Zimperium Global Mobile Threat Report 2023 (1)

Zimperium Global Mobile Threat Report 2023

 

 

 

1.1. 모바일 기반 비즈니스: 엄청난 기회와 위험

 

1) 모바일 우선 사용자의 등장

 

세계적으로 모바일 기기의 보급이 확산되면서 커뮤니케이션, 검색, 뱅킹, 사진촬영, 쇼핑 등을 모바일 기기를 통해 가장 먼저 수행하는 '모바일 우선 사용자'가 생겨나기 시작했습니다. Statista 통계 자료에 따르면 모바일 우선 사용자는 2021년 71억 명에서 2025년 75억 명으로 증가할 것으로 예상됩니다. 모바일 앱의 매출 또한 4천억 달러 이상으로 전자상거래 구매의 60%를 차지합니다. 응답자의 89%가 현재 모바일 뱅킹 앱을 사용하고 있으며, 기업 자산에 액세스하는 엔드포인트의 60%가 모바일 장치로 나타났습니다.

 

 

2) 모바일 기반 비즈니스에 빠르게 적응해야 하는 이유

 

모바일 장치나 앱의 사용이 폭발적으로 증가하면서 공격 표면이 넓어지고 있습니다. 그러나 보안 예산과 인력 수준은 비교적 제자리걸음을 유지하고 있습니다. 그 결과로 우리는 빠르게 커지는 취약성 격차에 직면하고 있습니다. Statista 통계 자료에 따르면 온라인 결제 사기로 인한 손실은 2022년 전자상거래 사업에 410억 달러의 손실을 유발했고 2023년에는 480억 달러로 증가할 것이라 예상됩니다. 게다가  RSA 보고서에 따르면 현재 디지털 사기의 70%가 모바일 기기에서 발생하는 것으로 나타났습니다.

 

원격 의료, 원격 또는 하이브리드 작업, 클라우드 스토리지, SMS 기반의 다중 요소 인증 등 최근 몇 년동안 증가한 접근 방식은 새로운 보안 위험을 내포합니다. Verizon 보고서에 따르면 응답자의 79%가 최근 실무 관행의 변화가 조직의 사이버 보안에 악영향을 미치고 있으며, 응답자의 3분의 2는 '업무를 완수하기 위해' 모바일 기기의 보안을 포기할 수밖에 없다고 답했습니다. 실제로 52%는 보안을 포기했다고 답했습니다.

 

3) 모바일 보안 위협을 해결해야 하는 이유

 

쇼핑이나 은행 업무 등 필수적인 서비스에 모바일 기기를 이용하게 되면서 사이버 범죄자들의 기회가 증가하고 있습니다. 공격에 대응하기 위해서는 디바이스 취약점, 스파이웨어, SMS 피싱 등 다양한 위협을 해결해야 합니다. Verizon 보고서에 따르면 이러한 위협을 대응하기 위해 조직의 85%가 모바일 보안을 위한 예산을 확보하고 있다고 답했습니다. 각 조직의 보안팀은 기기, 네트워크, 앱을 향한 공격으로부터 보호하는 적응형 보호 기능을 필요로 합니다. 또한 개발 라이프사이클과 더불어 설치 후에도 모바일 앱을 효과적으로 보호해야 합니다. 조직에 진정으로 필요한 것은 바로 모바일 우선 전략입니다.

 

---

1.2. 모바일 우선 보안 전략의 5가지 원칙

 

1) 모바일 기반 비즈니스 이니셔티브 보안

 

모바일 기반 이니셔티브는 수익성, 생산성, 경쟁력에 매우 중요합니다. 모바일 기기와 앱은 기업과 고객이 상호작용하고 직원이 회사 자원에 액세스하고 협업하고 작업하는 방법입니다. 이러한 유비쿼터스는 아래와 같은 몇 가지 주요 시사점을 제공합니다.

 

· 직원 소유의 휴대폰과 기업 IT 팀이 관리하지 않는 기타 기기를 포함하여 다양한 장치가 기업 데이터에 액세스합니다.

· 모바일 앱과 기기에 대한 위협은 크기와 정교함 모두에서 계속 증가하고 있습니다.

· 기업에서 직원 및 고객에게 제공 또는 활성화된 모바일 앱의 수와 유형이 폭발적으로 증가하고 있습니다.

· 모바일과 관련된 위험이 정교해지고 있으며 기업은 제로 트러스트 환경에서 모바일 기기에 보다 직접적인 접근 방식을 제공합니다.

· 애플리케이션 및 사용자 데이터와 관련된 규정과 의무사항을 준수해야 합니다.

