본문 바로가기
모바일 보안

Zimperium Global Mobile Threat Report 2023 (4)

by eNsecure 2023. 8. 25.

Zimperium Global Mobile Threat Report 2023

 

 

 

4.1. 모바일 뱅킹을 위협하는 트로이목마

 

Zimperium zLabs 연구팀은 매일 수십만 개의 앱을 최첨단 머신러닝 모델 및 기타 독점 기술로 분석합니다. 아래 내용은 2022년에 발표된 보고서에서 발췌하여 전 세계 사용자의 Android 모바일 앱을 대상으로 한 10개의 뱅킹 트로이목마를 조사했습니다. 이 보고서에서 다루는 금융앱은 Google Play Store를 통해 확인할 수 있습니다. 이 보고서에서 다루는 뱅킹, 투자, 결제, 암호화폐 서비스를 포괄하는 639개 금융 앱 전체 목록과 각각을 표적으로 삼는 다양한 뱅킹 트로이목마 계열은 Mobile Banking Heists report에서 제공됩니다.

 

 

1) 모바일 뱅킹의 공격자

 

오늘날 금융 고객은 본인의 자산에 그 어느때보다 쉽게 접근할 수 있습니다. 이제 은행 지점은 대로변의 건물에서 고객의 손바닥으로 이동했고 손가락 하나로 자산을 이동시킬 수 있게 되었습니다. 공격자는 그에 따라 접근 방식을 발전시켜 왔으며 공격은 점점 더 정교해지고 있습니다. 모바일 금융앱에 대한 잠재적인 공격의 경로는 무궁무진하며 매년 계속 증가하고 있습니다. 은행 강도는 마스크를 쓰지 않고도 컴퓨터와 뱅킹 트로이목마를 사용하여 디지털 강도를 계획합니다. 디지털 은행 강도들은 쉽게 대중에게 다가가 눈에 띄지 않고 희생양을 기다립니다.

 

트로이목마는 RAT(Remote Access Trojan), Backdoor Trojan, SMS Trojan 등 다양한 종류가 있으며, 1970년대 ANIMAL의 탄생으로 트로이목마의 사용이 시작되었습니다. 이후 지속적으로 변형과 사용이 증가하면서 2004년 최초의 모바일 전용 트로이목마가 등장하여 심비안 장치를 감염시켰고 블루투스를 통해 확산되었습니다.

 

은행 및 금융 서비스 부문은 트로이목마의 정교한 공격을 계속 시도하여 금융적 혼란을 초래하고 있습니다. 미국인 4명 중 3명(1억 9300만 명)은 뱅킹앱을 사용하여 수표를 입금하거나 계좌 잔고를 확인하거나 금융 자산을 이체하는 등 일상적인 은행 업무를 수행하고 있어 뱅킹 트로이목마의 적극적인 대상이 되고 있으며, 10대의 거의 절반(48%)이 모바일 기기나 웹 사이트를 사용하여 돈을 관리하고 있어 개인 식별 정보(PII)가 자신이나 보호자 모르게 위험에 노출되고 있습니다.

 

 

2) 모바일 뱅킹 트로이목마

 

오늘날 배포되는 뱅킹 트로이목마는 더 많은 희생자를 유발하기 위해 오래된 기술과 새로운 기술이 혼합되어 있습니다.

 

① 배포: 앱 스토어, 특히 타사 앱 스토어나 SMS 메시지를 통해 배포됩니다.

② 속임수: 친숙함과 신뢰감을 주기 위해 유명 브랜드로 위장합니다.

③ 공격: 키로깅을 통해 로그인 자격 증명을 도용하거나 악성앱에 자동으로 권한을 부여하는 접근성 높은 서비스를 대상으로 합니다.

④ 통신 및 제어: 명령 및 제어 서버와 상호 작용하여 도난당한 데이터를 공유하고 장치에 대한 원격 제어를 설정합니다.

⑤ 회피: 탐지를 피하기 위해 운영체제의 실행기에서 앱 아이콘을 숨기는 경우가 많으며 악성 프로그램 방지 앱에 의한 탐지를 비활성화 합니다.

