2024-03-28 20:15 (목)
신동휘 스틸리언 소장 "젠킨스 취약점 등...모바일 앱 관리프로그램 보안성 검토 미흡"
상태바
신동휘 스틸리언 소장 "젠킨스 취약점 등...모바일 앱 관리프로그램 보안성 검토 미흡"
  • 길민권 기자
  • 승인 2019.02.22 06:46
이 기사를 공유합니다

[SFIS 2019] "모바일 서비스 위해 준비, 개발, 관리하는 단계에서부터 보안 고려해야"

▲ 신동휘 스틸리언 연구소장이 SFIS 2019에서 '금융기관 모바일 보안위협 대응 방안'을 주제로 강연을 진행하고 있다.  "모바일 보안위협의 주요 내용으로 악성코드와 모바일 웹/앱의 보안성에 초점을 맞춘 대응이 주를 이루었다. 이 부분이 어느정도 수준에 왔다면 이제 모바일 서비스를 위해 준비, 개발, 관리하는 단계에서도 보안을 고려해야 한다."
▲ 신동휘 스틸리언 연구소장이 SFIS 2019에서 '금융기관 모바일 보안위협 대응 방안'을 주제로 강연을 진행하고 있다. "모바일 보안위협의 주요 내용으로 악성코드와 모바일 웹/앱의 보안성에 초점을 맞춘 대응이 주를 이루었다. 이 부분이 어느정도 수준에 왔다면 이제 모바일 서비스를 위해 준비, 개발, 관리하는 단계에서도 보안을 고려해야 한다."
데일리시큐와 머니투데이가 공동 주최한 제6회 스마트 금융&정보보호페어 SFIS 209가 2월 20일 소공동 롯데호텔 2층 크리스탈볼룸에서 200여 명의 금융기관 정보보호 실무자들이 참석한 가운데 성황리에 개최됐다.

이 자리에서 신동휘 스틸리언 연구소장은 '금융기관 모바일 보안위협 대응 방안'을 주제로 강연을 진행했다.

신동휘 소장은 "금융권이나 기업들은 지금까지 모바일 보안위협 대응을 위해 주로 악성코드 대응 그리고 앱 보안을 위한 위변조 탐지와 난독화에 초점을 맞추고 있다"며 "하지만 모바일 앱을 배포하는 플랫폼이 안전한지에 대해서는 간과하고 있다"고 지적했다.

J-1-2.jpg
예를들어, 모바일 앱 관리와 빌드 그리고 배포를 위한 도구로 국내에서도 많이 사용되고 있는 '젠킨스(Jenkins)'와 같은 플랫폼이 과연 안전한지에 대한 의문이다.

신 소장은 "젠킨스는 올해 2월에 인증없이 원격에서 코드실행이 가능한 취약점이 발견됐다. 그럼에도 불구하고 여전히 많은 앱 개발자와 주요 기업들이 앱 개발과 배포 도구로 활용하고 있다"며 "해당 취약점을 악용하면 앱 소스코드 전체에 영향을 미쳐 악성앱을 배포하는데 활용할 수 있다. 악의적 해커가 젠킨스 취약점으로 관리자 권한을 획득한 후 올라와 있는 앱들에 악성코드를 심고 배포하게 되면 어떻게 될까. 심지어 개발한 앱 소스코드를 모두 삭제할 수도 있다. 즉 모바일 악성코드와 앱 위변조, 난독화에만 초점을 맞출 것이 아니라 보다 다양한 시나리오로 모바일 위협에 대응해야 한다"고 강조했다.

또 그는 국내 모바일 앱 배포 채널 중에도 사용 매뉴얼에 관리자 계정이 그대로 노출되고 있어 악성앱으로 변조해 배포할 수 있는 위험성이 있다고 지적했다.

한편 오래된 자바(Java) 버전을 사용하는 곳이 많다고도 지적했다. 이럴 경우 PC에서 윈도7을 사용하는 것과 같은 정도로 위험하다는 것이다. 원격에서 권한획득이 가능한 상황이기 때문에 자바 환경에 대한 관리가 중요하다고 밝혔다.

J-2-3.jpg
그는 "기본적인 모바일 보안 위협 시나리오는 아주 일반적인 그리고 쉬운 접점만을 기반으로 수립된 경향이 있다. 시나리오가 일반적이고 쉬운 접점을 기반으로 하는 만큼 현실적인 시나리오인지 고민해야 한다"고 말하고 "모바일 앱 개발 환경 구축시 외부 보안 라이브러리가 안전하게 만들어졌는지도 고민해야 한다"고 당부했다.

끝으로 신동휘 소장은 "모바일 보안위협의 주요 내용으로 악성코드와 모바일 웹/앱의 보안성에 초점을 맞춘 대응이 주를 이루었다. 이 부분이 어느정도 수준에 왔다면 이제 모바일 서비스를 위해 준비, 개발, 관리하는 단계에서도 보안을 고려해야 한다"며 "공격자 입장에서 보면 개발과 관리, 배포 서비스를 공격하면 더욱 효과적일 것이다. 파급력도 크다. 보안솔루션도 필요하지만 기본에 충실한 서비스 설계와 운영이 더욱 중요하다"고 강조했다.

신동휘 스틸리언 연구소장의 SFIS 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★