”고 강조한다. “장비 보호(D)의 기본은 최신 버전의 OS와 앱을 사용하는 겁니다. 모바일 사용자의 30%가 오래된 OS를 사용합니다. 장비가 매우 취약해지죠. 그 다음은 네트워크(N)인데요, 저는 VPN 사용이 가장 간편하고 안전한 방법이라고 생각합니다. 모바일 VPN 앱 사용을 꼭 권장하고 싶습니다.”

▲ 짐페리움 기술 엔지니어링 총괄, 팻 슈에[이미지 = 보안뉴스]


그리고 마지막, 애플리케이션(A). “물론 집스를 설치해서 앱을 모니터링하는 게 편리하겠죠. 하지만 가장 중요한 건 앱을 설치할 때마다 허용(permission) 항목을 유심히 봐야 합니다. 일단 여기서 yes를 누르면 그 다음부터 사용자가 할 수 있는 일이 거의 없어요. 옵션을 통해 이를 개별적으로 조정하는 것도 필요하고요. 다행히 최근 앱들은 적절한 권한을 요청하는 분위기입니다. 권한 조정을 사용자가 하는 것도 더 쉬워지고 있고요.”

짐페리움은 한국에서 보안 업체 엔시큐어(Ensecure)와 파트너십을 맺고 사업을 확장시켜 나갈 예정이다.

3줄 요약
1. 모바일은 어쩌면 우리 생활 속 가장 위험한 구멍.
2. 공격자들, 이미 PC 공격하듯 모바일 공격하고 있음.
3. 최신화, VPN 사용, 앱 설치 시 권한 허용 검토가 모바일 안전의 기본.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년은 4차 산업혁명을 이끌 보안기술들이 본격적으로 상품화될 것으로 기대되고 있습니다. 2019년에 선보이는 다양한 보안기술 중에서 어떤 기술이 가장 주목을 받을 것이라고 생각하시나요?
실시간 위협탐지·대응 기술 EDR
빅데이터 기반의 인공지능(AI) 보안기술
음성인식·행동인식 등 차세대 생체인식기술
차세대 인터넷, 블록체인 기반 보안기술
보안위협 분석 위한 인텔리전스 보안기술
대세는 클라우드, 클라우드 기반 보안기술
IoT 기기를 위한 경량화 보안기술
IP 카메라 해킹 대응 개인영상 정보보호 기술