 

글로벌 모바일 뱅킹 사용자를 대상으로 하는 뱅킹 트로이목마에는 두 가지 유형이 있습니다. 첫 번째 유형은 은행 자격 증명 및 데이터를 유출하고 계정 소유자의 계정과 연결된 다중 요소 인증과 같은 보안 제어에 영향을 미치도록 설계된 기능을 포함한 대규모 공격 체인의 일부입니다. 두 번째 유형은 사용자가 로그인할 때 앱을 통해 직접 돈을 훔치도록 설계된 데이터 입력 기능과 스크린 스크레이퍼나 키로거와 같은 기능을 추가합니다.

 

 

3) 위험한 모바일 금융앱

 

금융앱 제공 업체를 향한 위험은 다양하며 초기 공격 이후에도 계속해서 비즈니스에 부정적인 영향을 미칩니다.

 

- 데이터 도난

개인 식별 정보(PII) 및 이름, 비밀번호, 결제 카드 세부 정보를 포함한 기타 중요한 데이터는 손상된 금융앱을 통해 쉽게 액세스할 수 있습니다. Sharkbot 및 Medusa와 같은 모바일 뱅킹 트로이목마와 기타 모바일 악성 프로그램은 키로거 및 오버레이 스크린, 내게 필요한 서비스 이용을 포함한 다양한 기술을 사용하여 데이터를 빼냅니다.

 

- 규제적 벌금 및 손해 배상

데이터 보안에 대한 글로벌 법률이 금융앱 보안 위반에 대해 처벌하는 내용을 담고 있습니다. 예를 들어, EU의 GDPR에 따라 법을 위반한 기업은 글로벌 수익의 최대 4%에 해당하는 벌금을 물 수 있습니다. 벌금 외에도 영향을 받은 사용자에게 상당한 보상금을 지불해야 합니다.

 

- 신뢰 상실

고객은 사이버 보안 침해를 겪는 기업에 대한 신뢰를 잃습니다. 미국 소비자의 83%가 영향을 받은 기업과 거래를 최소 몇 달 동안 중단하는 반면 영국 소비자의 40% 이상은 다시는 거래를 하지 않겠다고 답했습니다. 게다가 새로운 고객을 확보하는 데 더 많은 비용이 듭니다.

 

- 도난된 자산

뱅킹앱에는 송금이나 주식 및 암호화폐의 매매 능력, 모바일 거래에 사용되는 결제 토큰 등 직접적으로 금전적 가치가 있는 항목들이 포함되어 있습니다. 이러한 자산의 도난은 소비자와 은행의 사기 및 피해로 직접 이어집니다.

 

4.2. 2023년 이후의 모바일 결제 보안

 

금융 모바일 결제 산업의 혁신이 빠르게 진행되고 있습니다. 새로운 표준과 혁신의 도입으로 소프트웨어 기반 POS(Point-of-Sale) 부문은 기하급수적으로 성장할 준비가 되어 있습니다. 하지만 중요한 보안 문제가 해결될 경우에만 그렇습니다. 이제 PCI(Payment Card Industry)가 COTS(off-the-shelf) 장치에 SoftPOS에 대한 적절한 업계 표준을 제공함으로써 앞으로 훨씬 더 많은 일이 일어날 것입니다.

 

1) SoftPOS가 극단적인 성장을 예고하는 이유

 

SoftPOS는 스마트폰을 사용하여 하드웨어 결제 단말기 대신 모바일 앱을 통해 비접촉식 카드 및 모바일 결제를 받는 방식입니다. POS 시장에서는 SoftPOS가 큰 인기를 끌고 있습니다. SoftPOS 솔루션을 통해 가맹점은 Android 또는 iOS 스마트폰 및 태블릿과 같은 근거리 무선 통신(NFC) 지원 모바일 장치에서 결제를 받을 수 있습니다.

