블로그

악의적인 행위자가 모바일 앱을 공격하는 것을 막으세요

베스 맥엘로이 썸네일
베스 맥엘로이
2023년 8월 23일 게시

모바일 사용자가 쇼핑, 은행 업무, 건강 검진 등을 휴대폰에서 하는 동안 모바일 맬웨어와 기타 악성 활동은 계속해서 그들을 괴롭힙니다. 최종 사용자는 공격의 희생양이 되지 않도록 하는 것이 역할이지만, 궁극적으로 모바일 환경의 안전을 보장하는 것은 앱 제공자(제품 팀, 운영 팀, 개인정보 보호 보안 팀)의 책임입니다. 이러한 모바일 앱을 통해 흐르는 민감한 데이터도 허가받지 않은 탐욕스러운 눈으로부터 멀리 보관해야 합니다.

모바일 위험은 약간 다릅니다

기업들이 클라우드, 네트워크, 웹 애플리케이션 보안에 대한 투자를 늘렸지만, 여전히 많은 기업은 데스크톱과 노트북, 기업 소유 및 BYOD와 같은 기존 엔드포인트를 취급하는 것과 동일한 방식으로 모바일 애플리케이션을 취급합니다.

그러나 모바일 환경은 고유한 문제를 야기하여 이러한 시스템이 손상될 수 있습니다. 예를 들어, 공격자는 종종 다음과 같은 방법을 사용하여 장치에 침입하고, 데이터를 훔치고, 특권적인 액세스 권한을 얻고, 애플리케이션을 오용합니다.

  • 모바일 앱 재패키징
  • 맬웨어 주입
  • 후킹 프레임워크 하이재킹
  • 오버레이 공격 수행

악의적인 행위자가 모바일 앱을 제어하면 모바일 측 애플리케이션에서 벗어나 자동화된 공격을 사용하여 서버 측 애플리케이션에 대한 공격을 시작할 수 있습니다. 여기에서 그들은 자격 증명 채우기, 계정 인수, 스크래핑 등 다양한 악성 봇 공격을 수행할 수 있습니다.

모든 보안 프로그램의 주요 목표는 환경을 손상으로부터 보호하는 것이지만, 이러한 최종 상태는 종종 다음과 같은 규정 준수 표준을 충족해야 하는 필요성에 의해 먼저 결정됩니다.

  • 개인정보보호: GDPR, CCPA
  • 결제: EMVCo SBMP, PCI-DSS 및 PSD2
  • 건강 기록: 건강보험공단

이러한 현실에 맞춰 Google Cloud와 F5의 전문가들이 모여 웨비나를 개최하여 이러한 과제에 대해 논의하고 클라우드 엔지니어링, 앱 개발자, 운영팀, 보안 전문가가 협력하여 DevSecOps 프로그램 전반에서 모바일 앱 보안을 충분히 관리할 수 있는 방안을 제시했습니다.

여기서 큰 그림의 일부는 오늘날의 현대적이고 적응형 모바일 앱의 요구를 지원할 수 있는 적절한 인프라를 선택하는 동시에 사용자 경험에 영향을 미치지 않으면서 보안과 개인 정보 보호를 최종 사용자에게 원활하게 확장하는 것입니다. 중단과 지연으로부터 CI/CD 파이프라인의 전달 프로세스를 보호하는 것도 마찬가지로 중요합니다.

다른 관점이 중요합니다

웨비나에서 ActualTech Media의 진행자인 Jess Steinbach 는 Google Cloud의 전략 기술 파트너 관리자인 Joshua Haslett 과 F5의 사이버 보안 전문가인 Peter Zavlaris를 대상으로 여러 시나리오를 설명했습니다.

비즈니스 리더십

조직이 하나 이상의 규정이나 표준을 준수한다고 해서 해당 조직의 모바일 앱 위험과 법적 의미가 사라지는 것은 아닙니다. 마찬가지로, 모바일의 위험 프로필은 기존 웹 앱과는 다르게 접근해야 하지만, 여전히 더 큰 위험 그림에 통합되어야 합니다.

또한 패널에서는 모바일 앱이 악의적인 행위자에게 장악될 가능성이 있을 때 기업 리더가 기업 위험의 변화를 확인하고 계산하는 데 어떻게 도움을 줄 수 있는지에 대해서도 논의했습니다.

IT 및 보안 운영

IT 및 보안 팀은 모바일 앱 보안을 개발 및 제공 라이프사이클에 성공적으로 통합하기 위해 인프라에 필요한 변경 사항에 더 잘 대비하기 위해 협업할 수 있는 기회를 얻습니다.

물론, 목표는 툴링, 제공, 팀 구조 또는 운영에 큰 영향을 미치지 않고 이를 수행하는 것입니다. 패널에서는 모바일 앱 보안을 배포하고 구성하기 위해 로우코드 기술을 사용하는 방법과 이전 침투 테스트나 감사에서 얻은 결과를 활용하여 모바일 앱을 통합한 보다 강력한 AppSec 프로그램을 위한 전략, 계획 및 커뮤니케이션을 형성하는 방법에 대해 논의했습니다.

엔지니어링 및 개발자 운영

이 그룹이 모바일 앱을 만드는 방식이 어떻게 손상될 수 있는지 더 잘 이해할 수 있도록 패널은 앱 재패키징 및 후킹 공격이 어떻게 작동하는지 설명하고 엔지니어링 및 운영 팀이 이러한 위협으로부터 앱을 더 잘 보호하기 위해 노력을 조정하는 방법에 대한 현장의 생각을 공유했습니다.

더 밝은 소식으로, 패널에서는 엔지니어링 팀이 모바일 앱의 보안 위험을 해결하기 위한 명확한 그림과 계획을 갖춤으로써 CI/CD 파이프라인에서 숨겨진 이점을 찾을 수 있는 방법을 제시했습니다. 때로는 보안이 위험을 완화하는 것 이상의 역할을 할 수 있습니다. 이 경우 보안은 프로세스와 결과를 개선할 수도 있습니다.

실제 사례는 행동의 가치를 보여줍니다.

그룹은 또한 모바일을 더 광범위한 CI/CD 및 DevSecOps 프로세스에 통합해야 할 필요성을 입증하는 데 도움이 되는 몇 가지 실제 사례를 논의했습니다.

  • 규정 준수 유지: 해당 팀은 모바일 앱의 제공 및 유지 관리에 거의 또는 전혀 영향을 미치지 않고 GDPR 및 HIPAA와 같은 규제 요구 사항을 충족할 수 있습니다.
  • 간소화된 운영: IT 운영팀은 팀원들을 지치게 하지 않고도 모바일 위협의 증가에 더 잘 대처할 수 있으며, 서로 그리고 임원진 간의 의사소통 모범 사례를 활용할 수 있습니다.
  • 앱 내 위협 방어: DevOps 팀은 AppSec 태세를 지속적으로 모니터링하고 평가하여 런타임에서 앱을 표적으로 삼는 위협으로부터 성공적으로 방어하고, SecOps 팀과 중요한 정보를 교환하여 최상의 대응을 달성할 수 있습니다.

모바일 공격 광기를 멈추세요

모바일 앱 보안 프로그램이 이러한 시스템을 표적으로 삼는 실시간 런타임 위협에 어떻게 대처하는지 궁금하다면, '모바일 앱을 공격하는 악의적 행위자를 막자 ' 주문형 웨비나를 시청하세요.