보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

모바일 금융 서비스에 대한 위협 증가

2017.02.01

20,592

 





국가

보급율

한국

91%

아랍에미리트

91%

싱가포르

91%

사우디아라비아

86.1%

스웨덴

85%

노르웨이

83%

대만

82%

스페인

81%

말레이시아

81%

중국

79%

미국

72%

 
[표 1] 국가별 스마트폰 보급율 (출처 - TNS · 2016년 3월 기준) 


[그림 1] 2017년 7대 사이버 공격 전망 (출처 – KISA)  


이처럼 빠르게 보급되어 인터넷에 연결되는 사물들의 중심이 되고 있는 스마트폰에서 금융 서비스에 대한 보안위협이 날로 증가하고 고도화 되고 있다.
2017년 7대 사이버 공격 전망 보고서에도 모바일 금융 서비스에 대한 위협 증가 항목이 포함되어 있음을 알 수 있다.


1. 모바일 금융 서비스 보안 위협

최근 인터넷 뱅킹, 모바일 뱅킹, 간편결제 등 금융거래가 발전함에 따라 이에 따른 금융서비스의 위협이 나날이 증가하고 고도화되고 있다.

스마트폰이 보편화 되면서 모바일 어플리케이션 또는 웹을 통해 금융거래를 이용하는 사용자가 많아짐에 따라, 스마트폰에 악성 어플리케이션 설치를 유도하여 해킹하는 방식의 금융 위협이 증가하고 있다.

악성 어플리케이션의 유포 방법은 크게 2가지 유형으로 와이파이 사용 시 공유기 해킹 후 해당 공유기에 연결된 모바일 기기에 악성 어플리케이션이 다운로드 되는 방식과 이메일 및 SMS 또는 큐싱 등으로 사용자가 공식적인 금융기관 어플리케이션으로 오인하고 다운로드 하게 하여 금융정보를 탈취하는 방법이 있다.

악성 어플리케이션이 설치가 되면 스마트폰에 저장된 개인정보 유출은 물론 사용자가 입력하는 값(계좌번호, 비밀번호, 공인인증서 번호 등)은 모두 키로깅되어 공격자의 서버로 정보가 전송된다.

추가로 악성 어플리케이션이 설치된 단말기가 루팅 또는 탈옥된 상태라면 공격자가 최고 권한(root)을 가지기 때문에 그 피해는 더욱 커질 수 밖에 없다.

또한 금융기관에선 대국민 상대로 서비스하고 있는 공식 어플리케이션에 대한 위·변조 검증 및 루팅·탈옥 탐지 기능이 적절하게 구현되어 있어야 한다.

만약 그 기능이 허술할 경우 공격자는 해당 어플리케이션을 조작하여 각각의 검증 로직 우회를 시도하게 된다.

이 후에 변조된 단말기에서도 어플리케이션이 정상적으로 실행되게 한 뒤 해당 악성 어플리케이션을 유포하여 사용자의 중요 개인정보를 탈취해 간다.


2. 모바일 금융 서비스 공격 기법

1) 공유기 해킹 및 DNS 위변조
 
공격자가 보안이 허술한 무선 인터넷 공유기의 최고 관리자 권한을 획득한 뒤에 공유기 DNS 서버 주소를 변경시켜 해당 공유기에 연결된 사용자가 금융관련 사이트 등에 접속을 시도하면 공격자가 미리 구축해 놓은 가짜 웹 사이트로 접속을 유도하여 악성코드나 악성 어플리케이션을 다운로드 받게 한 뒤 사용자 중요 개인 정보를 탈취하는 방법이다.



[그림 2] 공유기 해킹을 통한 사용자 개인정보 탈취 과정  

공유기 해킹은 여러 기법이 존재하지만 일반적으로 낮은 버전의 펌웨어가 가지고 있는 알려진 취약점을 이용한 공격과 가정이나 공공장소에서 디폴트 패스워드 또는 보안설정이 되지 않은 취약한 공유기를 타겟으로 Brute Force(무차별 대입 공격)를 통해 ID/PW를 획득한 뒤 관리자로 접속 후, DNS 정보를 변경하여 미리 공격자가 만들어놓은 악의적인 사이트로 접속을 유도하는 방법이 있다.
 