 

SoftPOS는 새로운 것이 아닙니다. 몇 년 전부터 소규모 가맹점과 결제 브랜드가 비접촉식 결제를 허용하는 모바일 앱을 시범 운영했었으며, MyPinPad, Rubean, Amadis, VivaWallet, Synthesis, PayFelix와 같은 솔루션 공급업체가 급성장하는 SoftPOS 시장에 서비스를 제공하기 위해 등장했습니다. 현재까지 SoftPOS 솔루션은 Android 기기에서 주로 사용할 수 있습니다. 2020년 Apple은 최초의 SoftPOS 솔루션 제공업체 중 하나인 Mobeewave를 인수하고 2022년에 자체 SoftPOS 솔루션인 Tap to Pay on iPhone을 공개했습니다.

 

PCI가 이제 막 COTS 장치에 대한 SoftPOS에 대한 적절한 업계 전반의 보안 표준을 제공했습니다. 이 새로운 표준은 2022년 말에 출시된 MPoC(Mobile Payments on COTS)입니다.

 

 

 

2) MPoC의 출현과 시사점

 

MPoC의 목표는 SoftPOS 솔루션에 대한 업계 전반의 표준을 제공하는 것입니다. SoftPOS 솔루션은 Android 및 iOS에서 실행되는 스마트폰 및 태블릿을 포함하여 가맹점이 NFC 지원 장치에서 안전하게 결제를 받을 수 있도록 합니다. PCI MPoC는 가맹점의 디지털 거래로의 전환을 가속화하고 소규모 가맹점뿐만 아니라 SoftPOS 기술이 도움이 될 수 있는 대규모 업체 및 인접 시장(운송 및 인증)에 의한 SoftPOS 솔루션의 전 세계적 채택을 가속화할 것입니다.

 

 

3) MPoC가 다른 이유

 

2022년 말까지 PCI는 모바일 결제 분야에서 SPoC(Software-based PIN Entry on COTS) 표준과 CPoC(Contactless Payments on COTS) 표준 두 가지를 보유하고 있었습니다. 이러한 기존 표준은 솔루션 개발자와 최종 사용자가 외부 물리적 장치(SPoC의 경우 보안 카드 리더기)를 사용해야 하거나 CVM(카드 소지자 확인 방법) 한도를 초과하는 결제를 PIN으로 허용할 수 없기 때문에 제한 사항을 부과했습니다.

 

인증 옵션의 기능 확장 및 발전 외에도 MPoC 표준은 보안 요구 사항 자체에 PCI에 대한 근본적인 변화를 가져옵니다. 이는 매우 규정적인 보안 요구 사항에서 객관적인 보안 요구 사항으로 변화합니다.

 

목표 기반 보안 요구사항은 개발자가 수행해야 하는 작업(코드 난독화)에서 솔루션이 달성해야 하는 작업(리버스엔지니어링에 대한 높은 저항력)으로 중요한 변화를 가져옵니다. 이러한 보안 요구사항의 중대한 변화는 개발자에게 더 많은 설계와 구현의 자유를 가져다 줄 뿐만 아니라 보안에 대한 접근 방식을 단순한 규정 준수에서 실질적인 보안 보증으로 변경합니다. 모든 가맹점이 현금 대신 전자(카드 또는 모바일 기반) 결제를 받을 수 있게 함으로써 SoftPOS는 엄청난 잠재력을 제공합니다. 그러나 전통적인 하드웨어 기반 POS 기술에서 SoftPOS 솔루션으로 전환하는 데에는 어려움도 따릅니다.

 

 

4) MPoC의 잠재력을 실현하는 데 보안이 중요한 이유

 

PCI MPoC 표준은 판매자에게 SoftPOS 솔루션 채택을 가속화할 것으로 예상됩니다. MPoC 표준을 채택하려면 개발자들은 솔루션 PCI MPoC 인증을 받아야 합니다. 이 인증은 솔루션이 측정 가능한 강력한 보안 요구 사항을 포함하여 표준의 보안 요구 사항을 효과적으로 준수하는지 확인하기 위해 PCI 공인 보안 연구소에서 솔루션을 평가해야 합니다.

 

PCI SPoC 및 CPoC와 달리 MPoC 인증을 획득하려는 솔루션 개발자는 SoftPOS 솔루션이 MPoC의 보안 요구 사항에 지정된 공격 저항 임계값을 충족하는지 확인해야 합니다. 여기에는 암호화 키 보호와 SoftPOS 모바일 앱의 고급 리버스엔지니어링 및 변조에 대한 저항이 포함됩니다. 또한 솔루션은 증명 및 모니터링 시스템의 일부로 COTS 플랫폼의 위협 및 손상에 대한 가시성을 제공해야 합니다.

