전체메뉴

[애플경제 전윤미 기자] IT시대 생활인들이 많이 쓰는 솔루션이나 앱에 대한 보안 우려는 크다. 특히 모바일 앱 보안은 매우 취약한 편이다. 이는 늘 신속히 개발, 출시해야 한다는 개발업체들의 강박감이 가장 큰 원인이다. 즉 개발자들의 보안 의식이 미흡하다는 뜻이다.

그러나 정작 정작 개발자들 스스로는 대부분 “100% 안전을 자신한다”는 입장이어서 문제가 되고 있다. 실제 생활에선 그 때문에 각종 보안사고가 빈발하고 있는 실정이다. 그럼에도 최신 연구에 따르면 많은 개발업체들도 모바일 앱 보안 관행에 대해 과신하고 있는 실정이다. 이는 기업과 소비자 모두를 위험에 빠뜨리고 있다.

취약한 앱, ‘악성 코드 공격, 자격 증명 도용 피해’

국내외를 막론하고 거의 모든 기업들은 자사의 보안 역량을 자신한다는 입장이다. 모바일 앱 보안 정책도 철저하다고 강조한다. 그러나 실제로는 전혀 그렇지 못하다. 일련의 사이버보안 실태 조사와 연구에 따르면 훨씬 더 많은 기업들이 지난 한 해 동안 침해를 경험한 것으로 파악된다.

그 중 가장 많은 기업들이 악성 코드 공격을 받았고, 그 못지않은 숫자가 데이터 유출을 경험했다. 데이터에 대한 무단 접근도 부지기수였다. 또한 자격 증명 도용 피해를 입은 기업들도 줄을 이었다.

이미 지적된 바와 같이 이런 문제의 가장 큰 원인은 출시 주기를 단축해야 한다는 압박에서 비롯된 것이다. 실제로 개발업체 스스로가 “모바일 앱 팀이 출시 시기를 앞당기는 데 점점 더 많은 압력을 받고 있다”고 실토할 정도다. 이런 조기 출시 압박으로 인해 많은 궁극적으론 모바일 앱 보안이 크게 위협받고 있는 실정이다.

실제로 글로벌 보안업체 ‘가드스퀘어’(Guardsquare)는 “그런 식으로 할 경우 속도와 보안 사이의 상충 관계로 인해 기업에 손실을 초래할 수 밖에 없다.”고 지적했다. 이 회사는 “개발자들이 새로운 기능을 출시해야 한다는 엄청난 압박을 받고, 설사 보안이 문제가 되더라도 출시를 앞당기기 위해 이를 포기하는 경우가 많다”면서 “이처럼 수동적이고 당장의 급한 불을 끄는 식의 접근 방식은 결코 지속 가능하지 않다”고 했다.

그러면서 “보안을 방해물이 아닌 촉진제로 활용하는 선제적이고 통합적인 전략이 필요하다”고 충고하기도 했다.

이를 통해 보안을 충족하면서도 앱 성능을 높이고, 규정을 준수하면서, 사용자들이 만족할 t 있게 하는 것이 중요하다는 지적이다.

개발업체 ‘사전 예방적 방어 체계’ 도입 미흡

다행히도 이들 개발자들과 업체들은 데이터 암호화, 모바일 애플리케이션 보안 테스트, 위협 요인 모니터링과 같은 핵심 모바일 앱 보안 기능을 사용하는 경우가 많다. 그러나 앞서 ‘가이드스퀘어’에 따르면 사전 예방적 방어 체계 도입률은 낮은 것으로 나타났다. 거의 대부분의 기업이 모바일 앱을 보호하기 위해 난독화를 사용하지 않고 있다. 또 런타임 애플리케이션 자가 보호(RASP)를 사용하지 않는 것으로 나타났다. 그 결과 앱이 정적이나 동적 분석에 취약해질 수 밖에 없다. 그렇다보니 DIY 보안 솔루션이나 OS 수준의 보안에만 전적으로 의존한다.

한편, 보안 사고의 영향은 보고된 평균 비용 이상으로 확대되고 있다. 갈수록 많은 사람들이 애플리케이션 다운타임을 경험했으며, 데이터 유출이나 소비자 신뢰를 잃고 있다. 그럼에도 불구하고, 보안 사고가 때론 보안 장치 구매의 촉매제가 되기도 한다. 또한 파트너 또는 고객 요구 사항, 침투 테스트나 감사 실패 후에 비로소 장치를 도입하는 경우도 많다.

이에 “너무 많은 기업들이 너무 늦게 조치를 취하는 경우가 많다”는 지적이다.

또 다른 글로벌 보안업체 ‘엔터프라이즈 스트래티지 그룹’은 “기업들이 어떤 기기에서든 쉽게 사용할 수 있는 풍부한 기능을 갖춘 애플리케이션을 개발해야 한다는 압박에 시달리고 있는 현실”이라며 “보안 팀은 적절한 도구를 활용, 모바일 애플리케이션 보안에 대한 선제적인 접근 방식을 취해야 한다”고 강조했다.