2) SMS, 이메일 등을 이용한 악성 어플리케이션 유포 

공격자는 플레이스토어(Android) 또는 앱스토어(iOS)에서 금융기관의 어플리케이션을 다운로드 한 뒤에 APK 및 IPA 파일을 추출하고 정적분석 및 동적분석을 수행한다.

분석을 통해 얻은 정보로 공격자는 소스코드를 수정, 탈옥탐지 우회 동적 라이브러리 삽입 등 해당 앱에서 프로그램 무결성 검증, 루팅·탈옥 탐지 등에 대한 검증 로직 우회를 시도하게 된다.

또한 어플리케이션에서 각각의 화면을 담당하는 소스파일에(액티비티나 뷰 등) 악의적인 서버로 강제 리다이렉트, 키로깅 기능을 포함한 악성 스크립트 등을 삽입한다.
이후에 사용자가 해당 화면에 접근 시 강제로 악의적인 서버에 접속하여 악성코드를 다운로드 하거나 사용자가 입력한 모든 값에 대하여 키로깅을 통해 공격자가 구축해 놓은 서버로 모든 정보를 전송하게 한다.

앱 위·변조가 완료되면 공격자는 악성 웹 서버를 구축 후 불특정 다수에게 스미싱을 시도, 위·변조된 앱 설치를 유도하여 설치한 사용자의 모든 중요 개인정보를 탈취해 간다.


[그림 3] 스미싱, 이메일 등을 이용한 악성 어플리케이션 유포 및 개인정보 탈취 과정  


3. 모바일 금융 사용자 안전 수칙

1) 출처를 알 수 없거나 의심스러운 어플리케이션 다운로드 금지
스마트폰 같은 경우 누구나 플레이스토어(Android), 앱스토어(iOS)를 통해 다양한 유·무료 어플리케이션 다운로드가 가능하므로 이를 통해 위·변조된 악성 어플리케이션이 유포될 가능성이 존재한다. 
따라서 출처를 알 수 없는 어플리케이션의 다운로드는 자제할 필요가 있다.

2) 루팅 또는 탈옥 금지
스마트폰은 휴대기기인 만큼 분실 가능성이 상대적으로 높다. 
보안설정이 되지 않은 상태(비밀번호, 지문, 패턴 등)에서 스마트폰을 분실 또는 도난 시 사용자 개인정보가 유출되는 문제가 발생될 수 있으며 나아가 루팅 또는 탈옥이 되어있는 상태에서는 메모리덤프, 사용자 단말기 내 중요정보 검색 등을 통해 그 피해가 더욱 커질 우려가 있다.

3) 단말기 운영체제 및 백신 프로그램 최신 버전 업데이트 
운영체제 및 백신 프로그램은 항상 최신버전으로 업데이트를 해야 된다.
해커들은 스마트폰 플랫폼의 제로데이 등 보안 취약점을 이용하여 악성코드를 유포하며 백신 프로그램의 탐지를 회피하기 위해 다양한 공격기법을 사용한다. 

4) 의심스러운 문자 메시지 및 메일 삭제
문자 메시지와 이메일은 해커들에게 악성코드를 유포하기 위한 좋은 수단으로 사용된다.
해커들은 금융관련, 경품당첨, 택배, 청첩장, 결혼 등 경조사, 게임포인트 지급, 연예인 사생활, 성 관련 등의 내용을 가지고 메시지 또는 이메일을 발송하여 사용자들을 현혹한다. 
따라서 사용자 본인의 스마트폰에 발신인이 불명확하거나 의심스러운 메시지 또는 이메일이 수신되었다면 절대로 URL을 클릭하거나 첨부파일을 다운로드 하면 안 된다. 
반드시 삭제하는 것이 최선의 방법이다.

5) 신뢰할 수 없는 사이트 방문 금지
오늘날에는 스마트폰을 통해 편리하게 인터넷 접속이 가능하다. 하지만 의심스러운 또는 알려지지 않은 사이트를 방문할 경우, 사용자 몰래 스마트폰 단말기에 악성프로그램이 설치될 수 있다. 

6) 블루투스 및 핫스팟 기능 사용 최소화
현재까지 국외 또는 국내에서 발생한 스마트폰 악성코드의 대부분은 무선인터페이스를 통해 유포된 것으로 조사되고 있다.
따라서 사용자는 블루투스 및 핫스팟 기능은 사용할 때만 활성화 시키고 사용하지 않을 경우 해당 기능을 비활성화 상태로 설정해야 한다. 