 

 

5) 보안 필수 사항을 해결하는 데 따르는 위험성

 

공격과 후속 피해로부터 보호하기 위해 SoftPOS 솔루션은 SoftPOS 앱을 실행하는 장치에 물리적으로 액세스할 수 있는 악성 프로그램, 범죄 조직, 원격 공격자 및 악의적인 행위자를 포함한 모든 관련 공격 및 위협 요소를 막아야 합니다. SoftPOS 앱이 적절하게 보호되지 않으면 소비자 또는 공격자가 결제를 위조하거나 환불하는 경우, 무단 거래를 수행하는 판매자, CNPF를 위해 카드 데이터를 수집하는 범죄 조직 등 다양한 방법으로 솔루션이 악용될 수 있습니다.

 

SoftPOS 솔루션 보안을 위한 가장 중요한 보안 요구 사항, 해결해야 할 특정 위협, 기존의 접근 방식이 부족한 이유는 Zimperium에서 확인하실 수 있습니다.

 

4.3. 모바일 앱과 안전하지 않은 클라우드 스토리지: 위험한 조합

 

우리는 많은 모바일 앱을 사용하고 있습니다. 2022년 동안 모바일 기기 사용자는 2550억 개의 앱을 다운로드했습니다. 또한 엔터프라이즈 클라우드 사용을 주도하는 디지털 전환은 폭발적인 성장을 지속하고 있습니다. 2015년과 2022년 사이에 클라우드에 저장된 기업 데이터의 비율은 30%에서 60%로 두 배 증가했습니다.

 

사용 중인 클라우드 스토리지에는 크게 세 가지 유형이 있습니다. 객체 스토리지, 파일 스토리지, 블록 스토리지 입니다. 파일 스토리지는 계층형 폴더 및 파일 형식으로 데이터를 구성하는 데 가장 적합합니다. 객체 스토리지는 비정형 데이터를 처리하도록 설계되었으며 블록 스토리지는 데이터를 블록 형태로 저장하므로 데이터베이스를 활용하는 엔터프라이즈 애플리케이션에 효율적인 선택입니다.

 

이 모든 클라우드 인프라는 모바일 앱 개발자들에게 매우 매력적입니다. 조직이 점점 클라우드 환경에 더 많이 의존하면서 모바일 앱 개발자는 클라우드 인프라를 최대한 활용하여 이를 실현하고 있습니다. 개발자가 이를 달성하는 한가지 방법은 클라우드 기반 스토리지를 활용하는 것입니다. 이 접근 방식은 여러 가지 이점을 제공하지만 잠재적인 보안 위험을 노출시킵니다.

 

Zimperium 팀은 주요 앱 스토어에서 다운로드되는 수 천개의 앱을 광범위하게 조사합니다. 이러한 광범위한 조사와 모니터링의 일환으로 Zimperium 팀은 앱이 액세스하는 클라우드 스토리지 인스턴스를 분석합니다. 그 후 인증을 필요로 하지 않고 읽기 권한을 가진 인스턴스를 구체적으로 살펴봅니다. 인벤토리 포함된 모바일 앱 전체 데이터베이스에서 전체 iOS 앱의 2%, Android 앱의 10%가 안전하지 않은 클라우드 인스턴스에 액세스했습니다.

 

다음은 인증이 필요 없는 액세스 중인 클라우드 스토리지 인스턴스 유형입니다:

 

- Google Firebase 인스턴스의 40%

- Google Cloud Platform 인스턴스의 25%

- Amazon S3 인스턴스의 23%

- Microsoft Azure 클라우드 스토리지 인스턴스 11%

 

이 문제는 클라우드 공급자의 잘못이 아닙니다. Google이나 Microsoft, AWS는 모두 스토리지 인스턴스에 인증을 적용하는 옵션을 제공합니다. 문제는 개발팀이 이러한 보호 기능을 활용하기 위해 클라우드 인스턴스를 적절하게 구성하지 못하고 있다는 점입니다.

