글: 체크포인트코리아의 한승수 이사

지난 해 실시된 한 설문조사에 따르면 전 세계 약 절반(49%)의 조직은 직원이 소유하고 있는 디바이스에 발생한 공격이나 침해를 감지할 수 없는 것으로 드러났다. 세계 전역에서 인력이 점차 분산되고 있는 시점에 모바일 환경이 곧 기업의 새로운 사이버 보안 전쟁터로 변할 수 있는 실질적인 위험성은 존재한다.

제로클릭(Zero-Click) 취약점 공격을 통해 iOS와 안드로이드를 완전하게 통제할 수 있는 모바일 스파이웨어에서부터 악성 앱을 통해 사용자의 자격증명(Credential)을 탈취하는 트로이의 목마에 이르기까지, 조직들은 그 어느때보다 커다란 모바일 위협의 리스크에 직면해 있다. 더 나아가, 하이브리드 업무환경과 BYOD(Bring Your Own Device) 문화가 COVID-19 팬데믹에 일시적 대응하기 위한 것이라는 개념은 이제 사라졌다. 올해 2월에 발표된 최신 데이터에서, 스테티스타(Statista)는 전 세계 인력 중 30%가 현재 전면 재택근무를 하고 있다고 보고했다. 같은 설문조사에서는 60%의 기업들이 현재 적극적으로 하이브리드 업무를 촉진해 직원들에게 업무 공간을 선택할 자유를 부여하고 있다고 밝혔다. 하지만 이들 조직 가운데 진정한 모바일 인력의 보안 요건에 완전하게 준비된 경우는 얼마나 될까?

체크포인트가 발표한 2022 보안 보고서 (2022 Security Report)에 개괄적으로 언급된 바와 같이 전 세계 조직들이 경험하는 주간 사이버 공격은 2020년 대비 2021년에 50% 증가됐다. 특히, 한국은 공격은 56% 증가하며, 조직당 평균 주간 공격 건수는 2021년에 601회에 달했다. 현재 전 세계 조직들이 사용하고 있는 모바일 생태계가 확장됨에 따라 사이버 범죄자들이 간단히 이를 악용할 가능성이 높다는 것은 우연으로 보기 어렵다. 지난 6개월간 체크포인트 리서치(Check Point Research)가 취합한 자료에 따르면, 한국 조직들 중 2.9%가 매 주 모바일 멀웨어로 영향을 받고 있으며, 이 수치는 세계 평균치인 1.8%보다 높다.

◆ 부각되고 있는 모바일 위협=지난 해, 모바일 위협 환경에서 일부 우려할 만한 상황이 관찰됐다. 우리 보고서는 정교한 제로클릭 취약점 공격을 통해 iOS와 안드로이드 디바이스를 완전하게 통제할 수 있는 악명높은 NSO의 페가수스(Pegasus)를 언급했다. 페가수스 스파이웨어를 만든 NSO는 현재 가장 잘 알려진 ‘서비스형 접근(Access-as-a-Service)’ 멀웨어 벤더 중 하나로, 관련 위협 행위자 그룹이 자체적인 리소스 없이도 모바일 디바이스를 표적으로 삼을 수 있도록 해킹 솔루션 패키지를 판매한다. 2019년, 페가수스는 와츠앱(WhatsApp)을 활용해 고위급 정부 관계자부터 언론인, 심지어 인권 활동가에 이르기까지 1천4백여명의 사용자 디바이스를 감염시키는데 활용됐다. 좀 더 최근인 2021년에는 페가수스를 사용해 전 세계 5만대 이상의 모바일 디바이스를 표적으로 삼았으며, 고위급 기업 임원도 포함됐다는 사실이 널리 보도되기도 했다. 페가수스는 정교한 감염 및 데이터 탈취 기능으로 주목받았으며, 따라서 유사한 멀웨어 위협으로 이어질 가능성이 높다고 보고 있다. 우리 보고서에서 언급한 것처럼, 이미 페가수스 이후에, 와츠앱을 통해 전송된 링크 클릭 한 번으로 표적 디바이스를 감염시키는 프레데터(Predator) 스파이웨어를 마케도니아 지역 그룹이 만들었다.

