악의적인 행위자가 모바일 앱을 공격하는 것을 막으세요

기업들이 클라우드, 네트워크, 웹 애플리케이션 보안에 대한 투자를 늘렸지만, 여전히 많은 기업은 데스크톱과 노트북, 기업 소유 및 BYOD와 같은 기존 엔드포인트를 취급하는 것과 동일한 방식으로 모바일 애플리케이션을 취급합니다.

그러나 모바일 환경은 고유한 문제를 야기하여 이러한 시스템이 손상될 수 있습니다. 예를 들어, 공격자는 종종 다음과 같은 방법을 사용하여 장치에 침입하고, 데이터를 훔치고, 특권적인 액세스 권한을 얻고, 애플리케이션을 오용합니다.

• 모바일 앱 재패키징
• 맬웨어 주입
• 후킹 프레임워크 하이재킹
• 오버레이 공격 수행

악의적인 행위자가 모바일 앱을 제어하면 모바일 측 애플리케이션에서 벗어나 자동화된 공격을 사용하여 서버 측 애플리케이션에 대한 공격을 시작할 수 있습니다. 여기에서 그들은 자격 증명 채우기, 계정 인수, 스크래핑 등 다양한 악성 봇 공격을 수행할 수 있습니다.

모든 보안 프로그램의 주요 목표는 환경을 손상으로부터 보호하는 것이지만, 이러한 최종 상태는 종종 다음과 같은 규정 준수 표준을 충족해야 하는 필요성에 의해 먼저 결정됩니다.

• 개인정보보호: GDPR, CCPA
• 결제: EMVCo SBMP, PCI-DSS 및 PSD2
• 건강 기록: 건강보험공단

이러한 현실에 맞춰 Google Cloud와 F5의 전문가들이 모여 웨비나를 개최하여 이러한 과제에 대해 논의하고 클라우드 엔지니어링, 앱 개발자, 운영팀, 보안 전문가가 협력하여 DevSecOps 프로그램 전반에서 모바일 앱 보안을 충분히 관리할 수 있는 방안을 제시했습니다.

여기서 큰 그림의 일부는 오늘날의 현대적이고 적응형 모바일 앱의 요구를 지원할 수 있는 적절한 인프라를 선택하는 동시에 사용자 경험에 영향을 미치지 않으면서 보안과 개인 정보 보호를 최종 사용자에게 원활하게 확장하는 것입니다. 중단과 지연으로부터 CI/CD 파이프라인의 전달 프로세스를 보호하는 것도 마찬가지로 중요합니다.

웨비나에서 ActualTech Media의 진행자인 Jess Steinbach 는 Google Cloud의 전략 기술 파트너 관리자인 Joshua Haslett 과 F5의 사이버 보안 전문가인 Peter Zavlaris를 대상으로 여러 시나리오를 설명했습니다.

비즈니스 리더십

조직이 하나 이상의 규정이나 표준을 준수한다고 해서 해당 조직의 모바일 앱 위험과 법적 의미가 사라지는 것은 아닙니다. 마찬가지로, 모바일의 위험 프로필은 기존 웹 앱과는 다르게 접근해야 하지만, 여전히 더 큰 위험 그림에 통합되어야 합니다.

또한 패널에서는 모바일 앱이 악의적인 행위자에게 장악될 가능성이 있을 때 기업 리더가 기업 위험의 변화를 확인하고 계산하는 데 어떻게 도움을 줄 수 있는지에 대해서도 논의했습니다.

IT 및 보안 운영

IT 및 보안 팀은 모바일 앱 보안을 개발 및 제공 라이프사이클에 성공적으로 통합하기 위해 인프라에 필요한 변경 사항에 더 잘 대비하기 위해 협업할 수 있는 기회를 얻습니다.

물론, 목표는 툴링, 제공, 팀 구조 또는 운영에 큰 영향을 미치지 않고 이를 수행하는 것입니다. 패널에서는 모바일 앱 보안을 배포하고 구성하기 위해 로우코드 기술을 사용하는 방법과 이전 침투 테스트나 감사에서 얻은 결과를 활용하여 모바일 앱을 통합한 보다 강력한 AppSec 프로그램을 위한 전략, 계획 및 커뮤니케이션을 형성하는 방법에 대해 논의했습니다.

엔지니어링 및 개발자 운영

이 그룹이 모바일 앱을 만드는 방식이 어떻게 손상될 수 있는지 더 잘 이해할 수 있도록 패널은 앱 재패키징 및 후킹 공격이 어떻게 작동하는지 설명하고 엔지니어링 및 운영 팀이 이러한 위협으로부터 앱을 더 잘 보호하기 위해 노력을 조정하는 방법에 대한 현장의 생각을 공유했습니다.

더 밝은 소식으로, 패널에서는 엔지니어링 팀이 모바일 앱의 보안 위험을 해결하기 위한 명확한 그림과 계획을 갖춤으로써 CI/CD 파이프라인에서 숨겨진 이점을 찾을 수 있는 방법을 제시했습니다. 때로는 보안이 위험을 완화하는 것 이상의 역할을 할 수 있습니다. 이 경우 보안은 프로세스와 결과를 개선할 수도 있습니다.

그룹은 또한 모바일을 더 광범위한 CI/CD 및 DevSecOps 프로세스에 통합해야 할 필요성을 입증하는 데 도움이 되는 몇 가지 실제 사례를 논의했습니다.

• 규정 준수 유지: 해당 팀은 모바일 앱의 제공 및 유지 관리에 거의 또는 전혀 영향을 미치지 않고 GDPR 및 HIPAA와 같은 규제 요구 사항을 충족할 수 있습니다.
• 간소화된 운영: IT 운영팀은 팀원들을 지치게 하지 않고도 모바일 위협의 증가에 더 잘 대처할 수 있으며, 서로 그리고 임원진 간의 의사소통 모범 사례를 활용할 수 있습니다.
• 앱 내 위협 방어: DevOps 팀은 AppSec 태세를 지속적으로 모니터링하고 평가하여 런타임에서 앱을 표적으로 삼는 위협으로부터 성공적으로 방어하고, SecOps 팀과 중요한 정보를 교환하여 최상의 대응을 달성할 수 있습니다.