세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
OWASP가 발표한 가장 심각한 모바일 보안위협 Top 10
  |  입력 : 2017-09-08 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
4년마다 보안 취약점 발표하는 OWASP, 2년마다 모바일 분야도 발표
안전한 모바일 어플리케이션 구축하고 유지·관리하는 데 필요한 리소스 제공


[보안뉴스 원병철 기자] 4년마다 한 번씩 취약점 Top10을 발표하는 OWASP(The Open Web Application Security Project)은 모바일 어플리케이션 취약점 역시 2년에 한 번씩 공개한다. 2016년 자료가 가장 최근인데, 블랙 팔콘(Black Falcon) 팀이 이 자료를 번역해 본지에 제공했다.

OWASP 모바일 보안 프로젝트는 개발자와 보안팀에게 안전한 모바일 어플리케이션을 구축하고 유지·관리하는 데 필요한 리소스를 제공하기 위한 자료다. 이 프로젝트를 통해 OWASP는 모바일 보안 위험을 분류함으로써 앞으로 일어날 수 있는 악용 가능성과 영향도를 줄이기 위해 진행된다.

OWASP는 이번 보고서를 작성하기 위해 약 1년 전부터 설문조사와 관련기관 혹은 기업에서의 피드백을 받아 조합했다. 피드백을 바탕으로 데이터 수집과 유사한 방식으로 데이터를 논리적이고 일관된 방식으로 그룹화한 다음, 모바일 탑10을 선정했다.

[자료=블랙 팔콘(Black Falcon)]


M1 – 적절하지 않은 플랫폼 사용
이 항목은 플랫폼의 보안에 대한 개발지침을 위반했거나 기존 관습 사례를 따르지 않았을 경우 혹은 의도하지 않았지만 작업 중 실수를 했을 경우 생기는 취약점을 다룬다. 문제는 이러한 경우 공격가능성과 그에 따른 영향도가 심각하다는 점이다.

[자료=블랙 팔콘(Black Falcon)]


M2 – 취약한 데이터 저장소
이 새로운 항목은 Mobile Top 10 2014의 M2(취약한 데이터 저장소)와 M4(의도하지 않은 데이터 노출)를 통합한 것으로, 안전하지 않은 데이터 저장 및 의도하지 않은 데이터 유출에 대해 다루고 있다. OWASP는 보안대책으로 모바일 앱, OS, 플랫폼과 프레임워크의 위협모델이 정보자산을 처리하고, API가 이런 자산을 다루는 방법을 이해해야 한다고 조언했다.

[자료=블랙 팔콘(Black Falcon)]


M3 – 취약한 통신
이 항목은 데이터를 A에서 B로 이동하는 측면을 모두 다루며, 여기에는 모바일에서 모바일로의 통신, 앱 간 통신 또는 모바일에서 다른 쪽으로의 통신이 모두 포함된다. 여기에서는 악의적인 핸드 셰이킹, 잘못된 SS L버전, 약한 협상, 민감정보의 평문통신 등을 검토한다.

[자료=블랙 팔콘(Black Falcon)]


M4 – 취약한 인증
여기서는 최종 사용자 인증 또는 잘못된 세션 관리에 대해 이야기하고 있다. 주로 △사용자 식별을 못하는 경우 △사용자 신원이 유지되지 않는 경우 △세션 관리 취약점 등을 다루며, 공격이 쉽기 때문에 그만큼 영향도도 높은 것으로 알려졌다.

[자료=블랙 팔콘(Black Falcon)]


M5 – 취약한 암호화
중요한 정보 자산을 암호화하는 것은 당연하다. 하지만 어떤 측면에서는 충분하지 않은 것도 사실이다. M3(취약한 통신)에서 TLS 또는 SSL과 관련된 사항들이 있다. 또한, 앱이 암호화를 사용해야할 때 하지 않았다면, M2(취약한 데이터 사용)에 속한다. 모바일 앱은 근본적으로 결함이 있는 암호화·복호화 프로세스를 사용할 수 있으며, 민감한 데이터를 복호화하기 위해 공격자가 악용할 수 있다. 또한, 모바일 앱은 본질적으로 취약하고 공격자에 의해 직접 복호화 될 수 있는 암호화·복호화 알고리즘을 구현하거나 활용할 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M6 – 취약한 권한 부여
이 항목은 잘못된 권한(Authorization) 부여(클라이언트 측의 권한 부여, 강제 검색 등)를 다룬다. 이는 인증(Authentication) 문제(기기 등록, 사용자 식별 등)와 다르다. 사용자 인증을 하지 않은 상황(인증된 후, 권한이 부여 되어 접근이 필요할 때 일부 리소스 또는 서비스에 익명 접근 허용)이라면, 권한 부여가 잘못된 것이 아니라 인증이 잘못된 것이다.

[자료=블랙 팔콘(Black Falcon)]


M7 – 취약한 코드 품질
이것은 모바일 클라이언트의 코드 수준 구현 문제에 대한 포괄적인 문제를 말한다. 이는 서버 측 코딩 실수와 구별된다. 버퍼 오버플로우, 형식 문자열 취약성 및 모바일 장치에서 실행중인 일부 코드를 다시 작성하는 다양한 코드 수준의 실수와 같은 취약점 위험을 파악한다. 이는 일반적으로 프로그래밍 언어 자체(Java, Swift, Objective C, JavaScript)를 참조하기 때문에 부적절한 플랫폼 사용과는 다르다.

[자료=블랙 팔콘(Black Falcon)]


M8 – 코드 변조
이 범주에는 바이너리 패치, 로컬 리소스 수정, 메서드 후킹, 메서드 변경 및 동적 메모리 수정이 포함된다. 어플리케이션을 모바일 장치에 설치하면, 코드 및 데이터 리소스가 해당 모바일 장치에 존재한다. 공격자는 코드를 직접 수정하거나 메모리 내용을 동적으로 변경하거나 어플리케이션이 사용하는 시스템 API를 변경 및 대체하거나 어플리케이션의 데이터와 자원을 수정할 수 있다. 이것은 공격자에게 소프트웨어의 의도된 사용을 개인적 또는 금전적 이득을 위해 파괴하는 직접적인 방법을 제공할 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M9 – 리버스 엔지니어링
이 항목에는 소스 코드, 라이브러리, 알고리즘 및 기타 자산을 결정하기 위한 최종 코어 바이너리 분석이 포함된다. IDA Pro, Hopper, o’toole 및 기타 바이너리 검사 도구와 같은 소프트웨어는 공격자가 어플리케이션의 내부 동작을 파악할 수 있도록 한다. 이는 백엔드 서버, 암호화 상수 및 암호 및 지적 재산에 대한 정보를 공개하는 것 외에도 어플리케이션의 초기 취약점을 악용하는 데 사용될 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M10 – 불필요한 기능
종종 개발자는 숨겨진 백도어 기능 또는 프로덕션 환경으로 배포하지 않을 예정인 기타 내부 개발보안 컨트롤을 만들기도 한다. 예를 들어, 개발자가 실수로 하이브리드 앱에 댓글로 비밀번호를 포함시킬 수도 있다. 또한, 테스트 중 2중 인증을 사용하지 못하도록 한다. 쉽게 말하면 앱에 공개하지 않을 기능을 삭제하지 않고 그대로 두는 것을 말한다.

OWASP Mobile Top 10 2016 원문은 owasp.org에, 그리고 한국어판은 블랙 팔콘 블로그에서 다운받을 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)