“iOS 앱 50개 중 1개, 데이터 유출 위험”

인공지능(AI)를 이용해 모바일 기기 보안 솔루션을 제공하는 짐페리움(Zimperium)의 조사 결과, iOS용 비즈니스 앱 50개 중 1개에서 데이터 유출 위험성이 있는 것으로 나타났다.

짐페리움이 제공하는 zIPS(Zimperium Intrusion Prevention system)는 AI를 이용해 단말에서 비정상적으로 작동하는 앱을 감지하는 프로그램이다. 일상적인 작동을 AI에 미리 학습시켜 둠으로써, 일반적이지 않은 움직임을 보이는 앱이 나타났을 때 그 위협을 알려주는 방식이다.

진페리움이 감지한 모바일 단말의 보안 위험을 분석한 결과, 보안 패치를 제대로 하지 않아 생기는 ‘장치의 위협’과 전화 통신망을 통해 정보가 전송되는 ‘네트워크 위협’, 악성코드 및 스파이웨어 응용프로그램을 통해 정보 누출 등이 우려되는 ‘응용프로그램의 위협’ 세 가지로 분류됐다.

일반적으로 안드로이드보다 보안성이 높다고 여겨지는 경우가 많은 iOS도 보안 문제가 급격한 증가 추세에 있다. 정보보안 취약점 표준인 CVE(Common Vulnerabilities and Exposures)의 수는 2014년 200건에 못 미치는 수준이었지만, 2016년에는 약 600건으로 급증했다. 또 올 10월 현재 이미 지난해 전체 등록 수보다 많은 CVE가 등록됐다.

이는 기업 현장에서 스마트폰이 많이 쓰이게 되는 상황과 무관하지 않다는 것이 짐페리움의 분석이다 .

보고서는 “사이버 범죄는 가장 공격하기 쉬운 곳에 공격이 시도되는 경향이 있다”며 “공공 와이파이 등에 연결되는 경우가 많은 스마트폰, 그리고 내부 관리자에 의해 감시되는 경우가 적은 모바일 앱에서 취급되는 기업의 영업 관련 데이터는 가장 취약점이 높은 데이터의 하나”라고 지적했다.

또한 소프트웨어를 최신 상태로 업데이트 하지 않은 단말기도 보안 위험을 증가시키는 요인 중 하나로 지목됐다. 전세계에서 사용되고 있는 안드로이드 단말 중 94%가 최신 패치를 받지 않은 상태며, iOS 단말도 23%가 최신이 아닌 비보안 상태인 것으로 밝혀졌다.

iOS는 안드로이드에 비해 OS 업데이트가 쉽게 할 수 있는 특징을 지녔음에도 5명 중 1명의 사용자는 최신 OS가 출시되고 45일 이내에 업데이트 하지 않고 기존 그대로 사용하는 것으로 확인됐다.

친숙한 환경을 바꾸고 싶지 않기 때문에, 또는 단순히 귀찮기 때문에 오래된 OS를 사용하는 사용자가 적지 않은데, 자신과 기업의 안전을 지키기 위해서는 OS 업데이트는 필요하다는 것이 짐페리움의 조언이다.

일반적으로 iOS 쪽이 안전성이 높다는 말이 많지만 진페리움은 “그렇게 생각해서는 안 된다”는 입장이다.

기계학습 기술을 사용해 기업용으로 사용되는 iOS 단말과 앱 5만 건을 검색한 결과 악성코드가 발견된 단말기는 전체의 1%였던 반면, 5대 중 1대의 단말에서 암호나 기타 단말 장비 고유 식별자(UDID)를 취득하는 앱이 설치돼 있는 것이 발견됐다. 또한 3%의 앱에서 취약성이 높은 ‘MD2’ 등 오래된 암호화 알고리즘을 계속 사용하는 등의 문제가 있는 것으로 드러났다.

진페리움은 iOS 앱 위협에 대해 ‘악성코드’, ‘키체인 공유’, ‘MD2 암호화 사용’, ‘사용이 허용되지 않은 전용 프레임 워크 사용’, ‘URL 또는 UDID 등 개인정보를 취득’, ‘USB 충전 시 개인 정보를 읽을 수 있는 기능’ 등 7개 문제점을 발견했다.