페가수스와 프레데터는 모두 소셜 미디어와 메시징 앱이 자격증명 탈취 및 기업 네트워크 침투의 경로로 이용되는 전반적인 상황 변화의 대표적 사례다. 2021년 8월, 플라이 트랩(FlyTrap)이라고 알려진 안드로이드 트로이목마가 백 여 개국에서 1만 여 개의 페이스북 계정을 탈취한 것으로 확인됐다. 오래 지나지 않아, 트리아다(Triada) 뱅킹 트로이목마를 전달하기 위해 설계된 와츠앱의 허위 버전이 안드로이드 스토어에 공개되면서, 수 천 개의 디바이스가 위험에 노출됐다. 연말이 다가오는 11월에는 트위터와 인스타그램 사용자로부터 신용카드 정보를 탈취하기 위해 가짜 로그인 오버레이를 사용한 마스터프레드(MasterFred)라는 신종 멀웨어가 이목을 끌었다.

이렇게 새로이 등장하는 모바일 멀웨어의 위협은 단순히 개인에게 영향을 주는데 목적이 있지 않다. 개인 소유 디바이스와 기업 소유 디바이스의 경계가 희미해지는 시점에, 기업 네트워크에서 데이터를 갈취하고 탈취하기 위해 만들어졌다. 와츠앱 비즈니스(WhatsApp Business)는2018년에 런칭했으며, 이미 1억명 이상의 사용자를 보유하고 있고, 이 모두는 잠재적으로 민감한 사업 정보를 주고받기 위해 이 메시징 앱을 사용한다. 이렇게 새롭게 부상하는 모바일 위협은 현실이며, 이는 시작에 불과할 가능성이 높다.

◆ SMS 피싱=우리가 관찰한 또 다른 우려되는 트랜드는 소위 ‘스미싱’으로 알려진 단문메시지(SMS) 피싱 시도가 증가한다는 점이다. SMS 메시지를 공격 벡터로 사용하는 것이 원시적으로 보일 수 있지만, 이메일 피싱과 더불어 여전히 당황스러울 정도로 효과가 있다. 우리 보고서에 따르면, 2021년 초, 당국이 플루봇(FluBot) 봇넷을 무너트렸음에도 불구하고 같은 해에 다시 부활했다. 이 봇넷은 마치 진짜 같은 보안 업데이트 경고, 택배 배달 알림, 보이스메일 알림을 확산시켰으며 만일 링크를 클릭할 경우, 디바이스가 감염된다.

2021년에 울티마SMS(UltimaSMS) 역시 피해자들을 부지불식간에 프리미엄 SMS 구독 서비스에 가입시키고, 그 결과 돈과 추가적인 접근 권한을 탈취하기 위해 구글 플레이 스토어 상의 150 여 개 앱을 활용한 광범위한 SMS 사기를 감행했다. 직장에 본인의 스마트폰을 가져오거나 또는 집에서 본인의 스마트폰을 이용해 업무 관련 정보에 접근하는 사용자들이 증가하는 상황에서, 스미싱 혹은 다른 피싱 캠페인으로 유발되는 위험성은 간과할 수 없다.

