모바일 보안 기업인 짐페리움(Zimperium)이 지난해의 주요 모바일 위협 동향을 담은 ‘2024년 글로벌 모바일 위협 보고서’를 발표하였다.
z랩스(zLabs) 연구진은 모바일 표적 피싱인 ‘미싱(mishing)’의 급격한 증가를 발견하였다. 이는 모바일 기기와 사용자의 취약점을 악용하도록 특별히 설계된 다양한 전술을 사용하는 기법이다. 특히 이 보고서는 피싱 사이트의 82%가 모바일 기기를 대상으로 하고 있다고 밝혔다. 사이버 범죄자들이 점점 더 ‘모바일 우선’ 공격 전략을 채택함에 따라, 그들은 취약하고 보안이 되지 않은, 관리되지 않는 모바일 엔드포인트를 공격하여 기업 시스템에 침투하기 위해 다양한 기술을 활용하고 있다.
미싱, 기업이 직면한 주요 위협
사이버 범죄자들은 직원들이 일반적으로 자신의 모바일 기기에 대해 가지고 있는 신뢰를 악용하도록 공격을 설계하고 있다. z랩스 연구진은 기업을 대상으로 하는 피싱 사이트의 76%가 HTTPS를 사용하고 있다고 밝혔다. HTTPS는 피해자들로 하여금 자신의 기기에 있는 웹사이트가 합법적이라고 믿게 만드는 보안 통신 프로토콜이다. 직원들은 작은 화면 크기와 숨겨진 URL 표시줄과 같은 덜 눈에 띄는 보안 지표 때문에 이러한 피싱 시도를 알아차리기 어렵다.
사이버 범죄자들은 기만적인 도메인을 빠르게 출시한 다음, 탐지되기 전에 사라지게 할 수 있다. 연구진은 모바일 피싱 사이트의 약 1/4이 생성 후 24시간 이내에 작동 가능해지며, 거의 즉시 악의적인 활동을 시작한다는 것을 발견하였다.
사이드로딩된 앱으로 인한 위험
사이드로딩은 공식 앱 스토어가 아닌 곳에서 모바일 앱을 기기에 설치하는 행위이다. 금융 서비스 조직의 경우 모바일 위협의 68%가 사이드로딩된 앱에 기인한 것으로 나타났다. 실제로 사이드로딩을 하는 모바일 사용자들이 그렇지 않은 사용자들보다 기기에서 맬웨어가 실행될 가능성이 200% 더 높았다. 가장 흔히 발견되는 맬웨어 계열은 합법적인 앱으로 위장하는 리스크웨어와 트로이목마이다. 아시아 태평양 지역은 모든 지역 중 사이드로딩 위험이 가장 높았으며, 안드로이드 기기의 43%가 앱을 사이드로딩하고 있다.
급증하는 플랫폼 취약점
플랫폼 취약점과 관련하여 2023년에는 안드로이드와 iOS 모두에서 식별된 공통 취약점 및 노출(CVE)이 급증하였다. z랩스 연구팀은 테스트된 안드로이드 기기에서 1421개의 CVE를 감지하였는데, 이는 2022년 대비 58% 증가한 수치이다. 이 중 16개의 취약점이 실제 환경에서 악용되었다. 테스트된 iOS 기기에서는 269개의 CVE가 발견되었는데, 이는 10% 증가한 수치이며, 이 중 20개가 실제 환경에서 악용되었다.
이 데이터는 iOS와 안드로이드 기기가 본질적으로 안전하지 않으며, 두 플랫폼 모두 취약점이 크게 증가했음을 나타낸다. 2023년에 안드로이드는 24회, iOS는 35회의 빈번한 업데이트에도 불구하고, 기업들은 모든 기기에 걸쳐 업데이트를 관리하는 데 어려움을 겪고 있어 플랫폼 업데이트 이상의 사전 예방적 모바일 보안 전략이 필요하다.
