세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
모바일 뱅킹 앱에서 중간자 공격 취약점 발견
  |  입력 : 2017-12-08 11:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
영국 버밍엄대 연구진, 뱅킹 및 VPN 앱 9개서 취약점 발견
뱅크오브아메리카, HSBC도 포함... 모바일 앱 보안 우려 커져


[보안뉴스 오다인 기자] 영국 연구진이 뱅킹 및 VPN 애플리케이션 9개에서 심각한 취약점을 발견했다. 이 취약점은 애플리케이션의 암호화 통신 처리 방식 내에서 나타난 것으로, 수천만 명의 이용자를 중간자 공격(MITM: Man-In-The-Middle)에 노출시키고 있다. 해당 애플리케이션 중에는 대형 은행인 뱅크오브아메리카(Bank of America)와 HSBC의 애플리케이션이 포함됐으며, 광범위하게 쓰이고 있는 VPN 제공업체 터널베어(TunnelBear)의 애플리케이션도 포함됐다.

[이미지=iclickart]


영국 버밍엄대학교(University of Birmingham)의 크리스 맥마흔 스톤(Chris Mcmahon Stone), 톰 코티아(Tom Chothia), 플라비오 가르시아(Flavio Garcia)는 6일 발표한 보고서에서 “실험 결과, 세계에서 가장 큰 은행들 중 일부 애플리케이션에서 취약점이 발견됐다”고 밝혔다. 이들은 “공격자가 이 취약점을 통해 애플리케이션에서 나오는 트래픽을 해독, 관찰, 수정할 수 있으며 이용자 로그인 크리덴셜까지 탈취할 수 있다”고 경고했다.

연구진은 자동화된 블랙박스 시험 메커니즘을 연구하던 중, TLS 인증을 고정시키지만 호스트명을 검증하는 데 실패해서 애플리케이션을 중간자 공격에 노출시키는 취약점이 있다는 사실을 발견했다. ‘스피너(Spinner)’라고 명명된 이 툴은 인터넷 검색 엔진 센시스(Censys)를 사용하는데, 이를 통해 공격자는 예전에는 확인하기 어렵고 비싼데다 일일이 수동으로 작업해야 했던 프로세스를 가속화할 수 있다. 이번 보고서 발표의 일환으로 연구진은 CCL(Creative Commons License)로 스피너 역시 배포했다.

이들은 iOS 및 안드로이드 애플리케이션 400개를 스피너를 활용해 연구하면서 그 중 9개 애플리케이션에 취약점이 포함됐다는 사실을 발견했다. 취약점이 포함된 애플리케이션들은 모두 뱅킹, 주식 거래, 암호화 화폐, VPN을 포함해 매우 민감한 데이터나 거래를 처리하는 것들이었다.

이 같은 발견은 불안전하게 개발됐거나 실행되는 모바일 애플리케이션이 어떤 위험을 내포하는지 다시 한 번 강조해준다. 금융, 의료, 제조 등의 부문에서 고위험, 고부가가치의 거래를 이용하려는 공격 시도는 계속해서 증가하고 있기 때문에 모바일 애플리케이션을 둘러싼 위험은 계속해서 커지고 있다. 안타깝게도, 모바일 애플리케이션 개발 영역에서 소위 ‘앱섹(AppSec)’이라고 하는 애플리케이션 보안에 대한 문화와 성숙도는 아직까지 애플리케이션 위험이 커지는 속도를 따라잡지 못하고 있다.

보안 업체 하이테크브리지(High-Tech Bridge)가 지난 주 발표한 보고서에 따르면, 구글 플레이의 상위 30개 암호화 화폐 애플리케이션 중 94%가 적어도 3개의 취약점(위험도 중간)을 갖고 있었으며, 77%는 최소 2개의 취약점(위험도 높음)을 갖고 있는 것으로 나타났다. 해당 30개의 애플리케이션은 총 50만 회 이상 설치됐다.

이런 상황을 분석한 하이테크브리지 CEO 일리아 콜로첸코(Ilia Kolochenko)는 버밍엄대학교 연구진과 자사 연구진이 발견한 것과 같은 취약점들이 아직까지 다른 손쉬운 취약점들만큼 매력적이진 않다고 설명했다.

“대부분 모바일 애플리케이션 취약점을 이용하려면 사전에 특정한 조건이 갖춰져야 하는 경우가 많습니다. 기기에 악성 애플리케이션이 이미 설치돼 있다든지, 공격자가 공공 와이파이로 피해자의 데이터 채널에 이미 접근해 있다든지 하는 조건들 말이죠. 이런 조건들은 사이버 범죄자들에게 모바일 애플리케이션의 매력을 떨어뜨린다고 할 수 있습니다. 공격자들은 차라리 모바일 백엔드를 겨냥하는 걸 택합니다.”

API나 웹 서비스를 겨냥한 공격이 쉬운 데다 모바일 애플리케이션에서 이 같은 공격이 만연하게 나타난다는 점을 고려해볼 때, 모바일 애플리케이션 취약점은 모바일 위험 노출 수준이라는 측면에서 빙산의 일각일 뿐이다. 하이테크브리지의 연구에 따르면, 암호화 화폐 애플리케이션 77%는 백엔드 보호가 되지 않은 것으로 나타났다. 이건 단지 암호화 화폐 애플리케이션에 국한된 문제는 아니다.

API 보안에 거의 신경을 안 쓰고 있다는 사실은 보안 업체 앱쏘리티(Appthority) 연구진이 몇 주 전 발표한 보고서에서 명확하게 밝혀진 바 있다. 앱쏘리티 연구진은 트윌리오(Twilio)의 REST API나 SDK를 사용하는 개발자들이 모바일 애플리케이션 내 크리덴셜을 하드코딩하는 곳에서 취약점을 만들고 있다는 사실을 발견했다. 이들은 공식 앱 스토어 내의 애플리케이션 170개에서 이 취약점이 나타났다고 밝혔는데, 이 경우 위험에 노출된 이용자 수는 수백만 명에 이른다.

이는 모바일 뱅킹의 확산에 미루어봤을 때 매우 우려되는 흐름이다. 뱅크오브아메리카 역시 이 취약점으로 영향을 받는다는 사실을 생각해보라. 모바일 뱅킹은 미래 전략의 핵심이라고 할 수 있다. 모바일 뱅킹 이용자는 해마다 19%씩 뛰고 있고, 오프라인 금융 센터에 오가는 사람은 매년 4%씩 줄고 있다. 최근 보고서들에 따르면, 현재 전체 예금의 4분의 1가량이 모바일 기기를 통해 처리되고 있다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)