7) 단말기 이상증상 지속 시 악성코드 감염여부 확인
스마트폰 사용 중 잦은 오류, 바탕화면 변조, 알 수 없는 앱 자동 설치, 개인정보 변조 및 삭제 등 이상 징후가 발생되면 반드시 스마트폰 보안 매뉴얼에 따라 조치해야 한다. 
백신 프로그램을 통해 단말기를 진단하고 치료해야 하며 필요 시 초기화를 통해 2차 피해 가능성을 줄여야 한다.

8) 다운로드 파일 바이러스 검사
다운로드 한 파일은 바이러스 유무를 검사 후 실행 또는 설치해야 한다.
위·변조된 악성 어플리케이션은 인터넷을 통해 쉽게 유포가 되기 때문에 다운로드한 파일을 실행할 경우에는 가급적 스마트폰 전용 백신 프로그램으로 바이러스 유무를 검사 후 사용해야 한다.

9) 비밀번호 설정
단말기를 분실 또는 도난 시 중요개인정보가 유출되는 것을 방지하기 위해 단말기에 비밀번호, 지문, 패턴 등 보안설정을 해야 한다.
또한 단말기를 되찾더라도 악의적인 사용자에 의해 악성코드가 설치되었을 경우가 발생할 수 있으므로 되찾은 후에 백신 프로그램으로 검사를 하거나 초기화 하는 것이 좋다. 
특히 비밀번호를 설정할 때 유추하기 쉬운(1111, 0000, 1004 등) 비밀번호는 가급적 사용하지 않도록 한다.

10) PC에 백신 프로그램 설치, 정기적인 검사 및 최신 버전 업데이트 유지
많은 사용자들이 스마트폰과  PC간 데이터 백업 및 복사, 음악 및 동영상파일 전송 등의 작업을 수행한다.
이런 과정에서 PC에 설치된 악성코드가 스마트폰으로 옮겨갈 수 있으므로 스마트폰과 PC 모두 백신 프로그램을 설치하고 주기적으로 검사가 필요하며 최신 버전 업데이트를 유지할 필요가 있다.

11) 무선인터넷 공유기 보안 설정 및 펌웨어 최신 버전 업데이트 유지
무선인터넷 공유기의 각 제조사 홈페이지를 통해 해당 공유기의 펌웨어를 최신 버전으로 업데이트해야 하며 
공유기 관리자 아이디 및 비밀번호를 변경하여 사용하고 기본적인 보안설정을 적용시켜 공유기의 보안을 강화해야 한다.

12) 민감한 중요개인정보 보관 금지
스마트폰 내 금융관련 중요 정보(계좌번호, 계좌 비밀번호, 공인인증서 번호, 인터넷뱅킹 아이디/비밀번호, 보안카드 등)를 작성하거나 이미지로 캡쳐하여 보관할 경우 단말기 분실 또는 도난 시 중요개인정보가 유출될 수 있다.

13) 스마트폰 소액 결제 한도를 0원 또는 최소한으로 설정
스마트폰 소액 결제 한도가 지나치게 높게 설정되어있을 경우, 단말기 해킹 시 그 피해가 커지므로 최소화하여 사용한다.

14) 스마트폰 보안 설정
스마트폰 [보안] 설정에서 [알 수 없는 출처]의 체크 해제를 통해 공식 앱스토어 외 다른 경로를 통한 앱 설치를 허용하지 않는다. (안드로이드에 해당)

15) 공공장소에서 와이파이 주의
공개된 와이파이존에서 스마트폰 뱅킹, 주식 등 금융관련 거래를 최소화해야 하며 금융거래 시 주변을 살피고 어깨 넘어로 다른 사람이 보지 못하도록 주의한다.


4. 결론

모바일 금융 서비스 관련 공격기법은(신종 피싱, 스미싱, 보이스 피싱, 악성 앱 배포, IoT 임베디드 해킹 등) 해가 거듭 될수록 한층 교묘해지고 다양해지며 고도화 되는 만큼 이에 맞서기 위한 방어전략과 보안의식 또한 높아져야 할것이다. 
기업은 물론 기관, 보안담당자, 임직원, 컨설턴트, 일반 사용자 등 누구나 할 것 없이 모두가 어떻게 하면 모바일 환경의 보안성을 강화 할 수 있을지 심혈을 기울여 고민해야 하며, 지속적인 보안투자 또한 꼭 필요하다.