기타 주요 결과
안전하지 않은 네트워크에 연결된 기업 기기의 수가 45% 증가하였다.
모바일 기기는 평균적으로 1년 동안 17번 위험한 네트워크에 연결된다.
마이크로소프트가 가장 많이 피싱된 브랜드로, 모방된 피싱 사이트의 23%를 차지하였다.
이러한 결과들을 통해, 모바일 기기를 보호하는 것은 선택 사항이 아니라 디지털 보안의 초석이라는 점을 알 수 있다. 강력한 모바일 보안 전략을 수립함으로써 기업들은 직원들 사이의 격차를 줄이고, 모바일 보안 태세를 강화하며, 사업을 방해하는 사이버 공격의 위험을 줄일 수 있다.
짐페리움의 최고경영자인 슈리다르 미탈(Shridhar Mittal)은 “오늘날의 디지털 시대에 71%의 직원들이 업무 수행을 위해 스마트폰을 활용하고 있는 만큼, 기업들은 모바일 위협 방어와 모바일 앱 검증을 포함한 다층적 보안 전략을 채택함으로써 모바일 엔드포인트를 효과적으로 보호해야 한다.”라고 말했다.
관련기사
- 전세계 뱅킹 앱 노리는 모바일 맬웨어 주의보...항공사·전자상거래·정부 사칭
- 기업 사이버 공격 영향 최소화는 ‘임원 보호 서비스’ 부터
- SMS 스틸러 ‘600개 브랜드·10만 개 샘플에서 확인’
- 생성AI 기반 모바일 위협 해결 솔루션
- 깜빡 속는 보이스피싱 대응법
- OT 겨냥한 사이버 공격·내부자 위협 증가
- 에이전트 없는 모바일 EDR 및 MTD...모바일 보안 새 지평
- 기업 사이버 공격 및 스미싱 53만 건, 2년동안 ‘2.5배 증가’
- 정교해지는 사이버 위협 ‘AI 기반 공격이 최대 위험’
- 기업 노리는 ‘공격표면 확장·위협’에 맞서는 ‘CTEM’
- AI 급여 계산 ‘불만’ 해결책은 투명성 보장과 교육
- ‘글로벌 공급망 위험 시기’...미 대선·우크라이나 원조·공휴일
- 온라인 보안 강화 제1 수칙 ‘피싱 인식’
- 삼성전자-AMI, PC에 펌웨어 보안 기능 구현
- ‘취업 사기 급증’...선불 지급·기밀 정보 요청·무면접 주의
- 악성 도메인 급증, 모든 계층에서 사이버 보안 강화 필요
- 락인컴퍼니, 모바일 앱 '위협 사용자 자동 차단 시스템' 美 특허 등록 결정
- 구글 플레이스토어에서 ‘200개의 악성 앱, 800만 건 이상’ 발견
- 디지서트 ‘CMC’, 기업 로고 표시해 이메일 보안 강화
- ‘모바일 추적 SW’ 자녀와 직원의 보안과 안전 확보로 괄목 성장
- AI·ML기술 접목해 ‘모바일 앱·웹 분석 시장’ 상승세...데이터 기반 고객 분석력↑
- AI·ML·빅데이터 활용 ‘행동 분석’ 시장...연평균 32.4%로 飛上
- 소비자들의 모바일 보안 요구 ‘최고 수준’
- 수십억 딥러닝 신경망 탑재된 ‘악성 도메인 탐지 솔루션’...97% 정확도 지원
- 사기·봇·멀웨어·사이버 공격·게임 치팅 걱정 없는 ‘모바일 보안 플랫폼’
- 디지털 시대의 필수, ‘모바일 애플리케이션 보안’ 고속 성장
- 기업 노리는 모바일 피싱 ‘스미싱·큐싱’ 급증...모바일 전용 보안 전략 시급
- AI 기반 모바일 앱 전용 악성코드 분석 솔루션 ‘마에스트로 인사이트’ 출시