최근에는 모바일 기기로 기업 정보에 접근하는 경우가 많다. 모바일을 통해 민감한 정보를 빼내는 것이 점점 더 쉬워지기 때문에 보안에 대한 회사들의 고민이 많아지고 있다. 포모 몬 연구소의 작년 보고서에 따르면 평균적으로 무려 368만 달러에 달하는 기업 데이터 유출 비용이 했다. 지난 22일 ITNews는 간과하기 쉽고, 중요한 모바일 보안 위협 7가지에 대해 소개했다.

1. 데이터 유출
데이터 유출은 2019년 기업 보안에서 가장 중요한 영역으로 알려져 있다. 악성코드에 감염된 확률은 매우 낮은 반면 데이터 유출 문제가 발생했을 경우 향후 2년 내에 적어도 한 번 더 데이터가 유출될 확률이 28%에 가깝다고 Ponemon이 보고했다. 이 문제는 사용자들의 부주의한 결정으로 인해 발생하는 경우가 많다.

Gartner의 모바일 보안 리서치 디렉터인 Dionisio Zumerle는 "관리자의 부담을 덜어주며 사용자를 좌절시키지 않는 앱 검사 프로세스를 구현하는 방법이 주요한 과제입니다."라고 말하며 모바일 위협 방어(MTD) 솔루션으로 전환할 것을 제안했다. Symantec의 Endpoint Protection Mobile, CheckPoint의 SandBlast Mobile와 같은 유틸리티 앱은 "유출 동작"을 검색하고 문제가 있는 프로세스를 자동으로 차단할 수 있고 말했다.

물론 이것은 공공 클라우드 서비스에 회사 파일을 전송하거나, 기밀 정보를 잘못된 장소에 게시하거나, 잘못된 수신자에게 이메일을 보내는 등 명백한 사용자 오류로 인한 데이터 유출을 항상 방지할 수는 없다. 전문 보험사 Beazley의 보고에 따르면 2018년 3분기의 데이터 침해 주요 원인 절반 이상이 내부자 유출과 사고로 인한 유출인 만큼 데이터 손실 방지 솔루션이 필요하다.

이러한 유출의 경우 데이터 손실 방지(DLP)로 효과적으로 예방할 수 있는데, DLP 소프트웨어로 우발적인 시나리오를 포함해 민감한 정보의 노출을 방지할 수 있다.

2. 사기 피해
피싱, 스푸핑 등 사기 피해는 데스크톱과 같은 모바일 전선에서 골치 아픈 일이다. 피할 수 있다고 생각하는 경우에도 당하는 경우가 많기 때문이다.

보안 업체 FireEye의 2018년 보고에 따르면 사이버 범죄의 91%는 이메일로 시작하는데, 사람들을 속여 위험한 링크를 클릭하거나 민감한 정보를 제공하도록 하는 사칭과 같은 전술에 의존한다. 피싱은 2017년 동안 65% 성장했으며, 모바일에서는 이메일 발신자의 이름만 표시하는 방식 때문에 피싱 위험이 매우 높다.

IBM의 연구에 따르면 데스크톱보다 모바일에서 피싱 공격에 걸릴 확률이 3배 더 높은데, 사람들이 모바일로 메시지를 확인하는 경우가 많기 때문이다. Verizon의 최근 연구 또한 비슷한 결과를 보여주는데, 스마트폰의 작은 화면 때문에 상세 정보를 표시하는 데에 제약이 생겨 피싱 성공 가능성이 높아진다고 지적했다.

이외에도 업무용 컴퓨터와 개인용 컴퓨터의 경계가 모호해지는 것이 사기의 가능성을 높인다. PishMe의 정보 보안 및 피싱 방지 전략가인 John Lex Robinson은 점점 더 많은 근로자들이 스마트폰으로 업무와 개인 계정이 연결된 여러 개의 이메일함을 보고 있다고 말했다.

모바일 이메일 고객들의 클릭을 유도하는 버튼이 두드러지게 배치되어 있고, 근무자들이 하나의 모바일에서 기업 정보, 소셜 미디어, 게임 등 멀티태스킹을 지향하는 방식이 사기 피해를 높인다.

