2024년 상반기 앱 해킹 리포트_appsealing 백서

본 내용은 AppSealing에서 상반기 앱 해킹에 대한 리포트를 참조하여 작성하였다.

 

 

해킹 데이터로 보는 모바일 앱 보안의 필요성과 앱 취약점 보호를 위한 인사이트

2023년 앱 데이터 해킹으로 인한 피해액의 글로벌 평균 피해액이 445만 달러(약 60억원) 를 달성 했으며, 꾸준히 증가하고 있다. 또한 데이터 해킹만으로 막대한 피해를 줄 수 있으며 게임 해킹, 결제우회, 앱 복제, 저작권 침해 등의 피해까지 고려한다면 더욱 큰 규모의 피해가 발생한다.

 

Veracode의 조사에 따르면 모바일 앱의 74%가 하나 이상의 보안 취약점을 가지고 있으며 암호화 미적용, 데이터 보안 미흡 등의 보안 취약점이 발견되었다. 특히 69%의 앱에서 OWASP에서 지정한 TOP 10 보안 미흡 등의 보안 취약점이 발견 되었다. 이러한 모바일 취약점으로 인해 모바일 앱 해킹공격은 꾸준히 증가하고 있으며 2024년 상반기에 인도네시아 은행 앱 해킹, 인도 경찰 앱 해킹, 안드로이드 보안을 우회한 멀웨어 배포 및 피싱 앱 배포 등 수많은 해킹 공격이 발생하였다.

OWASP(Open Web Application Security Project)
OWASP는 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하는 단체이다.

 

 

앱 보안에 관한 인식에 대한 설문조사를 Checkmarx에서 진행하였는데 앱 보안에 사용하는 비용이 73% 증가하였으며 51% 기업에서 우선순위로 인지하고 있으며 많은 기업이 심각성을 인지하고 이에 대응하고 있다.

 

분석데이터

• 분석데이터 : Appselaing을 통해 감지된 223개국에서 발생한 해킹 공격 129,495,663건
• 분석데이터 기간 : 2024년 1월 ~ 2024년 6월 30일

 

AppSealing 해킹 카테고리

해킹 유형	설명	심각 수준 (심각/중간/낮음)
보안 로직 후킹	앱의 기능을 구현하는 코드 등을 가로채고 변경하여 데이터 무결성과 보안에 심각한 위험을 초래할 수 있다.	심각 (전문 해커 수준의 악의적 공격)
시스템 변조 및 보안 무력화 시도	보안 기능을 비활성화하여 취약점이 노출되고, 전체 시스템 무결성이 손상된다.
코드 분석 및 변조	소스 코드를 무단으로 변경해 백도어가 열리게 되거나 취약점을 앱에 삽입할 수 있게 된다
앱 위변조	악의적으로 앱을 무단 수정 및 불법 복제해 승인되지 않은 앱 버전을 배포
디버깅 시도	디버깅은 프로그래밍 단계 중 발생하는 시스템의 논리적인 오류나 비정상적인 연산을 찾아내고 수정하는 작업 과정을 말하며, 앱 내 민감한 정보와 취약점이 노출될 수 있다.
루팅 검출	루팅은 Android 운영체제 상에서 최상위 권한을 얻는 프로세스로, 루팅된 장치에서 프로그램이 실행되면 데이터 노출 등 보안 위험이 발생한다.	중간 (비전문가 수준의 악의적 공격)
앱 복제 환경	앱을 복제하거나 중복 생성하는 것으로 보안은 물론 지적재산의 위험을 초래한다.
치트툴 사용	치트툴은 앱의 취약점을 이용하는 도구로, 주로 게임 환경에서 공정한 게임 경험에 영향을 미친다.	낮음 (사용자 수준의 악의적/비의도적 공격)
에뮬레이터 검출	에뮬레이터는 호스트 시스템이 게스트 시스템의 기능을 수행하는 것으로,  Android 스마트폰이 윈도우 컴퓨터 시스템에 연결되어 있지 않아도 윈도우 플랫폼 위에서 Android를 실행 할 수 있는 행위를 말한다.
USB 디버깅	컴퓨터를 통해 Android 기기의 디버그 작업을 수행할 수 있도록 하는 개발자 옵션으로 활성화하면 앱이 잠재적으로 보안 위협에 노출될 수 있다.

 

 

모바일 앱 해킹 통계

 

모바일 앱의 비중은 게임이 40%로 가장 많았으며, 은행, 가상화폐 거래소 등이 19%로 가장 많았다.

 

 

월별 해킹 증감 추이모바일 앱 해킹 통계

 

모바일 앱 대상 해킹은 매월 증가하고 있으며 2023년 대비 84% 증가하였다.