 

 

1) 소수의 안전하지 않은 인스턴스가 야기하는 큰 위협

 

보호되지 않은 클라우드 스토리지 인스턴스에 액세스하는 모든 앱 중 60%는 매우 적은 비율인 약 1%의 인스턴스에 액세스하고 있습니다. 연구팀은 보호되지 않은 이 작은 비율의 인스턴스가 서비스 제공 업체가 제공하거나 특정 SDK(소프트웨어 개발 키트)에 포함되어 있다고 의심합니다. 이는 소수의 보호되지 않은 인스턴스나 부적절하게 구성된 앱이 얼마나 많은 노출을 초래할 수 있는지를 보여줍니다.

 

 

2) 보안되지 않은 인스턴스의 약 30%가 중요한 데이터를 노출

 

법적인 이유로 Zimperium은 노출된 Google Firebase 인스턴스의 내용을 검사하지 못하기 때문에 연구팀은 해당 인스턴스 중 얼마나 많은 인스턴스가 민감한 데이터를 노출할 수 있는지 알 수 없습니다. 조사한 나머지 안전하지 않은 클라우드 스토리지 인스턴스 중 약 30%가 비밀번호 및 암호화 키, 개인 식별 가능 정보와 같은 잠재적으로 민감한 정보를 노출하고 있는 것으로 나타났습니다.

 

개발자들은 이러한 보호되지 않은 스토리지 인스턴스로 인해 발생하는 위험을 인식하지 못하는 경우가 많습니다. 따라서 노출된 클라우드 인스턴스가 구현될 때마다 개발자가 무의식적으로 이를 사용하여 민감한 자산을 저장할 수 있는 위험이 있습니다. 즉 현재 인스턴스의 70%가 민감한 데이터를 보유하고 있지 않다고 해서 내일도 그렇지 않을 것이라는 의미는 아닙니다.

 

개발자들은 제품 출시에 우선순위를 두고 보안을 부차적인 관심사로 두거나 전혀 고려하지 않는 경우가 많습니다. 따라서 개발팀이 보안을 간과하는 위험을 평가하고 해결하지 못할 경우 조직과 애플리케이션 사용자 모두 취약성에 노출될 수 있으며, 피해가 발행할 때까지 탐지되지 않을 수 있습니다.

 

4.4. OWASP Mobile 상위 10개 및 MAVS 표준: 개발자가 안전한 앱을 만드는 방법

 

1) OWASP, 모바일 앱 개발자 지원

 

전반적으로 업계 표준은 모바일 앱 개발자가 고객의 요구를 충족하는 고품질의 신뢰할 수 있고 안전한 소프트웨어 제품을 만들 수 있도록 지원하는 모범 사례 및 지침을 제공합니다.

 

- 업계 표준을 준수하면 서로 다른 플랫폼 및 장치에서 소프트웨어 제품의 상호 운용성, 호환성 및 품질을 보장할 수 있습니다.

- 업계 표준은 개발자가 맞춤형 솔루션을 개발할 필요성을 줄여 시간과 노력을 절약할 수 있는 공통 프레임워크를 제공합니다.

- 업계 표준을 따르면 최신 동향을 알고 기술 및 고객 기대에 부응함으로써 경쟁력을 유지하는 데 도움이 됩니다.

- 업계 표준은 데이터 보호 및 암호화, 인증에 대한 모범 사례를 제공하여 모바일 앱과 해당 사용자의 보안과 개인 정보를 보호합니다.

- 일부 산업 표준은 특정 시장 분야에도 필요합니다. 특히 OWASP Mobile Top 10 및 MASVS는 모바일 애플리케이션 개발자가 안전한 모바일 앱을 구축하는 데 도움이 됩니다.

 

 

2) OWASP Mobile Top 10

 

OWASP Mobile Top 10은 모바일 앱과 관련된 상위 10대 보안 위험 목록입니다. 모바일 앱 개발자와 보안 전문가, 최종 사용자에게 모바일 앱에 존재하는 가장 일반적인 취약성 및 위협에 대한 지침을 제공합니다.

