금융감독원은 지난해 발표한 ‘금융회사 IT보안 강화 종합대책’을 지속적으로 추진할 것이라고 밝힘에 따라 애플리케이션 위변조 방지솔루션 시장의 확대가 기대된다.

앱 위변조 방지솔루션이 부각되기 시작한 것은 올해 초부터다. 지난해 10월 금융감독당국은 전자금융감독규정 개정을 통해 금융기관 또는 전자금융업자는 전자금융거래프로그램의 위변조여부 등 무결성을 검증할 수 있는 방법을 제공해야 한다고 정한 바 있다.

다행이도 이미 국내 대부분의 은행에서는 앱 위변조 방지솔루션 도입을 확정하고 적용에 돌입했다. 주요 은행중 농협, 하나은행, 기업은행, 국민은행, 산업은행, 우체국 등은 이미 구축을 완료한 상태다. 대구은행, 광주은행 등 지역기반 은행도 도입을 준비 중이다.

또한 증권업계에서도 MTS(모바일트레이딩시스템) 앱의 무결성 확보를 위해 앱 위변조 방지솔루션 도입을 준비하고 있어 관련 시장이 더욱 탄력을 받을 것으로 전망된다. MTS 역시 무결성이 확보되지 않으면 거래시 심각한 문제가 발생할 수 있기 때문이다.

앱 위변조 방지솔루션의 중요성이 언급되기 시작한 것은 지난해부터다. 스마트폰 모바일 뱅킹 사용자가 급속도로 늘었으나 이에 대한 보안조치가 미비하다는 금융당국의 지적이 나왔다. 이는 루팅, 탈옥된 스마트폰에서 금융 서비스를 사용하는 것이 매우 위험하기 때문이다.

지난해부터 일부 금융권 앱의 설치파일(iOS : .IPA, 안드로이드 : .APK)의 코드가 변경돼 재배포되고 있다. 이는 스마트폰 사용자들의 기능 향상을 목적으로 탈옥이나 루팅을 한 환경에서 금융권 앱을 사용하기 위한 니즈가 급격히 늘어났기 때문이다.

통상 탈옥이나 루팅이 된 스마트폰에서는 금융권 앱이 구동되지 않는다. 특정 파일(cydia, su)와 같은 파일의 유무를 체크하는 코드가 들어있기 때문이다.

그러나 일부 개발자들은 금융권 앱을 뜯어서 특정 파일의 존재유무를 체크하는 코드를 무력화해 재탄생(리버싱 Rebirthing)시켜 배포한다. 사용자의 입장에서는 탈옥한 상태에서도 금융권 앱을 쓸 수 있다는 장점이 있지만 이게 말처럼 편하기만 한 것은 아니다.

위변조된 앱들이 단순히 탈옥한 사실을 숨겨주는 코드뿐 아니라 사용자 정보를 탈취하는 코드를 심어놨을지는 아무도 알 수 없기 때문이다. 가령 위변조된 스마트뱅킹 앱이 사용자의 금융정보를 탈취해갈 수 있다.

전문을 금융기관과 주고받는 과정에서 이를 탈취당할 수 있으며, 사용자 몰래 키로깅 코드를 숨겨둘 수 있어 위험은 배가 된다.

국내에서는 이와 같은 사례가 발생하지 않았지만 해외에서는 이미 ‘드로이드드림(DroidDream)과 같이 정상 앱의 코드 변조를 통한 악성코드 유포나 개인정보 탈취가 이뤄진 사례가 발견된 바 있다.

현재 앱 위변조 방지솔루션을 보유한 업체들은 솔루션의 고도화를 통해, 난독화, 안티디버깅, 무결성체크, 통신 암호화 등 다양한 기술을 접목시키고 있다.


2012/10/15 09:24 2012/10/15 09:24



지난해부터 스마트폰 보급이 급속도로 빨라지면서 모바일오피스 도입 역시 가속화되고 있다. 현재 행정안전부의 전자정부를 비롯해 대부분의 대기업, 금융권들도 모바일오피스 구축을 완료한 상태다.

그러나 모바일오피스 구축이 완료되면서 새로운 문제점이 하나둘씩 발생하기 시작했다. 바로 기업 내 보안을 어떻게 지킬 것인지에 대한 이슈가 등장했다.

스마트폰은 사내에서 사용되는 PC와는 달리 늘 휴대하는 기기이며, 분실의 위험도 높다. 이러한 이유 때문에 모바일오피스 뿐만 아니라 모바일단말관리(Mobile Device Management, MDM) 솔루션의 도입도 필요하다는 목소리가 나오고 있다.