 

앱 한 개당 월 평균 공격 횟수는 금융 앱이 가장 많았으며 게임 앱이 그 다음이다. 아래는 카테고리 별 월 평균 공격을 나타낸 그래프인데, 월 평균 약 5만 회의 공격이 발생하였다. 금융, 게임, 기타, 엔터테이먼트 등 다양한 카테고리 별 공격에 대한 보안이 필요하다.

 

 

전체 카테고리 해킹 분석

 

2024년 상반기 가장 많이 발생한 공격은 치트툴 사용이었으며, 그 다음이 보안 로직 후킹 시도였다. 치트툴의 경우 패킷 스니핑, 게임 모드, 결제 우회 등 다양한 종류의 치트툴이 배포되었으며, 이러한 해킹 툴은 전문 지식이 없어도 쉽게 사용이 가능하다. 이런 치트 툴 사용을 감지 할 수 있는 보안 툴 사용을 권장한다.

 

 

카테고리 별 해킹 공격 분석

위의 해킹 공격 중 치트툴 공격 비중이 높았으며, USB 디버깅, 디버깅 공격, 그리고 보안 모듈 우회 공격 등이 많이 발생 하였다.

 

모바일 앱에 시도된 해킹 데이터를 확인하면 사용자가 많은 최신 OS에 가해진 해킹 공격도 많지만, 구형 OS에 가해지는 해킹이 더 많다는 것을 확인할 수 있다. 안드로이드의 경우 94.56% 공격이 구형 OS에서 발생했으며, iOS는 65.56% 공격이 구형 OS에서 발생 하였다. 이렇듯 업데이트 되지 않은 앱에 더 많은 공격이 발생하기 때문에 앱을 안전하게 보호하기 위해서 OS에 대한 조치도 필요하다.(ex. 최신 폰을 사용하는것)

 

---

 

앱 취약점 보호를 위한 OWASP MASVS 보안 항목

OWASP MASVS(Mobile Application Security Verification Standard, 모바일 앱 보안 검증 표준)는 OWASP에서 모바일 앱 보안을 위한 권고 사항과 Best practice를 제시하는 보안 표준이다. MASVS의 목표는 모바일 앱에 흔하게 발생하 수 있는 보안 이슈를 해결할 수 있는 보안 항목을 제시하여 높은 수준의 보안을 앱에 적용되도록 하는 것이다.

 

OWASP에서 제시하는 보안 항목은 다음과 같다.

 

 

1. MASVS-STORAGE

모바일 앱은 디바이스에 개인정보를 저장하거나 API키를 보관하는 등 민간함 데이터를 디바이스의 로컬 저장소에 보관하는 경우가 있다. 본 항목은 디바이스에 저장된 민간함 데이터에 보호 조치가 되도록 안내한다.

 

 주요 요구사항

• MASVS-STORAGE-1 : 민간함 데이터의 보관위치와 무관하게 안전하게 보관한다.
• MASVS-STORAGE-2 : 의도치 않게 데이터가 유출되지 않도록 방지한다.

 

 

2. MASVS-CRYPTO

스마트 폰은 도난 또는 분실 되었을 때 앱에 대한 물리적 해킹이 가능하며 전화번호, 금융정보 그리고 비밀번호와 같은 중요 데이터를 탈취 할 수 있다. 해당 항목은 앱의 데이터를 안전하게 보호할 수 있는 암호화가 적용되도록 권장한다.

 

 주요 요구사항

• MASVS-CRYPTO-1 : 모범 사례에 따른 강력한 암호화를 적용
• MASVS-CRYPTO-2 : 암호화 키의 생성 및 보관하는 전 과정에서 암호화 키를 보호한다.

 

 

3. MASVS-AUTH

사용자 인증과 권한 부여는 모바일 앱, 특히 원격 서비스를 이용하는 앱에 대해 필수적인 요소이다. 바이오 인증, 2FA 인증, 비밀번호 등을 올바르게 이용하여 사용자를 인증하고 권한 부여하여 비인가 접근을 방지하도록 권장한다.

 

 주요 요구사항

• MASVS-AUTH-1 : 강력한 인증 및 권한 부여 프로토콜을 적용
• MASVS-AUTH-2 : 원격 엑세스 포인트가 아닌 로컬 환경에서도 모범 사례에 따른 인증 절차를 적용한다.
• MASVS-AUTH-3 : 앱이 작동할 때 필요 시 추가 인증절차를 진행한다.

 

 

4. MASVS-NETWORK

안전한 네트워크 사용은 앱 사용에 필수적이다. 앱이 네트워크와 통신하는 과정에서 암호화 및 인증절차를 통해 이동하는 데이터에 대한 보안 및 무결성을 유지할 수 있어야 한다.

