모바일 뱅킹 앱 보안을 위한 새로운 접근 방식 (1)

모바일 뱅킹 애플리케이션은 LOB(Line of Business), 개발 및 앱 보안 관리자에게 중요한 보안 문제를 제시합니다. 그러나 애플리케이션 보안은 모바일 앱 개발 관리자의 핵심 역량은 아닙니다. 여기에서 바이너리 및 소스 코드 수준에서 통합된 모바일 뱅킹 애플리케이션 보안에 대한 새로운 접근 방식을 살펴보도록 하겠습니다.

---

개요

오늘날 대부분의 금융 기관은 모바일 뱅킹 서비스를 제공합니다. 모바일 서비스를 제공하는  주요한 이유로는 기존 고객 유지, 경쟁 및 비용 압박 해소, 신규 고객 유치, 시장 주도권 계획 등이 있습니다. 그러나 모바일 뱅킹 서비스의 확산은 새로운 위험을 야기합니다. 공격자에게 보안 장벽을 뚫을 수 있는 청사진을 제공하기 때문입니다.

 

보안 분야에서 소위 “만능 열쇠”은 존재하지 않습니다. 이 때문에 포괄적인 솔루션에는 여러 단계로 계층이 나뉘어 있습니다. 네트워크 및 장치 보안 예방 조치 외에도 보호되지 않은 애플리케이션이 공격 경로가 되지 않도록 모바일 및 웹 애플리케이션 자체를 보호해야 합니다.

 

대부분의 애플리케이션 보안 솔루션은 네트워크 및 장치 보안과 더불어 모바일 뱅킹 앱을 앱 스토어에서 배포할 때의 실시간 위협 데이터 수집, 모니터링 또는 분석 기능을 포함하지 않습니다. 모바일 중심 시대에서 모바일 앱은 앱 스토어를 통해 배포되고 사용자가 인지하는 제로 트러스트 환경으로 다운로드됩니다. 모바일 장치에 앱이 설치된 이후 피드백이 없다면 적시에 공격에 대응할 수 없습니다. 이러한 환경에서 공격자는 앱을 쉽게 악용할 수 있으며 대부분의 경우 제대로 방어할 수 없습니다.

 

 

 

엄청난 보안 문제를 야기하는 모바일 뱅킹 앱

모바일 뱅킹 앱은 민감한 개인 정보와 데이터를 수집하여 특정 은행 또는 결제 카드 계좌에 접근할 수 있도록 하므로 보안이 큰 문제입니다. 앱 보안에 문제가 생기면 상당한 브랜드 손상을 초래하여 매출 손실, 비용 증가, 거버넌스 및 규정 위반에 따른 벌금 등의 결과를 초래할 수 있습니다. 고객들은 신분 도용으로 문제가 발생할 가능성을 가장 두려워합니다. 많은 사람이 보안 때문에 모바일 뱅킹 서비스를 아예 이용하지 않는 방향으로 위험에 대한 노출을 줄이려 하기도 합니다.

 

모바일 뱅킹 앱의 취약성은 광범위한 위험을 발생시킵니다. 코드의 취약점을 통해 리버스 엔지니어링으로 쉽게 노출될 수 있습니다. 안드로이드 OS의 뱅킹 앱에 대한 연구에 따르면 약 60%의 앱이 소스 코드를 난독화하지 않은 것으로 나타났습니다.

 

은행 고객들은 모바일 뱅킹의 보안 미흡으로 인한 피해를 두려워합니다. 2021년 2분기 디지털 뱅킹 거래 피해의 70%¹가 모바일 채널에서 발생했으며, 모바일 뱅킹 앱과 관련된 피해가 가장 큰 증가세를 보였습니다.

 

2021년 2분기 인기 앱 스토어에 업로드된 악성 모바일 앱의 수가 전년 대비 140% 증가한 66%에 달했습니다². 사이버 공격자들은 정상적인 은행 앱의 소스 코드를 디컴파일하여 악성 모바일 앱을 만들기도 합니다.

 

모바일 보안 위험도 도처에서 증가하고 있습니다. Verizon Mobile Security Index 2021에 따르면 아래와 같습니다³.

 

• 응답자의 4분의 1은 팬데믹으로 인해 시행된 제한 조치에 대응하기 위해 모바일 기기의 보안을 포기했다고 답했습니다.
• 60%는 모바일 기기가 회사의 가장 큰 보안 위험이라고 답했습니다.
• 50%는 모바일 기기 위험이 다른 위험보다 빠르게 증가하고 있다고 답했습니다.
• 앱의 4%는 민감한 자격 증명을 유출합니다.
• 사용자는 대개 매우 적은 종류의 패스워드를 사용하기 때문에 하나의 자격 증명이 노출되면 대부분의 모바일 및 웹 애플리케이션과 기타 시스템이 손상될 수 있습니다.
• 150,000개의 안드로이드 앱 중 7%는 숨겨진 백도어를 포함하고 있습니다.

 

 

일반적인 보안 위협 경로

금융 서비스는 디지털 위협에 대해 가장 잘 보호되는 분야 중 하나입니다. 규제 및 업계 지침과 더불어 일상적인 사이버 공격 방어를 통해 얻은 경험 덕분에 디지털 뱅킹은 마치 단단한 금고와 같이 현금과 귀중한 자산을 보호할 수 있다고 여겨집니다. 그러나 현재 모바일 뱅킹을 사용하지 않는 고객들의 조사에 따르면 모바일 뱅킹 보안에 대한 불신이 뚜렷하다는 것을 알 수 있는데, 이는 보안을 위해 할 일이 아직 많이 남았다는 것을 의미합니다. 모바일 앱이 보안이라는 큰 그림에 어떻게 부합하는지, 그리고 모바일 뱅킹 앱을 보호하기 위한 기존의 방법이 잘못된 보안 인식을 제공할 수 있는 이유를 알아볼 필요가 있습니다.

