본문 바로가기

[칼럼] 모바일 앱 보안 왜 중요할까?(feat. NHN AppGuard)

모바일 앱 보안의 중요성

스마트폰 해킹을 통한 개인정보 데이터 유출, 금전 사고가 연이어 발생하면서 모바일 앱 보안에 대한 중요성이 부각되고 있습니다. 게임, 소셜 커머스, OTT(over-the-top)와 같이 대표적으로 모바일 앱 서비스를 제공해 오던 엔터테인먼트 영역뿐만 아니라 보수적으로 데이터를 취급하는 금융과 핀테크 영역, 그리고 일상과 밀접하게 맞닿아 있는 공공, 헬스케어 분야까지 모바일 앱으로 전환되면서 이전에 비해 보다 많은 개인 신상 정보, 거래 이력, 금융 정보들이 앱에서 관리되고 있기 때문입니다. 모바일 앱 서비스는 편리성과 효율성을 제공하는 한편, 악성코드를 통해 해킹되었을 때는 사용자들의 개인 신상 정보를 탈취하는 것에 끝나지 않고, 보이스 피싱과 같이 2차 범죄로도 확산되어 사회적으로 문제가 되고 있습니다.

 

기업은 앱 보안 사고가 발생할 경우 사용자들에 대한 피해 보상, 과태료와 같은 단기적 비용 손실을 부담해야 할 뿐 아니라 브랜드 이미지 하락, 사용자들의 서비스 이탈과 같이 오랜 시간 투자한 성과에 타격을 입게 되어 이를 회복하려면 더 많은 시간과 비용을 쏟아야 합니다. 따라서 모바일 앱 서비스에 대한 보안 관리는 기업에게는 선택이 아닌 필수가 된 시대가 되었습니다.

 

모바일 앱 보안의 현실

많은 기업들은 보안을 강화해야 한다는 중요성에 공감하지만, 모바일 앱 서비스를 업그레이드하는 속도와 리소스에 비하여, 보안에 대한 투자는 우선순위가 많이 밀려 있습니다. 모바일 영역의 서비스는 신규로 진출하는 스타트업, 새로운 사업 분야(콘텐츠, OTT, 소셜 미디어) 경우, 보안 사고 경험이 없어 필요성을 못 느끼거나, 솔루션 도입에 대한 비용 부담이 진입 장벽으로 작용하기도 합니다.

또한 모바일 앱 보안은 단순히 서비스되는 앱 자체만이 아니라 앱이 설치되는 모바일 장치와 네트워크, IT 웹과 같은 인프라 영역까지 포함 하여 부문의 침해 행위의 양상과 방식에 대한 전문 지식과 경험을 요합니다. 최신 악성코드 갱신과 해킹 방식은 새로운 양상으로 감행되고 있으며, 해킹 및 어뷰징 시도의 횟수는 나날이 증가하고 있어서 앱 서비스 운영에 점점 더 큰 부담이 되고 있습니다. 따라서 기업이 자체 적으로 이에 대비하기 보다 모바일 전문 솔루션을 도입하는 것이 더욱 효율적이라 할 수 있습니다. 공들여 만든 모바일 애플리케이션 서비스에 대해서 1건일지라도 치명적인 보안 사고가 발생할 경우 지금까지 투자해 온 리소스 이상의 물질적인 피해를 입을 수 있습니다.

 

보안 사고 리스크와 악영향

해커들은 점점 교묘한 해킹 방식을 통해서 사용자 개인정보와 기업의 자산인 소스 코드를 탈취하여 불법적으로 금전적, 비금전적 이득을 취하고 있습니다. 예를 들어 기업의 자산인 소스 코드에 무단으로 접근하여 지적 재산을 탈취하거나, 악성코드 삽입과 앱 위・변조¹를 통해 사용자 데이터를 무단 유출하여 금전적 이득을 취하고, 메모리 해킹²으로 개인정보를 유출하거나 서비스를 조작하기도 합니다.

 

게임의 경우 다양한 어뷰징 행위를 통해서 게임 내 재화를 불법적으로 획득하거나, 캐릭터의 수치를 조작해서 공정하지 않은 플레이를 하는 일이 발생하고 있습니다. 이러한 불공정한 행위는 매우 극소수 유저에게서 발생하지만, 공정하게 플레이하는 대다수 유저들에게 영향을 미칩니다. 결국 다수의 유저들이 게임을 떠나게 하거나, 게임에서 인앱 결제를 하지 않게 되는 부정적 영향을 초래하게 됩니다. 극소수 유저의 부정행위는 YouTube, Facebook 등 소셜 미디어의 발전에 따라 과거보다 훨씬 빨리 전파되고 있습니다. , 게임사가 극소수 유저의 부정 행위를 막아야 하는 중요성이 나날이 증가하고 있습니다.

그로 인해 대부분의 게임사들이 해킹 또는 어뷰징 행위를 탐지하고 차단하는 많은 시간과 노력을 들이고 있지만, 비용 대비 효율 측면에 서 긍정적인 결과를 만들어내는 게임사는 많지 않은 것이 현실입니다.

 

1-1 모바일 위협 시나리오

 업종  위협 시나리오
 게임  •   아이디어, 구성, 리소스를 복제하여 새로운 출시
 •   게임 데이터를 변조하여 게임 재화의 불법적 획득
 콘텐츠  •   앱을 변조하여 유료 콘텐츠(전자책, OTT ) 무료 이용
 •   내의 사용자 정보, 인앱 금융 거래 민감 정보 수집
 핀테크  •   악성 프로그램 설치를 유도하여 통화 기록/문자/도청/개인정보 도용
 •   가짜 뱅킹 앱으로 사용자 금융 정보 탈취
 소셜 커머스  •    민감한 개인정보 외부 유출
 •   거래 이력, 사용자 정보 유출

 

업종에 따라 나타나는 다양한 해킹 행위, 해킹 목적, 그리고 사용자와 기업에게 미치는 피해는 각양각색이므로, 이에 대해 전문적인 컨설팅 을 해 줄 수 있는 업체와 신뢰성 높고 강력한 솔루션을 사전에 채택하여 보안 사고를 방지하는 것이 중요합니다.


1   변조(tampering): 변조는 해커가 앱을 무단으로 변경하는 행위를 말합니다. 이를 방어하는 기술을 '변조 방지' 또는 'anti-tampering'이라 합니다. 해커들은 변조를 통해 결제 시스템을 피해 유료 콘텐츠를 무료로 사용하거나, 서비스의 기밀 정보, 고객의 개인정보를 탈취합니다. 또한, 변조된 앱을 공개된 웹사이트를 통해 불특정 다수에게 배포하여 2차 피해를 만들기도 합니다.

2   메모리 해킹: 변수 조작, 결제 우회 부당 이득을 취득하기 위해, 동작하는 애플리케이션 프로세스의 메모리를 변경하는 행위를 말합니다.