Last Updated on , By
 In AppSealing News, 앱실링 블로그

해커들은 다음 희생자를 찾기 위해 끊임없이 여기저기 기웃거리고 있습니다. 의심할 여지가 없는 개인뿐만 아니라, 잘 정비된 보안팀을 자랑하는 수십억 달러에 달하는 기업조차도 그 대상이 될 수 있습니다. 다시 말해, 사용자 디바이스와 네트워크 사업자의 보안 취약점을 항상 찾고 있는 해커의 눈을 피할 수 있는 사람은 없습니다. 부도덕한 요소로 인해 대량의 데이터 유출이 된 2019년의 사건에서  트위터의 CEO인 Jack Dorsey 조차도 “SIM-swap” 사기의 희생양에서 면하지 못하였을 정도였습니다. 이러한 상황은 우리의 데이터와 코드가 얼마나 취약한지를 다시한번 상기시켜 줍니다.

2019년에 발생한 몇 가지 주요 공격은 다음과 같습니다:

영국 정부 앱의 프라이버시 문제

EU Exit : 영국 정부에서 시작한 ID Document Check 앱은 프라이버시 및 악성 프로그램 위협에 대응하기 위해서 브렉시트 이후 영국에 머무르기 위해 그것을 사용했던 여러 유럽 연합 회원 정보를 노출시켰습니다. 노르웨이의 보안 회사인 Promon은 이 애플리케이션이 악성 프로그램 판독에 취약하며, 사용자의 개인정보를 보호하는 적절한 메커니즘을 가지고 있지 않다는 것을 발견하였습니다.

Zynga의 위험한 게임

한 보고서는 해커가 게임 개발사인 Zynga의 보안 방화벽을 뚫었을 때 약 1억 7천 3백만명의 사용자 자격 증명이 유출되었다고 밝혔습니다. 이 소식은 해커 Gnosticplayers가 약 2억 1천 8백만 이상의 사용자에 대한 데이터를 보유하고 있다고 말한 9월경에 주목을 받았습니다.

안드로이드 OTA 버그

해커는 OTA 표준 메커니즘인 OTA CP(Open Mobile Alliance Client Provisioning)의 인증 제약 조건을 이용하였고, 피싱 문자 메시지를 받은 안드로이드 사용자를 타겟으로 하였습니다. 이 버그로 인해 안드로이드 사용자는 자신도 모르게 악성 환경설정 소프트웨어를 설치하였고 이를 통해서 악의적인 사용자가 제어하는 서버로 데이타를 라우팅하였습니다.

바이러스에 걸린 암울한휴일

트렌드 마이크로 연구에 따르면 두 개의 주요 호텔 예약 사이트가 Magecart라는 신용카드 숨기기 악성코드에 의해 공격을 받고 있는 것으로 나타났습니다. 해커들은 이 웹사이트에서 원본 신용카드 양식을 복제본으로 대체할 수 있었고, 래의 신용카드 양식을 이러한 웹사이트의 복제본으로 교체할 수 있었고, 이로 인해 카드 번호, 주소, 전화번호와 같은 민감한 사용자 정보에 접근할 수 있게 되었습니다.

위협 받고 있는 GPS 추적기

연구원들은 GPS 트래커가 해킹되어 프리미엄 요금 번호로 전화를 걸 수 있음을 발견했습니다. 일반적으로 종량제 SIM 카드와 함께 제공되는 시계부터 애완 동물 목걸이에 이르기까지 GPS 트래커는 다양한 디바이스에서 널리 사용됩니다. 연구원들은 프리미엄 SMS 요금이 부과되는 TV 쇼에 투표하기 위해 이 디바이스를 어떻게 사용할 수 있는지 시연했습니다.

귀하의 전화 번호는 더이상 사적인 것이 아닙니다.

보안 전문가인 이브라힘 발릭(Ibrahim Balic)은 여러 유명 사용자의 전화번호를 처리할 수 있는 트위터 버그를 폭로하였습니다. 발릭은 트위터의 안드로이드 애플리케이션에서 연락처 업로드 기능을 사용하여 관련 계정 세부 정보를 가져올 수 있다고 밝혔습니다.

