[김국배기자] 모바일 오피스 시대의 보안 위협은 어떤 것들이 있을까.
언제 어디서나 사내 업무를 처리할 수 있는 모바일 오피스 환경이 확대되고 있다.
모바일 오피스는 스마트폰과 같은 모바일 기기의 이동성을 통해 비용절감, 효율성 증대 등 기업에 긍정적 효과를 가져올 것으로 기대되는 한편 단말기 분실, 악성코드 감염 등 보안 위협으로 인한 피해도 더욱 커질 것으로 예상되고 있다.
이런 가운데 한국인터넷진흥원(KISA)이 지난 15일 '모바일 오피스 정보보호 안내서'를 발표했다. 보고서는 모바일 오피스 보안위협의 유형을 크게 ▲개인정보침해 ▲도청 ▲피싱 및 파밍 ▲서비스거부(DoS/ DDoS) ▲권한 탈취 ▲악성코드 및 해킹 ▲제3자 정보유출의 일곱 가지로 분류했다.
◆위치정보, 카메라·마이크 등 악용해 개인정보 침해위협
모바일 오피스 환경에서도 개인정보 침해 위협은 여전히 존재한다. 모바일 오피스 단말기를 통해 특정 개인을 식별할 수 있거나 프라이버시를 침해할 수 있는 개인 정보가 유출되는 위협이다.
위치정보 탈취를 통한 개인정보 침해가 대표적이다. 공격자는 모바일 단말기에 악성 프로그램을 설치하고 단말기에 내장된 위치기반서비스(LBS) 기능을 악용해 사용자의 위치정보를 수집할 수 있다. 이를 통해 사용자의 이동경로, 생활 패턴 등을 파악하는 것이다.
카메라, 마이크 등 단말기의 하드웨어 자원을 이용한 공격 가능성도 있다. 공격자는 악성 프로그램으로 단말기 하드웨어 사용 권한을 획득한 후 카메라, 마이크 등을 원격제어해 사용자의 사생활이나 업무 활동 등을 감시할 수 있다.
◆'스니핑(Sniffing)' 등 도청 공격
도청 공격은 모바일 오피스 애플리케이션을 통해 전송되는 문서나 음성, 영상정보 등의 업무정보를 탈취하는 것이다.
특히 무선 네트워크를 통해 사용자 단말기에서 회사 내부시스템으로 데이터 패킷을 전송할 경우 이를 중간에서 가로채는 '스니핑(Sniffing)' 공격이 있을 수 있다.
또한 모바일 인터넷전화(mVoIP) 사용 시 음성·영상 통화 도청을 당할 위험도 간과할 수 없다. 사용자 단말기에 악성 프로그램을 설치해 mVoIP 사용하게 되면 음성·영상 통화 내용을 도청하는 방식이다.
이외에 애플리케이션 계층에서 동작하는 mVoIP 프로그램의 음성·영상 패킷이 암호화되지 않은 경우 또는 가짜 액세스 포인트(AP)를 통한 중간자 공격을 통해 도청이 이뤄질 가능성도 있다.
◆이용자 부주의 악용하는 피싱·파밍
모바일 오피스 이용자의 부주의를 악용하는 피싱(Phishing)이나 파밍(Pharming) 공격 위험도 높다. 주로 사회공학적 기법을 사용해 개인정보와 업무정보 유출하거나 후속 공격을 위한 악성코드를 삽입하는 경우다.
공격자는 악의적인 사이트를 통해 사용자의 개인정보와 업무정보를 취득하는데, 악성코드를 삽입한 웹페이지를 정상 페이지처럼 위장해 사용자가 정보를 입력하도록 유도하는 것이다.
또한 문자 메시지, 이메일 등을 통해 악의적인 애플리케이션을 설치하게끔 할 지도 모른다.
공격자가 목표 대상이 근무하는 회사나 관련 업체인 것처럼 꾸며 문자 메시지, 이메일 등 악성 웹사이트 주소(URL)를 삽입해 전송하는 것이다. 이때 사용자가 웹사이트에 접속하면 악성코드 감염, 모바일 결제 등이 실행될 수 있다.
◆서비스 거부(DoS·DDoS) 공격
또 다른 위협으로는 모바일 오피스를 이용하는 단말기나 내부시스템의 서비스 가용 자원을 소모시켜 정상적인 동작이 불가능하도록 만드는 서비스 거부 공격이 있다.
여기에는 지속적으로 통화 연결을 시도하거나 데이터 전송을 요청해 배터리 소진시키는 등 단말기 서비스 거부 공격이 있을 수 있다. 사용자의 단말기에 악성 프로그램을 설치해 배터리 소모, 지속적 통화 요청, 네트워크 사용 금지 등 업무처리가 불가능하도록 단말기를 마비시키는 것이다.