 

 

2) 모바일 장치 및 앱이 제기하는 고유한 보안 문제

 

조직에 모바일 기기와 앱을 도입하면서 보안팀은 새로운 문제와 직면합니다. 이에 따른 새로운 위협 요소와 영역을 인식해야 합니다.

 

· 모바일 기기: BOYD 환경에서 모바일 사용자는 보호된 기업 환경이 아닌 어디에서나 기기를 사용합니다. UEM/MDM 관리 시나리오에서도 완전히 관리되지 않는 경우가 많습니다. 바로 사용자는 스스로 기기를 완벽하게 제어할 수 있는 '기기 관리자'이기 때문입니다. 보안에 대한 보장 없이 기업 와이파이에 모바일 기기의 접속을 허용하면 기업의 자원에 액세스할 수 있습니다.

· 비즈니스용 앱: 모바일 앱은 앱 스토어에 배포되어 리버스 엔지니어링에 노출되고 공격자에 의해 변조되며, 주로 클라우드에 저장된 데이터로 앱 소유자의 통제 밖에 있는 최종 사용자의 기기에서 실행될 수 있습니다.

· 소비자용 앱: 기업이 세계로 진출하면서 비즈니스에 잠재적인 보안 위험을 초래하고 있습니다. 예를 들어, 직원들은 클립보드 콘텐츠에 액세스하고 기기에 있는 자원와 파일을 공유합니다.

 

 

위험 수준과 범위는 계속 증가하고 진화하고 있습니다. 동시에 모바일 위협과 복잡성을 해결할 수 있는 조직 내 자원은 부족합니다. 그 결과 모바일 기반 비즈니스를 위태롭게 하는 "취약성 격차"가 발생합니다. 근본적인 문제는 "조직은 비즈니스 무결성을 해치지 않으면서 모바일 기반 이니셔티브의 잠재력을 어떻게 실현하고 있습니까? - 즉 취약성 격차를 어떻게 해결하고 있습니까?" 입니다.

 

3) 모바일 우선 보안 전략의 5가지 핵심 원칙

 

Zimperium은 전 세계 수천 개의 기업과 정부 기관의 취약성 격차를 해결할 수 있도록 도움을 주고 있습니다. 10년 이상의 경험을 통해 모바일 기기와 앱, 사용자, 비즈니스 모델의 복잡성과 현실을 모두 고려한 모바일 우선 보안 전략을 통해 문제를 해결하는 정책과 제어에 대한 해답을 내놓았습니다. 이 전략은 모바일 기반 이니셔티브를 지원하고 실행하며 사용자와 생산성을 향상시킬 수 있습니다.

 

① 사용자 또는 진입 지점에 가까운 위험의 우선순위 지정 및 평가
: 모든 모바일 기반 비즈니스 이니셔티브의 보안을 우선시

② 모든 진입 지점에 대한 가시성 및 취약성 평가
: 모바일 위험 수준에 대한 가시성 확보, 취약성 자동 평가 및 해결, 측정과 감사, 보장할 수 있는 안전 조치 수립

③ 모바일에 대한 탐지 및 대응 전략 강화
: 이상 징후를 탐지 및 해결, 교정의 우선 순위 지정, 기기 및 앱 내 보안 내장, 엔드포인트의 제로 트러스트 평가 활성화

④ 변화하는 위협에 동적으로 대응
: 손상된 장치와 신뢰할 수 없는 환경을 자동으로 격리, 능동적이고 탄력적이며 확장할 수 있는 보안 태세를 구축

⑤ 보안 위험 대처
: 직원의 업무와 생활의 경계를 존중, 데이터 주권과 개인정보보호 준수

 

 

4) 모바일 애플리케이션 개발 고려 사항

 

· 빈번한 앱 업데이트(한 달에 1~4번)에 따라 개발 성능에 영향을 미치지 않고 규모에 맞게 보안을 보장하는 방법이 있습니까?

· 출시하는 앱의 개인정보보호 및 규정 준수 문제를 평가하는 방법은 무엇입니까?

· 앱에서 코드 난독화 또는 무결성 검사를 사용하고 있습니다? 리버스 엔지니어링을 차단하는 방법이 있습니까?

· OWASP, MASVS, NIAP 또는 MPoC 표준과 비교할 경우 앱 보호 접근 방식이 얼마나 우수합니까?

· 앱이 실행되는 장치의 위험 상태를 어떻게 평가하고 있습니까? 장치 증명에 대한 결정을 내릴 수 있는 보안 로직은 무엇입니까?

· 보안 또는 SOC 팀에게 공격에 대한 가시성을 제공하고 보안 워크플로의 일부로 사용할 포렌식을 제공할 수 있습니까?

· 감사 시 보안 메커니즘을 증명할 방법이 있습니까?

· 타사 SDK 사용으로 인한 위험을 식별하기 위한 강력한 워크플로가 있습니까?