캐피탈 원 데이터 유출

1억명 이상의 미국인과 6백만명의 캐나다인이 금융 회사 캐피탈 원의 데이터베이스에서 민감한 정보를 도난 당했습니다. 2019년 7월에 해당 위반사항이 확인되어 연방수사국에 통보되었으며, 연방수사국은 이 사건과 관련하여 시애틀의 페이지 톰슨(Paige Thompson)을 체포하였습니다. 민감한 정보에는 이름, 주소, 전화 번호, 우편 번호 및 신용 한도와 함께 다른 기밀 데이터와는 별도로 점수가 포함 되어 있었습니다.

디즈니 스트리밍 해킹

디즈니가 대망의 스트리밍 서비스를 시작한 지 몇 시간 만에 공격자들은 여러 계정을 해킹하여 온라인으로 판매했습니다. 이로 인해 여러 사용자가 자신의 계정에 액세스하지 못하였습니다. 보고서에 따르면 해당 계정정보가 블랙 마켓 시장에서 3달러 미만으로 판매되었다고 합니다. 

검은 세력에 의해 뚫린 라이트인더박스(LightInTheBox)

지난 11월, 중국 전자상거래 업체인 LightInTheBox가 1.3TB에 이르는 중요한 사용자 상세 정보를 노출시키는 데이터 유출로 인해 심각한 타격을 입은 것으로 밝혀졌습니다. 공격자는 사용자의 IP 주소, 지리적 위치 정보 및 사용자 로그 활동에 액세스 할 수 있었습니다. 이 데이터는 공격자가 대규모 사기 행위를 준비하는데 사용될 수 있습니다.

타겟이 된 트위터 CEO

세계 최대 기업 중 하나의 CEO 조차도 보안 위협에 면역되지 않습니다. 잭 도시(Jack Dorsey)는 공격자들이 통신회사를 속여서 번호를 옮기는 “SIM-swap” 사기의 희생자가 되었습니다. 이렇게 되면 사용자는 기본 번호 뿐만 아니라 많은 경우 소셜 미디어 및 은행 계좌에 대한 액세스 권한을 잃게 됩니다. 트위터가 9월에 자신의 계정이 복구된 사실을 밝히기 전까지 잭 도시는 잠시 동안 자신의 번호를 제어하지 못하였습니다.

‘StrandHogg’ 취약점을 이용하는 악성앱

2019년 12월 노르웨이 보안 회사인 Promon은 악성앱이 휴대폰의 스토리지에 액세스하는데 사용할 수 있는 StrandHogg라는 안드로이드 운영체제의 취약점을 발견했습니다. 전문가들은 안드로이드의 멀티태스킹 기능이 열악하여 이 결함이 발생했다고 말했습니다.

Ginp: 새로운 트로이 목마

11월, 신용카드 로그인 세부정보와 데이터를 훔치는 Ginp라는 트로이 목마가 발견되었습니다. 이 트로이 목마는 처음에 Google Play Verificator 앱으로 숨겨졌지만 나중에 업데이트가 되면서 은행에 특화된 기능이 추가되었습니다. Ginp는 아누비스(Anubis) 은행 트로이 목마에서 가져온 코드를 기반으로 더욱 강력한 트로이 목마로 발전했습니다. 전문가들은 Ginp가 앞으로도 계속 진화할 것이라고 생각합니다.

2019년은 해커가 다양한 방식으로 사용자 정보를 가지고 즐거운 시간을 보내는 시대처럼 보였습니다. 공격자가 데이터 보안을 위반하는 새로운 애플리케이션과 공격 방법을 지속적으로 개발함에 따라 사용자는 항상 경계 해야합니다. 이러한 위협에 대한 노출을 최소화하고 보다 안전한 2020년을 만들기 위해서는 안전한 사용 가이드를 반드시 따라야 합니다.

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.

Leave a Comment

Mobile App Security - A Comprehensive Guide