 

OWASP Mobile Top 10에 설명된 권장 사항에 따라 개발자는 민감한 사용자 정보를 보호하고 악의적인 공격을 방지하는 보다 안전한 모바일 앱을 만들 수 있습니다. 마찬가지로, 조직은 본인이 사용하거나 배포할 모바일 앱의 보안을 평가할 수 있으며, 최종 사용자는 장치에 다운로드하여 사용하는 모바일 앱에 대한 정보를 바탕으로 결정을 내릴 수 있습니다.

 

 

3) MASVS

 

OWASP MASVS는 모바일 앱 보안을 위한 업계 표준입니다. Android나 iOS와 같은 다양한 플랫폼 및 소비자나 기업의 배포 시나리오에서 모바일 앱 보안을 평가하는 데 사용할 수 있는 포괄적인 보안 제어 기능을 제공합니다. 스토리지, 암호화, 인증 및 권한 부여, 네트워크 통신, 모바일 플랫폼과의 상호 작용, 코드 품질, 리버스 엔지니어링 및 변조에 대한 복원력 등 모바일 앱 공격 표면의 주요 구성 요소를 포함합니다.

 

 

4) 상위 OWASP 위험 영역

 

- 암호화 요구사항

모바일 앱의 암호화 메커니즘이 안전하게 설계 또는 구현되지 않았음을 나타냅니다. 중요한 데이터 및 통신이 무단 액세스 또는 변조으로부터 제대로 보호되지 않을 수 있습니다.

 

- 복원력 요구사항

앱이 안전하지 않거나 민감한 지적 재산을 노출하는 경우 앱과 소유자를 다양한 기술 및 비즈니스 위험에 노출시킬 수 있는 바이너리 보호가 부족함을 나타냅니다. 바이너리 보호가 없으면 공격자가 모바일 앱을 신속하게 분석하고 리버스엔지니어링이나 변조할 수 있습니다.

 

- 네트워크 통신 및 요구사항

모바일 앱 개발자가 앱에 안전한 네트워크 통신을 구축하지 않았음을 나타냅니다. 중요한 사용자 데이터가 네트워크 기반 공격으로부터 적절하게 보호되지 않을 수 있습니다.

 

- 데이터 스토리지 및 개인 정보 요구사항

모바일 앱의 데이터 저장 및 개인 정보 보호 요구사항은 사용자 데이터를 무단 액세스 또는 오용으로부터 보호하는 데 중요합니다.  데이터 유출, 규정 준수 위반, 사용자 신뢰 상실, 부정적인 언론의 관심 등 심각한 결과를 초래할 수 있는 위반을 나타냅니다. 따라서 앱 개발자는 이러한 요구사항을 준수하여 사용자 데이터를 보호하고 법적 및 평판 손상을 방지해야 합니다.

 

4.5. 암호화 키 보안: 모바일 앱 보안의 필수 요소

 

암호화(Cryptography)는 데이터를 암호화하고 복호화하는 과정을 말합니다. 데이터가 암호화되면 정교한 수학적 알고리즘을 사용하여 데이터를 해독할 수 없는 암호문으로 변환됩니다. 데이터를 해독하거나 암호문에서 원래 형식으로 다시 변환하려면 암호화 키가 필요합니다. 데이터에 접근할 수 있는 것은 복호화 서비스나 플랫폼에 키가 제공되는 경우에만 가능합니다.

 

광범위한 보안 수준과 성능 특성을 제공하는 다양한 유형의 암호화 알고리즘이 있습니다. 일부 알고리즘은 대칭 암호화를 사용합니다. 즉, 암호화와 복호화에 동일한 키가 사용된다는 것입니다. 공개 키 암호화라고 알려진 비대칭 암호화는 공개 키와 개인 키라는 한 쌍의 키를 포함합니다. 공개 키로 암호화된 데이터는 해당 개인 키로만 복호화할 수 있습니다.

 

일반적으로 특정 애플리케이션은 수행되는 작업의 성격과 관련된 보안 요구 사항에 따라 여러 암호화 방식과 프로토콜을 사용합니다. 대부분의 경우 신용 카드 번호 암호화와 같은 단일 목적을 위해 특정 키를 사용하는 것이 안전합니다. 따라서 대부분의 애플리케이션은 수십 개의 키를 가질 수 있습니다.