 

 

5) 모바일 사용자 및 소비자로서 보안 조치 및 고려 사항

 

· 모바일 기기에 사용 가능한 경우 언제든지 보안 패치를 적용합니다.

· 한 기기에서 개발자 구성을 비활성하고 별도의 개발자 장치를 유지합니다.

· 승인된 앱 스토어의 앱을 선호합니다.

· 운영체제 및 앱이 자동으로 업데이트되는지 확인합니다.

· 다운로드 및 실행 시 앱이 요청하는 권한을 확인합니다.

· 설치하기 전에 앱에 대한 리뷰를 검토하여 의심스러운 경우 설치에 주의합니다.

· 외부 앱 검토 서비스를 활용하여 다운로드 하기 전에 위험 또는 개인정보를 파악합니다.

· 공용 와이파이의 사용을 배제하고 반드시 사용해야 하는 경우 VPN을 활용하여 트래픽을 암호화 합니다.

· SMS, 악성 URL, 피싱 보호 솔루션을 활용합니다.

 

---

1.3. 인공 지능과 모바일 보안의 미래

 

1977년 최초의 West Coast Computer Fair에서 테드 넬슨(Ted Nelson)은 "잊을 수 없는 향후 2년"이라는 박람회에서 개인용 컴퓨터의 폭발적 증가를 강조했습니다. 현재 인공지능(AI) 덕분에 우리는 "잊을 수 없는 앞으로 2년"의 새로운 버전을 경험하고 있습니다. ChatGPT는 최근 몇 년간의 AI 이정표 중 하나로써 Google의 LaMDA는 튜링 테스트를 통과한 최초의 AI 시스템으로 부상했습니다. AI는 사이버 보안에서도 혁신을 일으키고 있습니다. AI는 위협 탐지, 취약성 관리, 그리고 네트워크 감시와 같은 작업을 자동화하고 수행할 수 있기 때문입니다.

 

Zimperium은 머신러닝을 통해 악성 프로그램, 피싱, 시스템 악용, 네트워크 정찰, 탈옥, 시스템 이상 등 이상징후를 탐지할 수 있는 유일한 모바일 위협 방어(MTD) 제공 업체입니다. AI 혁신을 2023년에도 멈추지 않고 가속화될 것이며 Zimperium은 이 프로세스의 선두에 설 것입니다.

 

---

1.4. 관리되지 않는 모바일 기기를 보호하는 방법

 

전 세계적인 팬데믹, 금융 역풍, 원격 작업으로 인해 관리되지 않는 기기는 어디서나 작업이 가능한 경제의 일부분이 되었습니다. 조직은 모든 휴대폰 및 노트북, 태블릿 기기에 대한 비용을 지불하고 싶지 않습니다. 또한 직원들은 고용주가 자신의 휴대폰에 소프트웨어를 설치하는 것을 원하지 않습니다.

관리되지 않는 장치는 조직의 수익에 도움이 될 수 있지만 관리되는 하드웨어만큼은 안전하지 않습니다. 위협 요인들은 Verizon 보고서에 따르면 모바일 관련 손상은 2021년에서 2022년으로 두 배 증가했으며, 피싱 성공의 약 5분의 1이 모바일 장치에서 발생합니다. 2022년 IBM 데이터 침해 비용 보고서에 따르면, "원격 근무가 침해를 유발하는 요인이 되는 비용"은 직원이 사무실에 있을 때보다 약 100만 달러 더 많은 것으로 나타났습니다.

 

Zimperium은 기기 내 위협을 탐지하는 RSA Mobile Lock을 개발했습니다. Lock은 RSA Authenticator App의 일부로 자동 배포되며 탈옥한 기기나 의심스러운 앱, 권한 상승, 중간자 공격, 기타 위협과 같은 중요한 위험을 검사합니다. Mobile Lock은 위협을 탐지하면 사용자가 RSA Authenticator를 사용할 수 없도록 제한합니다. Mobile Lock은 위협을 탐지해도 기기에 있는 다른 모든 시스템에 영향을 미치지 않는 상태로 유지합니다. 사용자는 여전히 전화, 문자, 인터넷 연결, IT 팀에 연락하여 문제를 해결할 수 있습니다.

 

관리되지 않는 기기 수의 증가는 공격 표면의 증가를 뜻합니다. 모바일 보안 문제를 신속하게 처리하기에는 보안 솔루션이 너무 파편화되어 있습니다. 이러한 문제를 해결하기 위해서는 자동으로 위험을 발견하고 분류하며 대응하는 지능형 솔루션이 필요합니다.

 

 

 

 

 

출처: Zimperium Global Mobile Threat Report 2023

2023 Global Mobile Threat Report - Zimperium