 

 주요 요구사항

• MASVS-NETWORK-1 : 통신 데이터 암호화와 원격 엑세스 인증과 같은 모든 네트워크 트래픽에 대한 강력한 보안을 적용한다.
• MASVS-NETWORK-2 : 앱은 개발자가 제어하는 모든 원격 엔드포인트에 대한 ID 고정

 

 

5. MASVS-PLATFORM

모바일 앱은 플랫폼(디바이스)에 의존해서 작동하며 사용자 편의를 위해 IPC(inter process communication, 프로세스간 통신) 또는 WebViews를 통해 데이터를 노출시키는 경우가 있다. 이 때 데이터 유출 발생되지 않도록 플랫폼과 안전하게 상호작용할 수  있어야한다.

 

 주요 요구사항

• MASVS-PLATFORM-1 : IPC 메커니즘 안전하게 사용
• MASVS-PLATFORM-2 : WebViews 안전하게 사용
• MASVS-PLATFORM-3 : 인터페이스를 통한 데이터 유출 방지

 

 

6. MASVS-CODE

앱은 UI, 네트워크, 파일 시스템, IPC 등 데이터 엔트리 포인트가 많으며 변조되거나 신뢰할 수 없는 곳에서 데이터를 수신할 가능성도 있다. 이와 같이 해당 보안 항목은 외부 데이터 포인트 취약점 같이 코드로부터 발생하는 취약점을 다룬다.

 

 주요 요구사항

• MASVS-CODE-1 : 최신 소프트웨어 버전 요구
• MASVS-CODE-2 : 앱 업데이트 강제할 수 있는 메커니즘 보유
• MASVS-CODE-3 : 알려진 취약점 없는 소프트웨어만 사용
• MASVS-CODE-4 : 신뢰할 수 없는 인풋 검증

 

 

7. MASVS-RESILIENCE

리버스 엔지니어링 및 특정 클라이언트 측 공격에 대한 앱 탄력성을 증가시키기 위해서는 코드 난독화, 디버깅 방지, 위변조 방지와 같은 심층 보안을 적용해야 한다. 해당 항목에서는 적용해야 하는 심층 보안에 대해 설명한다.

 

 주요 요구사항

• MASVS-RESILIENCE-1 : 앱의 동작 플랫폼 무결성 확인
• MASVS-RESILIENCE-2 : 위변조 방지 메커니즘 보유
• MASVS-RESILIENCE-3 : 정적 분석 방지 메커니즘 보유
• MASVS-RESILIENCE-4 : 동적 분석 방지 메커니즘 보유

 

 

8. MASVS-PRIVACY

본 항목은 사용자 개인 정보 보호에 대한 기준을 제공하는 것이며, 개인정보 보호에 대한 모든 범위를 다루는 것이 아니다. 다양한 개인정보 보호법에 맞도록 적용해야 한다.

 

 주요 요구사항

• MASVS-PRIVACY-1 : 민감한 데이터 및 리소스 접근 최소화
• MASVS- PRIVACY-2 : 앱이 사용자 식별 감지
• MASVS- PRIVACY-3 : 데이터 수집 및 사용 투명하게 진행
• MASVS- PRIVACY-4 : 사용자가 데이터 관리 허용

 

---

 

2024년 상반기 앱 해킹 공격이 작년동기 대비 2배 이상 증가하였다. 이렇듯 모바일 앱을 대상으로하는 해킹 공격은 지속적으로 증가하고 있어 이에 대해 이해하고 공격을 대비해야한다.

 

전체 카테고리에서 가장 많이 발생한 해킹 공격은 치트툴 사용이었으며, 시스템 변조 및 보안 무력화 시도, USB 디버깅 공격이 그 다음으로 많이 탐지되었다. 특히 게임과 금융 앱 등 금융정보와 같이 민간함 데이터를 보관하고 활용하는 앱에 대한 해킹 빈도가 증가하였다.

 

OWASP의 MASVS에서 모바일 보안 표준을 제공하고 모범 사례를 제시하지만, 리소스 부족, 예산 부족, 보안 전문가의 부재로 기업은 모든 모범 사례를 신경쓰고 보호하기는 현실적으로 어려운 것이 현실이다.

 

 

[참조 : IDG tech library]

 

 

---

부산 홈페이지 및 웹개발 전문회사 주식회사 티로그

 

부산홈페이지제작 | 티로그 - 부산 최고의 웹디자인과 개발 서비스

 

그누보드 테마 및 플러그인 제작, 판매 전문회사 주식회사 티로그

 

그누보드테마 SEO 최적화된 맞춤형 홈페이지 제작 서비스