이 자리에서 신동휘 스틸리언 연구소장은 '금융기관 모바일 보안위협 대응 방안'을 주제로 강연을 진행했다.
신동휘 소장은 "금융권이나 기업들은 지금까지 모바일 보안위협 대응을 위해 주로 악성코드 대응 그리고 앱 보안을 위한 위변조 탐지와 난독화에 초점을 맞추고 있다"며 "하지만 모바일 앱을 배포하는 플랫폼이 안전한지에 대해서는 간과하고 있다"고 지적했다.
신 소장은 "젠킨스는 올해 2월에 인증없이 원격에서 코드실행이 가능한 취약점이 발견됐다. 그럼에도 불구하고 여전히 많은 앱 개발자와 주요 기업들이 앱 개발과 배포 도구로 활용하고 있다"며 "해당 취약점을 악용하면 앱 소스코드 전체에 영향을 미쳐 악성앱을 배포하는데 활용할 수 있다. 악의적 해커가 젠킨스 취약점으로 관리자 권한을 획득한 후 올라와 있는 앱들에 악성코드를 심고 배포하게 되면 어떻게 될까. 심지어 개발한 앱 소스코드를 모두 삭제할 수도 있다. 즉 모바일 악성코드와 앱 위변조, 난독화에만 초점을 맞출 것이 아니라 보다 다양한 시나리오로 모바일 위협에 대응해야 한다"고 강조했다.
또 그는 국내 모바일 앱 배포 채널 중에도 사용 매뉴얼에 관리자 계정이 그대로 노출되고 있어 악성앱으로 변조해 배포할 수 있는 위험성이 있다고 지적했다.
한편 오래된 자바(Java) 버전을 사용하는 곳이 많다고도 지적했다. 이럴 경우 PC에서 윈도7을 사용하는 것과 같은 정도로 위험하다는 것이다. 원격에서 권한획득이 가능한 상황이기 때문에 자바 환경에 대한 관리가 중요하다고 밝혔다.
끝으로 신동휘 소장은 "모바일 보안위협의 주요 내용으로 악성코드와 모바일 웹/앱의 보안성에 초점을 맞춘 대응이 주를 이루었다. 이 부분이 어느정도 수준에 왔다면 이제 모바일 서비스를 위해 준비, 개발, 관리하는 단계에서도 보안을 고려해야 한다"며 "공격자 입장에서 보면 개발과 관리, 배포 서비스를 공격하면 더욱 효과적일 것이다. 파급력도 크다. 보안솔루션도 필요하지만 기본에 충실한 서비스 설계와 운영이 더욱 중요하다"고 강조했다.
신동휘 스틸리언 연구소장의 SFIS 2019 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
★정보보안 대표 미디어 데일리시큐!★