 

 

 

1) 키: 암호화의 아킬레스건

 

대부분의 암호화 접근 방식은 공격자가 암호화 키에 액세스할 수 없다는 기본적인 가정을 바탕으로 합니다. 이러한 접근 방식은 공격자가 키에 액세스하지 않고 암호화를 우회하려는 "블랙박스" 공격을 효과적으로 방지합니다.

 

암호화 작업은 소프트웨어에서 실행됩니다. 따라서 키 값이 애플리케이션 내에 저장되거나 기본 암호화 프로세스에 매개 변수로 전달됩니다. 이는 심각한 취약성을 나타냅니다. 공격자는 애플리케이션의 정적 분석을 수행하여 키 정보에 액세스할 수 있습니다. 또한 앱을 실행하고 통신을 가로채기 위해 디버거 및 기타 동적 도구를 사용할 수 있습니다. 이는 공격자가 소프트웨어 기반 암호화 "박스" 내부를 볼 수 있기 때문에 "화이트박스" 공격이라 합니다.

 

 

2) 모바일 장치 소프트웨어 기반 암호화의 취약성

 

모바일 앱의 영역에서 소프트웨어 기반 암호화 접근 방식은 훨씬 더 큰 위험을 초래합니다. 애플리케이션과 암호화 프로세스는 모바일 장치 내에서 실행되므로 원격 공격뿐만 아니라 물리적 도난에도 취약합니다. 키와 민감한 자산을 보유하고 있는 장치가 공격자의 손에 넘어가면 노출과 도난에 매우 취약합니다.

 

 

3) 화이트박스 암호화


화이트박스 암호화는 소프트웨어 기반 암호화의 위험을 해결하기 위해 개발되었습니다. 2000년대 초에 도입된 화이트박스 암호화는 암호화 키 정보를 보호하기 위한 메커니즘을 사용합니다. 목표는 암호화 키가 코드에 정적으로 노출되거나 메모리에 동적으로 노출되지 않도록 하는 것입니다. 이를 통해 공격자가 리버스엔지니어링 또는 동적 검사 기법을 사용하여 암호화 키를 찾아 유출할 수 없습니다. 모바일 장치를 도난당하더라도 안전을 유지할 수 있습니다.

 

 

4) 화이트박스 암호화의 일반적인 용도

 

화이트박스 암호화는 다양한 앱, 특히 메모리에 키를 저장하고 공격으로부터 강력한 보호가 필요한 앱에서 사용됩니다.

 

- DRM(Digital Rights Management): 음악, 영화, 소프트웨어와 같은 저작권이 있는 콘텐츠를 보호하기 위해 화이트박스 암호화를 사용합니다. DRM 시스템에 사용되는 암호화 키를 보호하기 위해 사용될 수 있으므로 공격자가 키를 추출하고 DRM 보호를 우회하기 어렵게 합니다.

 

- 모바일 결제 시스템: 다수의 모바일 결제 시나리오에서 사용되고 있으며, 신용카드 정보와 같은 중요한 금융 데이터를 보호하는 데 도움이 됩니다. 자산을 암호화하는 데 사용되는 키를 보호하여 공격자가 데이터를 암호화할 수 없도록 보장합니다.

 

- 통신: 인스턴트 메시징 및 이메일과 같은 통신앱을 보호하는 데에도 사용되고 있으며, 통신 암호화에 사용되는 키를 보호함으로써 키 및 암호화된 메시지에 액세스하려는 공격자로부터 보호할 수 있습니다.

 

 

5) 강력한 화이트박스 암호화가 필수인 이유

 

적절히 구현된 암호화에 대한 블랙박스 공격은 여전히 매우 어렵습니다. 대부분의 경우 양자 컴퓨팅 시스템의 사용을 통해서만 가능하며, 이는 현 시점에서 큰 위협이 됩니다. 공격자는 암호화 키에 대한 액세스 권한을 얻기 위해 화이트박스 공격을 계속 사용합니다.