 

우선, 기존의 IT 및 네트워크 보안 제어는 효과적으로 앱을 보호할 수 있는 필수적인 구성 요소입니다. 이는 온프레미스와 클라우드 호스팅 시스템 모두에 해당됩니다. 마찬가지로, 모바일 앱의 광범위한 잠재적 취약성은 모든 IT 보안의 복잡성을 반영합니다. 모바일은 서로 다른 기술, 솔루션 및 프로세스에서 서로 다른 위협을 야기할 수 있기 때문에 이 모두 해결할 수 있는 “만능 열쇠”와 같은 솔루션은 없습니다.

 

모바일 앱 보안은 전체 프로토콜 스택을 보호하기 위해 다층적 접근 방식이 필요합니다. 이는 백엔드 및 에지 장치를 보호하는 물리적 및 데이터 링크 계층과 IP 취약성의 영향을 받는 인터넷/네트워크 계층, 그리고 취약성이 있는 전송 또는 TCP 계층, 마지막으로 HTTP 및 HTTPS의 취약성의 영향을 받는 애플리케이션 계층으로 시작합니다.

 

 

앱 보안 도구 및 모범 사례

모바일 뱅킹 앱 보안은 외부에서 제공되는 소규모 보호 기능(일반적으로 일부 선택된 보안 공급업체가 제공하는 기능)에 초점이 맞추어져 있습니다. 대표적인 예로는 인증된 고객이 모바일 장치를 사용할 수 있도록 허가하는 지문 인식, 접근 제어를 위한 다중 요소 인증, 다중 요소 인증을 용이하게 하는 생체 인식, 민감한 데이터를 보호하기 위한 암호화 등이 있습니다. 앱과 모바일 장치를 중심으로 보안을 구축하여 기존 IT 보안 생태계에 맞도록 하자는 취지입니다. 이후 모바일 앱을 테스트하여 보안이 작동하는지 확인하고 컴파일된 앱을 배포합니다. 모바일 앱 보안을 위한 일반적인 경로에는 다음과 같은 도구를 포함합니다.

 

• 보안 코딩 지침 및 모범 사례
• 정적 앱 보안 테스트(Static Application Security Testing, SAST)
• 동적 앱 보안 테스트(Dynamic Application Security Testing, DAST)
• 모바일 앱 보안 테스트(Mobile Application Security Testing, MAST)
• 인터렉티브 앱 보안 테스트(Interactive Application Security Testing, IAST)
• 앱 보안 침투 테스트(Penetration Testing)

 

 

기존의 앱 보안 조치 관련 문제

위에서 설명한 도구와 기술은 모두 컴파일 시점까지의 안전한 모바일 뱅킹 앱을 만드는 데 초점을 두고 있습니다. 일단 배포되면 그 이후에 앱이 어떤 상황에서 어떻게 작동하고 있는지 알 수 없습니다. 조사 결과에 따르면, 모바일 앱 보안의 상태는 안전하다고 확신할 수 없습니다.

 

기존의 보안 대책으로는 대형 은행에서도 보안 기능을 쉽게 확장하기 어렵습니다. 특히 기존 접근 방식은 비즈니스의 가치를 위해 추가된 새로운 앱 기능을 신속하게 지원하지 못합니다. 모바일 뱅킹 앱의 기능은 자주 업데이트되며, 때에 따라서는 매일 또는 매시간 변경되기도 합니다. 코드를 변경할 때마다 보안 기능을 다시 적용해야 하므로, 기존의 보안 도구를 확장할 수 있는 가능성은 있지만 매우 어렵습니다. 50에서 100개의 모바일 뱅킹 앱을 보유한 대형 금융 기관의 일반적인 포트폴리오를 고려할 때, 코드 변경이 지속해서 발생하는 동안 모든 보안 환경을 유지하는 것은 기존의 접근 방식으로는 실현 가능성이 없습니다.

 

 

제로 트러스트에는 폐쇄 루프 피드백이 필요합니다.

제로 트러스트란 네트워크 내외부의 어떤 것도 신뢰하지 않는 것을 말합니다. 접근 권한을 부여하기 전에 시스템에 연결하려는 모든 것을 확인해야 합니다.

 

대부분의 은행은 애플리케이션 공격이 발생할 것을 예상하지 못하기 때문에 대응 방식을 최적화할 수 없습니다. 모바일 앱에 대한 가시성을 확보하면 조직은 위협에 따른 대응 방법을 조정하고 효과적인 대비책을 마련할 수 있습니다.

 

 

 

이어서 모바일 뱅킹 앱을 보호하기 위한 방안에 대해서 알아보겠습니다.

 

 

 

 

출처

Digital.ai, A new approach to securingmobile banking apps.pdf

1 Accenture Consulting, Mobile Banking Applications: Security Challenges for Banks (2017), p. 8.

2 RSA-Outseer Fraud Report https://www.outseer.com/wp- content/uploads/Outseer-Fraud-Report-Q32021.pdf

3 Verizon Mobile Security Index 2021: https://www.verizon.com/business/resources/reports/mobile-security- index/2021/mobile-threat-landscape/devices-and-things/