데일리시큐 주최 2015년 모바일 정보보호 컨퍼런스 MISCON 2015가 지난 2월 12일 한국과학기술회관 대회의실에서 정보보호 실무자 300여 명이 모인 가운데 성황리에 개최됐다. 이 자리에서 파이어아이 김현준 상무는 ‘모바일 기기를 통한 지능형 위협 방어 전략’을 주제로 발표를 진행했다.
 
김현준 상무(사진)는 “APT 공격과 같은 정교한 표적 공격은 이제 모바일을 위협하고 있다. 실제 2009년부터 모바일 공격은 크게 증가 하고 있으며 최근에는 안드로이드 뿐만 아니라 상대적으로 보안상 안전 하다고 믿어 왔던 iOS에 대한 공격도 급증 하고 있다”고 전했다.
 
김 상무의 발표에 따르면, 먼저 안드로이드를 겨냥한 공격중 대표적인 공격 기법은 리패키징이다. 안드로이드 설치 파일인 APK는 zip과 같이 압축 파일과 유사한 형태이므로 누구나 공개된 툴을 이용해 디컴파일링 후 리패키징이 가능하다. 즉 정상적인 앱을 압축 풀듯이 풀어 낸 후 악성 코드를 첨부 해서 다시 정상적인 앱인 것처럼 만들 수 있다. 이 경우 사용자는 정상 앱을 설치 하는 것으로 생각하고 아무 의심 없이 해당 앱을 설치 할 것이며 공격자는 원하는 정보를 쉽게 유출 해 갈 수 있게 된다.
 
두번째 치명적인 위협으로 PC에서 발견되었던 익스플로잇(Exploit)을 이용한 공격이 안드로이드에서도 발견되었다는 것. 지금까지 스미싱 등 악성 코드는 설치 URL이 담긴 문자를 전송 한 후 사용자가 해당 앱을 설치 할 지 여부를 직접 결정 해야 했다. 이 경우 사용자가 조금만 주의 하면 악성코드가 설치 되는 것을 방지 할 수 있었다. 하지만 익스플로잇을 이용해 공격이 진행되는 경우 사용자는 특정 앱이 설치 되는 것을 인지하지 못하기 때문에 더욱 치명 적인 공격이 될 수 있다고 우려했다.

 
한편 애플 iOS는 그동안 상대적으로 안전하다고 여겨져 왔었지만 최근 공격이 지속적으로 증가 하고 있다고 밝혔다. 특히 Enterprise provisioning profile을 이용해 각 기업에서 만든 앱을 설치 할 수 있는 환경에서 더욱 공격에 노출 될 가능성이 높다. 이 경우 애플의 까다로운 review process를 거치지 않기 때문에 공격자가 악의적인 앱을 통해 private API를 마음대로 사용 할 수 있고 원하는 자료를 쉽게 유출 해 갈 수 있게 된다고 설명했다.
 
또한 최근에 발견된 iOS masque attack과 같은 경우 정상 앱을 동일한 bundle identifier를 이용한 악성 앱으로 변경하는 방식이며 버전에 관계 없이 또 jail break(탈옥)가 되지 않은 상황에서도 위협에 노출 될 수 있다는 것.
 
김현준 상무는 “파이어아이는 10 여 년간 시장에서 검증 된 MVX 엔진을 통해 이러한 변종/신종 악성 앱을 행위 기반 분석을 통해 탐지 할 수 있다. 파이어아이 모바일 솔루션은 크게 3가지 구성 요소로 나눌 수 있다”며 “안드로이드 및 iOS 단말에 앱 형태로 설치 되는 ‘FireEye Mobile Security App’이 탐지를 담당 하며, 이러한 앱을 중앙에서 관리 할 수 있는 ‘MTP(Mobile Threat Prevention) Managemen’가 MDM 솔루션과 연동을 통해 악성 앱에 대한 격리 기능을 수행 하고 마지막으로 클라우드 형태로 제공 되는 ‘MTP Analysis’가 의심스러운 앱에 대해 행위 기반으로의 분석을 통해 실제 악성 여부를 검증하는 기능을 담당한다”고 설명했다.
 
또 “각각의 파이어아이 구성 요소가 유기적으로 연동되어 기업이나 개인 사용자의 모바일 단말을 변종/신종 악성 앱으로부터 보호할 수 있도록 지원한다”고 덧붙였다.
 
파이어아이 김현준 상무의 MISCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com