좀비 PC, 좀비 모바일 단말기 등을 통한 내부 서버 대상 서비스 거부 공격도 나타날 수 있다. 악성코드에 감염된 단말기를 통해 내부시스템이 처리할 수 없을 정도로 큰 용량의 쿼리(Query), 정보 요청 등을 지속적으로 전송함으로써 시스템을 마비시키는 방식이다.
◆권한탈취
권한탈취는 공격자가 단말기, 애플리케이션, 네트워크 영역에서 모바일 오피스 사용자 계정(ID/PW)이나 쿠키, 세션 등 인증 및 권한 정보를 탈취해 정상적인 사용자로 위장하는 공격을 말한다.
권한탈취 공격은 일반적으로 단말기와 내부 시스템 사이에서 정보를 탈취하는 중간자(Man-In- The-Middle·MITM) 공격을 통해 이뤄진다.
단말기와 내부 시스템이 통신을 시작할 때 단말기를 내부 시스템 또는 내부시스템을 단말기로 혼동시켜 중간에서 전송되는 모든 정보를 수집·열람할 수 있는 권한을 획득하는 것이다.
또한 SQL 인젝션(Injection) 공격으로 인증 우회, 단말기 루팅, 탈옥을 통해 관리자(Root) 권한을 탈취할 수도 있다. SQL 인젝션은 웹 애플리케이션의 입력값 검증 취약점을 이용하는 공격 중 하나다.
루팅이나 탈옥을 수행한 단말기의 경우 공격자가 해당 단말기의 관리자 권한을 쉽게 획득할 수 있으며 이를 통해 모바일 오피스를 이용하면서 전송·저장되는 업무정보를 탈취 당할 수 있다.
◆악성코드·해킹
모바일 오피스 단말기가 악성코드에 감염되면 해킹을 통한 불법적인 내부시스템 접근 공격이 이뤄질 수 있다.
스크립트 삽입 공격인 XSS(Cross Site Scripting)가 대표적이다. 공격자는 모바일 웹이나 모바일 오피스 애플리케이션에 탑재된 게시판, 이메일 등에 악성 스크립트를 삽입한 후, 사용자가 해당 게시물이나 메일 등을 클릭했을 때 스크립트가 동작하도록 유도한다.
또한 모바일 서비스 제공자가 운영하는 서버 운영 플랫폼의 미사용 서비스 포트를 통해 내부 시스템에 대한 정보수집(스캐닝)이 일어날 수 있다. 공격자는 스캐닝으로 수집한 내부시스템 정보(운영체제, 네트워크 상태 등)로 2차 공격을 수행할 수 있다.
특히 공격자는 앱스토어, 마켓을 통해 공개된 모바일 오피스 애플리케이션을 다운로드 후 소스코드 분석(리버스 엔지니어링)을 수행할 수 있는데, 이 과정에서 공격자는 해당 애플리케이션에 내재된 취약점을 발견해 악성코드를 삽입할 우려도 있다.
이외에도 테더링을 통한 보안정책 우회 및 악의적인 사이트 등에 접속하게 될 경우 업무용 PC에 악성코드에 감염될 수 있다.
◆비인가된 제3자에게 정보 유출
모바일 오피스 단말기와 내부시스템에 저장된 정보가 기술적·관리적 부주의로 인해 비인가된 제3자에게 유출될 위협도 존재한다.
또한 내부 직원이 모바일 오피스용 단말기 또는 내부시스템의 정보자산을 악의적인 목적으로 유출할 수 있다.
공공장소에서 모바일 오피스를 이용해 업무를 처리할 때 타인이 그 과정을 지켜보거나 단말기 분실 및 도난, 타인에게 대여 및 양도할 때 사용자 부주의로 인한 정보유출이 발생할 수 있다.
녹음, 녹화, 화면캡처 등의 기능을 사용해 업무 정보를 단말기에 저장한 경우 이는 단말에 설치된 악성코드, 악성 애플리케이션 등을 통해 유출될 수 있으며, 키로거에 감염되면 모바일 단말기 사용자가 입력하는 인증정보, 패스워드, 모바일 뱅킹 정보 등 키패드 정보값이 유출될 수 있다.
한국인터넷진흥원 박정섭 기업정보보호팀장은 "개인정보, 업무정보 등 중요정보를 보호하기 위해서는 모바일 오피스 구축와 개발 단계에서부터 대책을 고려하는 것이 중요하다"고 말했다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기