세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
OWASP가 발표한 가장 심각한 모바일 보안위협 Top 10
  |  입력 : 2017-09-08 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
4년마다 보안 취약점 발표하는 OWASP, 2년마다 모바일 분야도 발표
안전한 모바일 어플리케이션 구축하고 유지·관리하는 데 필요한 리소스 제공


[보안뉴스 원병철 기자] 4년마다 한 번씩 취약점 Top10을 발표하는 OWASP(The Open Web Application Security Project)은 모바일 어플리케이션 취약점 역시 2년에 한 번씩 공개한다. 2016년 자료가 가장 최근인데, 블랙 팔콘(Black Falcon) 팀이 이 자료를 번역해 본지에 제공했다.

OWASP 모바일 보안 프로젝트는 개발자와 보안팀에게 안전한 모바일 어플리케이션을 구축하고 유지·관리하는 데 필요한 리소스를 제공하기 위한 자료다. 이 프로젝트를 통해 OWASP는 모바일 보안 위험을 분류함으로써 앞으로 일어날 수 있는 악용 가능성과 영향도를 줄이기 위해 진행된다.

OWASP는 이번 보고서를 작성하기 위해 약 1년 전부터 설문조사와 관련기관 혹은 기업에서의 피드백을 받아 조합했다. 피드백을 바탕으로 데이터 수집과 유사한 방식으로 데이터를 논리적이고 일관된 방식으로 그룹화한 다음, 모바일 탑10을 선정했다.

[자료=블랙 팔콘(Black Falcon)]


M1 – 적절하지 않은 플랫폼 사용
이 항목은 플랫폼의 보안에 대한 개발지침을 위반했거나 기존 관습 사례를 따르지 않았을 경우 혹은 의도하지 않았지만 작업 중 실수를 했을 경우 생기는 취약점을 다룬다. 문제는 이러한 경우 공격가능성과 그에 따른 영향도가 심각하다는 점이다.

[자료=블랙 팔콘(Black Falcon)]


M2 – 취약한 데이터 저장소
이 새로운 항목은 Mobile Top 10 2014의 M2(취약한 데이터 저장소)와 M4(의도하지 않은 데이터 노출)를 통합한 것으로, 안전하지 않은 데이터 저장 및 의도하지 않은 데이터 유출에 대해 다루고 있다. OWASP는 보안대책으로 모바일 앱, OS, 플랫폼과 프레임워크의 위협모델이 정보자산을 처리하고, API가 이런 자산을 다루는 방법을 이해해야 한다고 조언했다.

[자료=블랙 팔콘(Black Falcon)]


M3 – 취약한 통신
이 항목은 데이터를 A에서 B로 이동하는 측면을 모두 다루며, 여기에는 모바일에서 모바일로의 통신, 앱 간 통신 또는 모바일에서 다른 쪽으로의 통신이 모두 포함된다. 여기에서는 악의적인 핸드 셰이킹, 잘못된 SS L버전, 약한 협상, 민감정보의 평문통신 등을 검토한다.

[자료=블랙 팔콘(Black Falcon)]


M4 – 취약한 인증
여기서는 최종 사용자 인증 또는 잘못된 세션 관리에 대해 이야기하고 있다. 주로 △사용자 식별을 못하는 경우 △사용자 신원이 유지되지 않는 경우 △세션 관리 취약점 등을 다루며, 공격이 쉽기 때문에 그만큼 영향도도 높은 것으로 알려졌다.

[자료=블랙 팔콘(Black Falcon)]


M5 – 취약한 암호화
중요한 정보 자산을 암호화하는 것은 당연하다. 하지만 어떤 측면에서는 충분하지 않은 것도 사실이다. M3(취약한 통신)에서 TLS 또는 SSL과 관련된 사항들이 있다. 또한, 앱이 암호화를 사용해야할 때 하지 않았다면, M2(취약한 데이터 사용)에 속한다. 모바일 앱은 근본적으로 결함이 있는 암호화·복호화 프로세스를 사용할 수 있으며, 민감한 데이터를 복호화하기 위해 공격자가 악용할 수 있다. 또한, 모바일 앱은 본질적으로 취약하고 공격자에 의해 직접 복호화 될 수 있는 암호화·복호화 알고리즘을 구현하거나 활용할 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M6 – 취약한 권한 부여
이 항목은 잘못된 권한(Authorization) 부여(클라이언트 측의 권한 부여, 강제 검색 등)를 다룬다. 이는 인증(Authentication) 문제(기기 등록, 사용자 식별 등)와 다르다. 사용자 인증을 하지 않은 상황(인증된 후, 권한이 부여 되어 접근이 필요할 때 일부 리소스 또는 서비스에 익명 접근 허용)이라면, 권한 부여가 잘못된 것이 아니라 인증이 잘못된 것이다.

[자료=블랙 팔콘(Black Falcon)]


M7 – 취약한 코드 품질
이것은 모바일 클라이언트의 코드 수준 구현 문제에 대한 포괄적인 문제를 말한다. 이는 서버 측 코딩 실수와 구별된다. 버퍼 오버플로우, 형식 문자열 취약성 및 모바일 장치에서 실행중인 일부 코드를 다시 작성하는 다양한 코드 수준의 실수와 같은 취약점 위험을 파악한다. 이는 일반적으로 프로그래밍 언어 자체(Java, Swift, Objective C, JavaScript)를 참조하기 때문에 부적절한 플랫폼 사용과는 다르다.

[자료=블랙 팔콘(Black Falcon)]


M8 – 코드 변조
이 범주에는 바이너리 패치, 로컬 리소스 수정, 메서드 후킹, 메서드 변경 및 동적 메모리 수정이 포함된다. 어플리케이션을 모바일 장치에 설치하면, 코드 및 데이터 리소스가 해당 모바일 장치에 존재한다. 공격자는 코드를 직접 수정하거나 메모리 내용을 동적으로 변경하거나 어플리케이션이 사용하는 시스템 API를 변경 및 대체하거나 어플리케이션의 데이터와 자원을 수정할 수 있다. 이것은 공격자에게 소프트웨어의 의도된 사용을 개인적 또는 금전적 이득을 위해 파괴하는 직접적인 방법을 제공할 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M9 – 리버스 엔지니어링
이 항목에는 소스 코드, 라이브러리, 알고리즘 및 기타 자산을 결정하기 위한 최종 코어 바이너리 분석이 포함된다. IDA Pro, Hopper, o’toole 및 기타 바이너리 검사 도구와 같은 소프트웨어는 공격자가 어플리케이션의 내부 동작을 파악할 수 있도록 한다. 이는 백엔드 서버, 암호화 상수 및 암호 및 지적 재산에 대한 정보를 공개하는 것 외에도 어플리케이션의 초기 취약점을 악용하는 데 사용될 수 있다.

[자료=블랙 팔콘(Black Falcon)]


M10 – 불필요한 기능
종종 개발자는 숨겨진 백도어 기능 또는 프로덕션 환경으로 배포하지 않을 예정인 기타 내부 개발보안 컨트롤을 만들기도 한다. 예를 들어, 개발자가 실수로 하이브리드 앱에 댓글로 비밀번호를 포함시킬 수도 있다. 또한, 테스트 중 2중 인증을 사용하지 못하도록 한다. 쉽게 말하면 앱에 공개하지 않을 기능을 삭제하지 않고 그대로 두는 것을 말한다.

OWASP Mobile Top 10 2016 원문은 owasp.org에, 그리고 한국어판은 블랙 팔콘 블로그에서 다운받을 수 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)