업계 관계자는 “모바일오피스를 제대로 활용하려면 MDM 솔루션이 필요하다. 스마트폰은 회사 인트라넷에 접근해 정보를 취득할 수 있는 수단이다. 여기에 대한 보안을 무시한다면 정보유출의 가능성이 높아진다”고 말했다.

모바일과 관련된 실제 보안사고도 발생했다. 지난해 4월 서울지방경찰청 사이버범죄수사대는 2억건이 넘는 스마트폰 사용자의 위치정보를 무단으로 수집·보관·활용한 혐의(위치정보보호·이용법 위반)로 광고대행업체 3곳과 김모(39)씨 등 업체 대표 3명을 불구속 입건했다.

이들이 개발한 앱(1451개)은 게임, 생활정보, 쇼핑 등으로 겉으로 보기에는 정상적인 애플리케이션(앱)이지만, 백그라운드에서 사용자의 정보를 계속해서 개발사의 서버로 전송하는 앱이었다.

모바일오피스를 도입한 기업의 직원이 위의 악질 앱 설치로 기업의 기밀정보를 유출시켰다면 이에 대한 책임은 누가 짊어져야 하는가.

또 만약 직원이 스마트폰을 분실했을 경우에 거기에 담긴 데이터는 어떻게 보호해야 하는가.

이러한 이유 때문에 보안전문가들은 모바일오피스에 MDM 솔루션은 떼놓아선 안된다고 입을 모으고 있다.

MDM 솔루션이 적용된 스마트폰에서는 기업의 보안정책에 위배되는 앱은 설치·구동할 수 없습니다. 구동하려고 하면 강제로 종료되고, 서버에서 삭제된다. 루팅이나 탈옥도 당연히 불가능하다.

스마트폰에서 문서를 열람하고 이를 캡쳐하는 것도 불가능하다. 카메라 앱으로 문서를 촬영하려고 해도 할 수 없다. MDM 서버에서 스마트폰의 기능자체를 차단해버리기 때문이다.

이러한 기능을 활성화시키는 것은 크게 두가지 방법으로 이뤄진다. 출입통제 시스템과 연동해서 출근과 동시에 작동할 수 있고, 특정 지역에 들어왔을 때 작동하게 구축할 수 있다.

사내에서 사용되는 ERP 솔루션과 같은 것들도 중앙에서 직원 각각의 단말기로 전송, 설치할 수 있고, 모든 앱을 통제할 수 있다는 점도 MDM 솔루션의 강점이다.

스마트폰을 분실했더라도 큰 문제가 되지 않는다. 직원이 스마트폰을 분실했다고 보안 관리자에게 통보를 하면 그 즉시 스마트폰에 비밀번호가 걸리고 GPS센서가 작동, 대강의 위치를 받아올 수 있다. 못찾을 것 같다는 판단이 들면 공장초기화를 통해 데이터 전체를 날려버릴 수도 있다.

MDM 솔루션의 등장은 모바일오피스 뿐만 아니라 ‘BYOD(Bring Your Own Device)’ 시장에도 영향을 주고 있다.

과거 미국 IT기업들은 직원들이 업무에 사용하는 PDA단말기나 휴대전화를 회사 공금으로 구입해 지급했다. 회사의 과업을 수행하기 위한 것이므로 물론 이를 기업이 제공해줘야 하는 것은 당연하다는 분위기다.

그러나 스마트폰, 태블릿PC 등 새로운 모바일 디바이스가 등장하자 직원들은 자신들의 업무를 좀 더 효율적으로 수행하기 위해 회사 업무용이 아닌 자신의 모바일 디바이스를 업무에도 활용하기 시작했다.

BYOD의 기저에는 스마트워크(Smart Work)가 깔려있다. 스마트워크는 PC뿐 아니라 스마트폰, 태블릿PC 등 모바일 디바이스를 사용해 과업을 수행하는 플랫폼이다. 스마트워크는 기업 내부 PC에서만 열람할 수 있었던 정보를 스마트폰이나 태블릿PC에서도 가능케 한다.

스마트워크를 도입한 기관과 기업들은 하나같이 업무효율성이 높아졌다고 이야기한다. 그러나 업무효율성 증대와 함께 부상한 이슈가 있었으니 바로 내부정보 유출, 남용이다. 실제 해외에서는 스마트폰으로 사내 기밀정보를 열람한 뒤 이를 캡쳐해서 외부로 빼돌리는 일이 발생하기도 했다.

이러한 이유 때문에 최근에는 금융권을 중심으로 MDM솔루션에 대한 니즈가 크게 증가했다. 특히 고객과 접점이 상대적으로 많은 보험사, 증권사의 문의가 늘어나는 추세다. 내년부터는 본격적인 시장 확대가 기대된다.


