모바일 애플리케이션 보안 피해를 최소화하려면 코딩 단계부터 취약점을 잡는 '시큐어 코딩'이 필요하다는 지적이 나온다. 이미 서비스 되고 있는 상태에서는 수정하기 어려운데다, 피해를 복구하는 비용도 커지기 때문이다.

한국인터넷진흥원(KISA)은 13일 서울 가락동 핀테크 기술지원센터에서 ‘모바일 핀테크 서비스의 취약점과 대응 방안 기술세미나’를 개최하고, 모바일 앱 보안성을 강화하는 방안을 소개했다. 발표는 모바일 네트워크 보안업체 ‘아홉’의 조성원 부장이 맡았다.

조성원 부장은 “과거 모바일 생태계에서 앱 보안 문제는 사용자가 SMS나 이메일 링크를 클릭해서 앱을 설치한 뒤에야 문제가 발생했다. 하지만 최근에는 스테이지프라이트(Stagefright) 취약점을 이용해 메시지를 보기만 해도 자동으로 악성코드가 실행된다”면서 “자동화 툴(Tool)을 활용해 취약점을 파악하고, 대응하지 않으면 자동으로 공격하는 방식으로 바뀌었다”고 지적했다.

그는 “모바일은 PC와 달리 샌드박스 구조로 설계돼 격리된 공간 안에서만 접근할 수 있어, 다른 앱에는 접근하기 어려운 구조”라며 “따라서 해커들은 플랫폼보다는 앱 자체를 직접 공략하는 게 더 빠르고 쉽다. 앱 자체에서 보안성을 갖춰야 모바일을 안전하게 사용할 수 있다”고 분석했다.

조 부장은 “앱 개발 단계에서 취약점을 사전에 제거하는 ‘시큐어 코딩’의 필요성이 커진다”면서 “대부분 취약점은 코딩 단계에서 생기는데, 완성된 뒤에는 초기에 고치는 것보다 비용이 훨씬 많이 든다”고 말했다.

실제 보안프로젝트 OWASP에 따르면 앱 보안 취약점을 코딩 단계에서 수정하는데 드는 비용은 평균 25달러(약 3만5000원)가 소요된다. 반면 서비스를 론칭한 뒤 문제를 해결하려면 평균 1만6000달러(약 1950만원)가 투입돼야 하는 것으로 나타났다.

행정안전부에서 제공하는 시큐어 코딩 가이드라인에 따르면 코딩 단계에서 나타나는 주요 보안 문제로는 ▲SQL 삽입 ▲경로조작과 자원 삽입 ▲크로스사이트 스크립트 ▲운영체제 명령어 삽입 ▲오버플로우가 있다. 보안기능과 관련해서는 ▲취약한 암호화 알고리즘 ▲중요정보 평문 저장과 전송 ▲하드코드된 비밀번호 ▲충분치 않은 키(Key) 길이 사용 ▲적절치 않은 난수값 사용 ▲주석문안에 포함된 시스템 주요정보와 같은 취약점이 있을 수 있다.

조 부장은 “최근에는 앱을 대부분 사용자가 모바일에서 이용하기 때문에 과거에 생각하지 못했던 공격기법이 나타나거나 플랫폼의 잠재적 취약점을 공격하는 일이 많이 나타난다”면서 “기획자가 핀테크 서비스를 기획하거나 서비스 론칭을 준비한다면 시큐어 코딩 가이드라인을 활용해 자신의 앱이 안전하게 개발됐고, 사용되는지 검증할 필요가 있다”고 조언했다.

김태환 테크엠 기자 kimthin@techm.kr