 

이러한 위협은 공격자들의 지속적인 기술 발전에 의해 더욱 가속화되고 있습니다.예를 들어 화이트박스 암호화는 소위 "차등" 공격에 의해 노출되었습니다. 이러한 공격은 차등 결함 분석과 같은 다양한 형태를 취할 수 있습니다. 이 전술은 키와 같은 암호화 자료를 포함하여 내부 상태를 드러내기 위해 암호 시스템에 결함을 유도하는 방식으로 사용됩니다. 차등 공격은 고도로 자동화되고 정교하지 않은 공격자도 사용할 수 있기 때문에 적응형 화이트박스 암호화 메커니즘이 사용되어야 합니다.

 

궁극적으로 암호화 기술이 제공하는 보안은 암호화 키를 둘러싼 보안만큼 강력합니다. 암호화 키는 물론이고 암호화된 키도 취약한 것은 마찬가지입니다. 모바일 기기가 은행, 쇼핑, 다중 요소 인증 등 점점 더 중요한 작업에 계속 사용되면서 최첨단 화이트박스 암호화 기술의 필요성이 점점 더 중요해지고 확산되고 있습니다.

 

5.1. 결론

 

1) 모바일 기반 비즈니스 이니셔티브

 

모바일 기기는 전 세계 수십억 명의 사용자들의 일상 생활에서 점점 더 중요해지고 있습니다. 이 장치들은 쇼핑, 은행, 엔터테인먼트, 의료 등 다양한 용도로 사용됩니다. 직원들에게 모바일 기기는 업무를 수행하기 위한 필수적인 도구입니다. 이러한 현실을 감안할 때, 모바일 기반 비즈니스 이니셔티브는 점점 더 전략적으로 성장하고 있습니다.더 발전된 모바일 기반 서비스를 제공하는 것은 오늘날 조직의 성공을 위한 핵심 요구 사항이며, 앞으로 나아가야 할 필수 요소입니다.

 

 

2) 모바일 기반 비즈니스를 향한 공격

 

오늘날의 기업과 정부 기관의 모바일 기반 이니셔티브가 공격을 받고 있습니다. 사이버 범죄자와 국가는 그들의 역량을 계속 확장하고 있으며 공격의 양과 정교화가 계속 증가하고 있음을 의미합니다. 공격자는 스파이웨어이나 피싱, 랜섬웨어와 같은 전술을 활용하여 계속해서 취약성을 악용하고 사용자를 속이는 데 성공합니다. 그 과정에서 개인 모바일 기기 사용자뿐만 아니라 전세계 기업이 노출되고 있습니다.

 

 

3) 필수적인 모바일 우선 보안 전략

 

조직은 기존의 위험에 노출되지 않고 모바일 기반으로 운영되는 기회를 어떻게 활용할 수 있을까요? 번창은 고사하고 생존하기 위해서는 모바일 우선 보안 전략을 사용해야 합니다. 모바일 우선 보안 전략은 5가지 주요 원칙으로 구성되어 있습니다. 이 원칙을 적용하여 팀은 장치 및 네트워크, 피싱, 애플리케이션 공격으로부터 보호하는 적응형 고급 보호 기능을 구축해야 합니다.

 

 

 

 

 

출처: Zimperium Global Mobile Threat Report 2023

 

2023 Global Mobile Threat Report - Zimperium

The Zimperium 2023 Global Mobile Threat Report examines the trends that shaped the mobile security landscape over the last year and analyzes research from Zimperium’s zLabs team, as well as third-party industry data, partner insights, and observations fr

www.zimperium.com

 

저작자표시 비영리 변경금지

'모바일 보안' 카테고리의 다른 글

Zimperium Global Mobile Threat Report 2023 (3)  (0) 2023.08.17
Zimperium Global Mobile Threat Report 2023 (2)  (0) 2023.08.09
Zimperium Global Mobile Threat Report 2023 (1)  (0) 2023.08.04
귀사의 영업비밀이 유출되고 있습니다.  (0) 2020.07.08
모바일 위협 #1 OS 취약점 공격  (0) 2020.06.19
iOS 메일 앱에서 취약점 발견  (0) 2020.06.17

관련글

댓글

티스토리툴바