현재 피싱을 통한 무단 접속으로부터 계정을 보호하기 위해선 2단계 인증 코드를 사용하는 것이 가장 효과적이라고 알려져 있다. 구글의 타이탄이나 유비코의 유비키와 같은 물리적 보안 키와 같이 하드웨어 기반 인증으로 보안을 강화하는 것이 효과적이다. 구글, 뉴욕대, UC 샌디에이고가 실시한 연구에 따르면 기기 인증만으로도 벌크 피싱 공격의 99%와 표적 공격의 90%를 예방할 수 있다.

3. Wi-Fi 간섭
모바일 기기는 데이터를 전송하는 네트워크의 안전만큼만 안전하다. 즉, 끊임없이 공공 와이파이 네트워크에 접속하는 시대에 우리의 정보는 생각했던 것보다 안전하지 않을 수 있다.

Wandera의 연구에 따르면 기업용 모바일 기기는 무선 데이터 사용량보다 거의 3배나 많은 와이파이를 사용하고 있다. 기기의 4분의 1 가까이는 개방되고 잠재적으로 불안정한 Wi-Fi 네트워크에 연결되어 있고, 4%는 최근 한 달 사의 악의적인 중간자 공격을 당했다. McAfee는 최근에 네트워크 스푸핑이 눈에 띄게 증가했지만, 여행하면서 공공 네트워크에 접속할 때 안전을 생각하는 사람들이 절반도 되지 않는다고 말했다.

스마트 보안 전문가이자 시러큐스 대학 컴퓨터공학과 교수인 Kevin Du는 "요즘은 트래픽을 암호화하는 것이 어렵지 않습니다."라고 말하며 VPN 사용의 중요성을 강조했다. Gartner의 Zumerle는 모바일 기기에서 VPN을 효과적으로 사용하기 위해선 뉴스 사이트와 같은 것에 접속하거나, 반드시 필요한 경우에만 활성 하는 등 배터리 등 자원 소비를 최소화하는 방식으로 효과적으로 사용해야 한다고 말한다.

4. 낙후된 IoT 장치
스마트폰, 태블릿 및 소형 연결 장치와 같은 사물인터넷(IoT) 장치의 사용이 점점 많아지고 있다. 하지만 지속적인 소프트웨어 업데이트가 진행되지 않아 기업 보안에 위험 요소가 되기도 한다. 특히 안드로이드의 경우 대부분의 제조 업체들이 운영 체제 업데이트와 보안 패치를 비효율적으로 진행하거나, 업데이트 하지 않고 있다.

Ponemon에 따르면 모바일 플랫폼의 광범위한 사용이 전체 데이터 침해 규모를 증가시키며, 업무와 연결된 IoT 제품들이 많아지며 피해 금액이 더 높아진다고 한다. 사이버 보안 회사인 Raytheon은 IT 전문가 82%가 보안이 되지 않은 IoT 기기가 조직 내에서 "치명적인" 데이터 침해로 이어질 것이라고 예상한 연구를 후원했다.

따라서 기업들은 낙후된 IoT 기기들이 교체되기 전까지 주변에 자체 보안망을 구축해야 한다.

5. 크립토재킹(cryptojacking) 공격
크팁토재킹은 모바일 보안을 위협하는 신종 사이버 범죄이다. 일반인 PC에 몰래 악성코드를 설치해 암호 화폐를 채굴하도록 하는 공격 유형이다. 크립토재킹은 당신의 기술에 크게 의존하기 때문에, 모바일의 배터리 수명이 떨어지거나 구성품의 과열로 인한 손상 등을 받을 수 있다.

크립토재킹은 데스크톱에서 시작되었는데, 2017년 말부터 2018년 초까지 모바일에서 급증했다. Skybox 보안 분석에 따르면 원하지 않는 암호 채굴은 2018년 상반기에 발생한 모든 공격의 3분의 1을 차지했으며, 이전 반년에 비해 70% 두드러지게 증가했다.

이후 모바일 영역에서는 6월과 7월에 각각 애플 앱 스토어와 구글 플레이 스토어에서 암호 채굴 앱을 금지함으로써 크립토재킹이 감소했다. 하지만 보안업체들은 모바일 웹사이트와 비공식 제3자 시장에서 다운로드한 앱을 통한 공격이 어느 정도 성공을 거두고 있다고 지적한다.

