모바일 인증 앱, 대부분 해킹에 취약한 설계 결함 있어

새 연구에 따르면 모바일 앱 대부분이 하드웨어 보안 사용해도 심각한 취약점 있는 것으로 나타나

2021-10-12 14:15 출처: V-Key Inc.

싱가포르--(뉴스와이어) 2021년 10월 12일 -- 디지털화는 강력한 디지털 ID 수요를 촉발하고 있다. 최근의 맥킨지 설문 조사[1]에 따르면 코로나19 위기는 전 세계적으로 디지털화를 크게 가속한 것으로 나타났다.

대다수의 응답자가 현재 사용자 또는 클라이언트 상호 작용의 적어도 80%가 디지털 방식으로 이뤄지고 있다고 답했다. 이는 코로나 팬데믹 이전의 58%보다 크게 늘어난 수치다. 하지만 디지털 방식의 가속으로 모든 조직 내 사이버 공격이 증가하고 있으며 이는 대부분 랜섬웨어 공격과 온라인 및 금융 계정 탈취와 관련된 것이다.

결과적으로 이는 리서치앤마켓스닷컴(ResearchAndMarkets.com)이 106억4000만달러(2026년에는 283억4000만달러에 이를 것으로 예상됨[2])로 평가한 다원적 인증 시장의 성장을 가져왔다. 은행, 금융 서비스 또는 전자 정부 앱의 경우 인증은 일종의 2FA(2단계 인증) 채택을 의미하며 일반적으로 SMS 기반 OTP(일회용 비밀번호) 또는 하드웨어 토큰이나 모바일 인증 앱에서 생성된 코드를 의미한다.

안타깝게도 SMS OTP는 탈취나 피싱 공격에 취약해 안전하지 않은 것으로 밝혀졌다. 하드웨어 토큰은 보급 비용이 많이 들고, 사용자 친화적이지 않으며, 주기적인 교체가 필요하다. 모바일 인증기(Mobile authenticator)는 가장 안전하고 편리한 옵션으로 여겨지는데 많은 사람이 OTP 코드를 생성하는 데 사용되는 암호 키를 전화기에 내장된 특수 하드웨어[신뢰할 수 있는 실행 환경(Trusted Execution Environment) 또는 TEE]을 통해 보호한다.

하지만 ‘가장 안전한’ 것이 반드시 ‘완벽한’ 것을 뜻하지는 않으며 이전에 간과했던 설계 결함에 관한 새로운 연구가 이 모든 것을 잘 설명해준다.

더 심각한 문제는 인증기 자체를 신뢰할 수 없는 경우 디지털 서비스가 악성코드에 의해 조작되거나 악의적 행위자가 이를 복제해 계정 탈취, 데이터 유출, 사기 혹은 그 이상의 위법 행위로 이어질 수 있다는 것이다.

세계 최초의 가상 보안 요소를 개발한 소프트웨어 기반 디지털 보안 기업으로 싱가포르에 기반을 두는 브이키(V-Key)는 최근 대다수의 모바일 인증 앱이 실제로 어떻게 악성 소프트웨어에 의해 침해될 수 있는지를 보여주는 백서를 발표했다. 이는 하드웨어 기반의 보호 기능과 상관없이 발생하는 문제이기도 하다.

대다수의 인증 앱은 암호화 키를 이용해 사용자를 식별하는 코드를 생성한다. 이 앱들은 해당 키만 열 수 있는 ‘보물 상자’에 빗댈 수 있다. 키를 도난당한 경우 거래를 인증하거나 사용자를 대신해 문서에 서명할 수 있는 능력이 해커의 ‘전리품’이 되는데, 이런 점은 많은 인증 앱이 암호화 키에 사용할 수 있는 가장 안전한 저장소를 이용하려는 이유다.

많은 개발자에게 이는 휴대폰의 신뢰할 수 있는 실행 환경을 의미한다. 안드로이드 기반의 휴대 전화에서는 이를 ‘스트롱박스 키스토어(StrongBox Keystore)’라고 하며, 애플의 운영체제에서는 ‘iOS 시큐어 엔클레이브[Secure Enclave, 비밀번호와 같은 암호화한 데이터를 저장하는 키체인(Keychain)이라는 동반 소프트웨어가 있음]’로 불린다.

얼 치앙 카이(Er Chiang Kai) 브이키 최고기술책임자(CTO)는 “안타깝게도 아키텍처 설계에는 해커가 악용할 수 있는 일반적인 결함이 있다”며 “악성 소프트웨어가 공격 대상 인증기 키에 접근해 해커가 무단 거래를 하거나 가짜 문서에 서명하는 데 사용될 수 있음을 발견했다”고 말했다. 이어 “특히 탈옥 전화기, 루팅된 장치 또는 권한 상승 취약점(privilege escalation vulnerability)이라고 하는 모델이 여기 해당한다”며 “우리는 이런 설계 결함을 트러스트 갭(Trust Gap)이라고 부른다”고 덧붙였다.

이는 정확히 어떻게 작동하는가? 누군가가 모바일 인증 앱을 이용해 2FA용 OTP를 생성하거나 디지털 문서에 서명하는 경우를 생각해 볼 수 있다. 이들이 어느 날 재미있는 모바일 게임이나 암호화폐에 관해 조언하는 앱을 보고 이를 다운로드해 설치하고 사용해 보기로 결정한다.