◆ 뱅킹 및 모바일 멀웨어=수 년 간 뱅킹 멀웨어 부문에서는 기업을 갈취하고 금융정보를 탈취하는 감지가 어렵고 가변적인 멀웨어군이 주도하며, 많은 활동이 이루어져 북새통을 이뤘다. 우리의 자체적인 조사에 따르면, 트릭봇(Trickbot)은 전 세계 인시던트의 약 3분의 1(30%)을 유발하며, 2021년에 2위에서 가장 널리 확산된 뱅킹 트로이목마로 올라섰다. 트릭봇은 암호화폐를 다루는 기업을 비롯해 금융 및 기술 기업들의 방어를 우회하기 위하여 안티-분석(Anti-Analysis)을 비롯한 정교한 기술을 사용하며 놀라울 만큼 다목적으로 활용된다. 큐봇(Qbot)과 드리덱스(Dridex) 역시 잘 알려진 뱅킹 트로이목마로, 감염된 디바이스에 멀웨어를 보내기 위하여 랜섬웨어 캠페인에 사용되며, 봇넷과 같은 특성을 보인다. 심지어 드리덱스는 2021년 말에 수많은 기업들을 위험에 빠트렸던 Log4j 취약점을 통해 배포된 첫 번째 멀웨어 중 하나였다.

2021년 9월, 우리는 PIX 결제 시스템과 그 모바일 뱅킹 앱을 표적으로 하는 악성 안드로이드 애플리케이션 다수를 발견했다. 이들 애플리케이션은 대체로 들키지 않으면서 PIX 거래에서 돈을 빼돌리기 위해 안드로이드의 접근성 서비스(AAS)를 악용했다. 이 사건 역시 모바일 뱅킹 분야 다른 위협 행위자들의 유사한 행동을 부추기게 될 것으로 예상하며, 모바일 또는 원격 접근 뱅킹에 그 어느때보다 의존하고 있을 세대에 속하는 회계사, C-레벨 임원 및 사업주들에게는 달가운 소식이 아니다.

◆ 조직은 어떻게 경계태세를 유지할 수 있는가=악성 앱과 모바일 랜섬웨어에서부터 SMS 피싱과 운영체제(OS) 취약점 공격까지, 모바일 위협 환경은 조직들이 헤쳐나가기에는 복잡한 상황이며, 특히 여기에 직원들이 소유한 디바이스까지 추가되면서 상황은 엎친데 덮친 격이다. 기업은 보호와 프라이버시 사이에서 어떻게 균형을 찾을 수 있을까? 취약성이 내재돼 있는 디바이스에 대해 기업은 무엇을 할 수 있을까? 모바일 디바이스 관리(MDM) 솔루션으로 기업의 데이터를 안전하게 보호하기에 충분할까?

모바일 디바이스가 까다로운 이유는 애플리케이션, 네트워크, OS 레이어를 비롯해 여러 공격 벡터에 취약하기 때문이다. 만일 조직이 단순하게 감염이 발생했을 때 대응하는 대신 모바일 멀웨어로부터 선제적으로 방어를 원한다면, 대부분의 MDM 솔루션이 제공하는 기본적인 수준의 모니터링 이상이 필요하다. 예를 들어 체크포인트의 하모니 모바일(Harmony Mobile)은 제로데이(Zero-day) 피싱 캠페인으로부터 적극적인 보호를 수행하기 위해 실시간 위협 인텔리전트를 사용하며, 모든 브라우저에서 알려진 악성 웹사이트로 접근하는 것을 차단하기 위해 URL 필터링을 활용한다. 더불어, 조건부 접근을 통해 디바이스가 감염되었을 경우에는 기업 애플리케이션과 데이터에 접근하지 못하도록 한다. 하모니 모바일은 직원들에게 불편을 초래하거나 생산성을 저해하지 않고, 이 모든 것 그리고 더 많은 기능을 수행한다.

우리의 모바일 생태계가 지속적으로 확장함에 따라, 위협 행위자들이 사용할 수 있는 공격면도 함께 확대될 것이다. 모바일 보안이 사업에 있어서 더 이상 선택 사항이 아니라는 사실은 그 어느 때보다 분명하다. 오히려, 기능 확대를 고민하는 한편, 점점 더 분산되는 엔드포인트를 보호하기 위한 보다 포괄적인 접근방식을 취할 필요가 있다.