또한 분석가들은 일부 기업이 스트리밍과 비디오 캐스팅에 사용할 수 있는 인터넷 연결 셋톱 박스를 통한 크팁토재킹 가능성에 대해 주목했다. 보안업체 Rapid7에 따르면 해커들은 개발자 전용 명령 도구인 Android Debug Bridge의 허점을 통해 접근 가능하고, 충분히 남용 가능하다는 사실을 발견했다.

현재로서는 기기를 신중하게 선택하고, 크팁토재킹 가능성이 현저하게 감소하는 플랫폼의 공식 스토어에서만 앱을 다운로드하도록 촉구하는 정책을 고수하는 것 외의 좋은 방안이 없다. 그리고 산업 전반에 걸쳐 취해지고 있는 예방 조치를 고려할 때, 대부분의 회사들이 어떤 중요하거나 즉각적인 위협을 받고 있다는 징후는 없다. 그럼에도 불구하고 지난 몇 달 동안 변동하는 활동과 이 분야에 대한 관심이 높아졌다는 점을 감안하면 2019년에 크립토재킹에 대해 인지하고 주시할 필요성이 있다.

6. 보안에 취약한 비밀번호
이제는 비밀번호에 대한 보안 문제에서 벗어났을 것이라고 생각하겠지만, 여전히 사람들은 자신의 계좌를 제대로 확보하지 못하고 있고, 회사 계좌와 개인 계정이 모두 들어있는 휴대폰을 가지고 다닐 때에 특히 문제가 될 수 있다.

구글과 해리스 여론조사소에 의하면 미국인 중 절반 이상이 다수의 계정에 같은 패스워드를 공유하는 것을 발견했다. 거의 3분의 1은 2FA (2단계 인증)을 사용하지 않고, 오직 4분의 1만 적극적으로 패스워드 매니저를 사용한다. 이것은 대부분의 사람들이 강력한 패스워드를 가지고 있지 않다는 것을 암시한다.

2018년 LastPass에 따르면 전문직 종사자의 절반 이상이 업무용 계정과 개인용 계정에 동일한 비밀번호를 사용하고 있는데, 심지어 평균적인 직장인들은 직장 동료와 약 6개의 비밀번호를 공유하는 것으로 분석되었다.

Verizon의 2017년 발견에 따르면 도난당한 패스워드가 기업 내 해킹 관련 위반의 80% 이상을 차지한다. 특히 모바일 기기에서 회사 계정에 사용하는 비밀번호를 채팅 앱 또는 메시지 포럼 등에 잘못 입력하는 경우 기업 데이터가 위험에 처할 수 있다. 또한 이러한 위험이 앞서 언급한 Wi-Fi 간섭의 위험과 결합될 경우 보안 위험은 빠르게 증가한다.

7. 물리적 장치의 파손
마지막 문제점은 우스꽝스럽게 들릴 수 있지만 현실적인 위험으로 불안할 정도로 남아있다. 분실 또는 방치된 장치들은 강력한 PIN이나 비밀번호, 완전한 데이터 암호화가 없는 경우 중대한 보안상 위험이 될 수 있다.

2016년 Ponemon 연구에서 전문가 중 35%는 접근 가능한 기업 데이터를 보호하기 위해 취한 조치가 없다고 답했다. 게다가 조사에 흥한 사람 중 거의 절반이 자신의 기기를 보호하는 비밀번호, PIN, 생체 보안을 사용하지 않고 있고, 약 3분의 2는 암호화를 사용하지 않는다고 답했다. 그리고 응답자의 68%는 모바일 기기를 통해 액세스하는 개인 및 회사 계정에 동일한 비밀번호를 사용하는 경우가 있다고 답했다.

최근에도 상황은 전혀 나아지지 않은 것 같다. 2019년 진행한 Wandera의 모바일 위협 환경 분석에 따르면 기업의 43%가 잠금 화면 보안이 없는 스마트폰을 최소한 하나 이상 가지고 있다. 그리고 단말기에 비밀번호나 PIN을 설정한 사용자들 중에서도 많은 사람들은 기회가 주어질 경우 아주 기본적인 4글자 코드를 사용하기로 선택했다.

이것이 의미하는 바는 간단하다. 사용자들의 손에 책임을 맡기는 것은 충분하지 않다. 추정하지 말고, 방책을 만들어야 한다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]