2012/10/15 09:23 2012/10/15 09:23


최근 APT(지능형지속가능위협) 공격이나 타깃공격의 대상이 정부기관이나 대기업을 넘어 중소기업도 표적이 되고 있다. 한동안 조용했던 APT 공격이 보이지 않는 곳에서 여전히 성행하고 있다.

시만텍 2012년 상반기 표적공격 동향 보고서를 살펴보면 중소기업을 겨냥한 표적공격이 18%에서 36% 이상으로 급증했는데, 소기업의 경우 지능적인 사이버 공격을 감시할 전담 IT 인력이 부재해 협력관계에 있는 대기업을 겨냥한 표적공격의 전초기지로 삼기가 수월하기 때문으로 보인다.

시만텍 분석에 따르면 2012년 상반기 표적공격은 2011년 12월 하루 평균154건이 발생해 최고 기록을 갱신한 후 올 1월 잠시 소강상태를 보이다가 2월부터 다시 예년 수준을 회복했다.

특히 올 6월에는 이란과 중동지역에서 국가 기간시설에 침투해 중요 정보를 빼돌려온 악성코드 ‘플레이머(W32.Flamer/플레임)’가 발견돼 충격을 주기도 했다. ‘플레이머’는 2010년 ‘스턱스넷(Stuxnet)’, 2011년 이와 유사한 ‘듀큐(Duqu)’, 전세계 화학 및 방산업체를 공격한 ‘니트로(Nitro)’ 등과 같은 APT 공격이다.

상황이 이렇지만 APT 공격은 여전히 막기가 힘들다는 것이 업계의 공통된 의견이다.

APT는 제로데이 공격과 사회공학적 기법 등 일반적인 해킹과는 다른 지능적인 공격 기법을 사용하기 때문이다. 최근 시장에 출시된 대부분의 보안 솔루션들은 샘플(시그니처) 기반이기 때문에 알려지지 않은 악성코드나 멀웨어를 잡아낼 수 없다는 것이 가장 큰 이유다.

지난해 APT 공격으로 인해 많은 기업들이 몸살을 앓았다. EMC RSA, 소니컴퓨터엔터테인먼트, 엡실론 등 해외기업을 비롯해 농협, SK커뮤니케이션즈, 넥슨 등 국내기업들도 APT 공격을 당하며 수 천만건의 개인정보와 기업정보를 유출시켰다.

APT는 다양한 기법이 사용된 공격이지만, 악성코드를 웹, 메일, FTP 등을 통해 유포시키는 것에서 시작한다.

뒤집어 해석하면 APT 공격은 인터넷을 통해 어떤 패킷과 데이터가 오가는지를 모니터링하고 차단할 수 있다면 방어할 수 있다는 의미다.

그러나 이는 생각보다 쉽지 않다는 것이 보안 전문가들의 의견이다. 현재까지 악성코드를 차단하기 위한 다양한 솔루션이 나와 있지만 제로데이 공격, 알려지지 않은 악성코드가 유입될 경우에는 속수무책으로 당할 수밖에 없다.

매일 1초에 8개의 신종 악성코드가 만들어지고 유포된다는 조사결과도 APT 공격의 위험성을 나타내는 수치로 볼 수 있다.

막기 힘들다는 APT 공격. 그러나 이제는 상황이 변하고 있다. 클라우드와 가상화 기술의 발달로 인해 악성코드로 의심되는 파일을 직접 구동시켜본 뒤 이를 격리·치료할 수 있는 솔루션 등이 나오기 시작했다.

실제 지난 2월 미국 샌프란시스코에서 열린 RSA 컨퍼런스에서 국내 보안업체인 안랩을 비롯해 파이어아이, RSA 등의 업체들이 가상화 기반 APT 대응 솔루션을 선보여 눈길을 끌었다.

RSA 컨퍼런스 이후에도 APT 대응 솔루션은 연이어 나왔다. IBM, HP, 체크포인트, 트렌드마이크로, 포티넷 등 글로벌 업체은 APT, 클라우드 보안에 초점을 맞춘 솔루션을 내놨으며, 국내에서도 하우리, 윈스테크넷 이 APT 공격에 특화된 솔루션을 내놨다.

이들 업체들의 공통점은 기존 안티멀웨어(Anti-Malware), 안티바이러스(Anti-Virus) 솔루션들이 사용하는 샘플, 시그니처 기반 기술을 사용하지 않고 행위기반으로 탐지하는 기술을 채택했다는 점이다.



앞으로도 행위기반 기술은 더욱 발전될 것으로 보인다. 이상징후를 사전에 파악해 차단하는 기술이 널리 보급된다면, 제로데이 공격(zero day attack)과 APT 공격은 사라지지 않을까 기대해본다.


2012/10/15 09:22 2012/10/15 09:22