이 게임이나 암호화 조언 앱이 실제로 모바일 인증 앱을 대상으로 하는 권한 상승 취약점을 악용하는 악성 소프트웨어라는 것을 사용자는 모른다. 권한 상승(Privilege escalation)은 통상적으로 다른 앱이나 사용자로부터 보호되는 리소스(예: 키)에 액세스하기 위해 운영 체제 또는 소프트웨어 애플리케이션의 버그, 설계 결함 또는 구성 관리 도구를 악용하는 행위다. 그 결과 악성 소프트웨어는 의도한 것보다 더 많은 권한을 갖게 돼 기밀 데이터 액세스 권한과 승인되지 않은 작업을 수행할 수 있는 능력이 생긴다.

대개 사람들은 암호화 키를 보호하는 안드로이드 키스토어나 iOS 시큐어 엔클레이브의 기능을 신뢰할 수 있다고 확신하기 때문에 누군가가 자신의 인증기를 해킹할 가능성을 염두에 두지 않는다. 그러나 새로운 게임을 하거나 최신 암호화폐 배팅의 이익을 계산할 때 악의적 행위자는 이미 키, 더 정확하게는 ‘OTP 시드(OTP seed)’로 알려진 인증기의 키를 훔쳤을 수 있다.

OTP 시드는 여러 OTP 토큰의 비밀 소스다. 이 암호화 자산(카운터 또는 시간 수반)은 OTP 코드를 생성하기 위해 인증기의 OTP 알고리즘에 입력된다. 이 OTP 시드를 사용해 해커는 공격 대상 인증기가 생성한 것과 같은 OTP를 생성할 수 있다. 즉, 해커는 이제 사용자의 디지털 ID를 실질적으로 소유하게 되는 것이다.

이는 교활하고 교묘한 공격으로 목표가 되는 인증 앱을 실행하거나 조작할 필요가 없다. 이 취약점에 관한 질문에 구글과 애플 모두 사용자가 휴대 전화에서 수행하는 작업에는 궁극적으로 책임이 없다고 답했다. 특히 애플은 이 문제가 주로 탈옥된 아이폰에 영향을 미치며, 이는 허용된 사용 범위를 넘어서는 것이라고 답했다. 이 입장은 총기 관련 사망을 처리할 때 총기 제조 업체가 취하는 입장과 본질적으로 유사하다.

위의 시나리오는 OTP 시드에 초점을 맞추고 있다. 일부 인증기는 PKI(공개 키 인프라 키)와 같은 다른 유형의 암호화 자산에 의존한다. 하지만 비슷한 방식으로 복제되거나 도난당할 수 있다는 단점이 있다. 브이키의 백서는 해커가 어떻게 이를 수행하는지를 세부적으로 다루고 있다.

기업 및 전자 정부 앱 개발자들이 가능한 한 많은 고객을 확보하려고 서두르는 가운데 잘못된 신뢰 때문에 이런 중요한 보안 결함을 사실상 간과해 왔다. 그러나 SMS OTP와 모바일 인증 앱이 손상될 수 있고 장치 및 OS 레이어가 거의 도움이 되지 않는다면 일반 사용자들은 어떻게 해야 하는가? 이런 신뢰의 격차를 해소하는 가장 좋은 방법은 무엇인가?

브이키의 얼 치앙 카이에 따르면, 궁극적으로 최상의 솔루션은 앱, 서버 또는 개별 IoT 장치든 상관없이 시스템의 각 종단점(end point)을 식별하는 수단을 제공하는 것이다. 브이키의 앱 아이덴티티(App Identity) 솔루션과 같이 모든 앱에 결합하는 보안 요소는 외부 인증기가 필요 없고 사용자 경험을 손상하지 않으면서 앱의 ID와 무결성을 증명할 수 있다.

디지털 세계가 그 어느 때보다 빠른 속도로 확장되면서 신원 보안과 신뢰를 가능하게 하는 기능이 중요해지고 있다. 결국 손상된 모바일 인증 앱 하나만 있으면 기업 또는 정부 디지털 서비스에 침투해 전체 시스템을 다운시킬 수 있다. 금전적 처벌이나 민사상 책임뿐 아니라 브랜드 및 평판 손상까지 초래하는 손실은 복구할 수 없는 경우가 많다.

브이키(V-Key) 개요

브이키(V-Key)는 디지털 ID 관리, 사용자 인증 및 권한 부여를 위한 초고도의 보안 솔루션을 구현하는 기술을 보유한 소프트웨어 기반 디지털 보안 회사다. DBS, OCBC, UOB 등과 같은 클라이언트 및 파트너에게 신뢰받아 장소에 상관없이 사람과 조직과 장치를 연결하는 단순하고 안전한 범용 디지털 ID 서비스를 제공하고 있다.

브이키의 국제 특허 V-OS는 탑재된 첨단 암호화 및 사이버 보안 보호 기능이 이전에는 고가의 하드웨어 솔루션으로만 가능했던 글로벌 표준(EAL 3+ 등급 및 FIPS 140-2)을 준수하는 세계 최초의 가상 보안 요소다.

[1] https://www.mckinsey.com/business-functions/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever
[2] https://www.businesswire.com/news/home/20210311005630/en/28.34-Billion-Multi-factor-Authentication-Market---Global-Growth-Trends-and-Forecasts-2021-2026---ResearchAndMarkets.com

비즈니스 와이어 (businesswire.com) 원본 보기: https://www.businesswire.com/news/home/20211008005015/en/

[이 보도자료는 해당 기업에서 원하는 언어로 작성한 원문을 한국어로 번역한 것이다. 그러므로 번역문의 정확한 사실 확인을 위해서는 원문 대조 절차를 거쳐야 한다. 처음 작성된 원문만이 공식적인 효력을 갖는 발표로 인정되며 모든 법적 책임은 원문에 한해 유효하다.]

이 뉴스는 기업·기관·단체가 뉴스와이어를 통해 배포한 보도자료입니다. 배포 안내 >
뉴스와이어 제공