모바일 보안 키패드를 사용해야 하는 이유
- 해커에게 전달하는 나의 모든 것, 키로깅!
해커가 모바일을 통해 정보를 수집하는 이유
정보는 현대 사회에서 가장 귀중한 자산입니다. 누구는 자신이 알고 있는 정보를 공유해 돈을 벌기도 하고 기업에서는 이를 전략적으로 사용하곤 하며, 정보를 어떻게 관리하고 보호하느냐에 따라 경제적인 큰 격차가 발생할 수도 있습니다. 정보는 비단 개인이나 기업만이 아니라 해커에게도 돈이 되는데요, 해커가 모바일 장치에서 다양한 정보를 수집하여 이를 악용하거나 판매할 수 있기 때문입니다. 모바일 장치는 금융 데이터를 비롯해 개인정보 및 기업 정보 등 중요한 데이터를 많이 포함하고 있어 특히 공격의 대상이 되기 쉽습니다. 해커가 모바일에서 정보를 탈취하는 이유는 여러 가지가 있겠지만, 크게 금전적 이유, 국가 기관의 의뢰나 사이버 전쟁, 산업 스파이, 자원 절도 등이 있습니다.
해커가 모바일로 정보를 수집하는 이유
1. 금전적 이득 : 은행 정보 및 신용카드 정보를 통해 직접적인 금전적 이득을 취하거나 온라인 결제 정보를 탈취해 부정 결제 시도
2. 개인 정보 수집 : 로그인 자격 증명을 탈취해 계정을 해킹한 뒤 피싱 공격을 수행하거나 개인 식별 정보를 수집하여 신분 도용이나 블랙마켓에서 판매하기 위함
3. 기업 정보 수집 : 기업 내부의 민감한 정보나 고객 데이터 등을 수집하여 경쟁사에 판매하거나 악용, 혹은 기업 내 중요한 시스템에 접근할 수 있는 직원의 로그인 정보를 탈취하여 기업 네트워크에 침투
4. 정치, 사회적 목적 : 특정 인물이나 단체를 표적으로 하여 그들의 활동과 정보를 감시하고 억압하는 데 사용
5. 악의적 활동 : 랜섬웨어를 설치하여 중요한 파일을 암호화한 후 금전을 요구하거나, 사기성 웹사이트로 피해자를 유인
6. 정보 판매 : 수집한 민감한 정보를 다크 웹에서 판매하여 금전적 이득을 취함
키로깅, 해커가 모바일을 통해 정보를 수집하는 가장 효과적인 방법
키로깅 공격은 키스트로크 로깅(Keystroke logging)의 약자로 사용자가 키패드를 통해 입력하는 모든 데이터를 가로채는 악의적인 행위를 의미하며 이를 위해 설계된 프로그램을 키로거, 생성된 로그는 키로그라고 불립니다. 키로깅은 사용자가 키패드로 입력하는 모든 내용이 해커에게 여과 없이 전달되는 것을 말하는데, 해커들은 개인의 민감한 정보나 금융 정보, 아이디와 패스워드 등의 계정 탈취, 사적인 메시지 대화 내용, 회사 기밀 정보에 대해 작성한 메일 내용 등까지 모두 탈취할 수 있습니다. 모바일에서 키로깅 공격은 크게 소프트웨어 방식 또는 하드웨어 방식으로 나뉩니다.
1. 모바일 하드웨어 키로거
모바일에서 하드웨어 기반 키로깅 공격은 충전기나 USB 케이블에 키로깅 기능이 있는 경우입니다. 주로 공공장소의 충전 포트를 통해 감염될 수 있습니다. 이러한 장치들은 물리적인 신호를 추출해 기록으로 남긴 후 해커에게 전달합니다. 물리적 장치이기 때문에 쉽게 발견할 수 있을 것 같지만, 사실 비슷한 외관으로 위장하거나 은닉이 용이하기 때문에 도리어 분간이 어려울 수 있습니다. 또한, 백신 프로그램으로 탐지가 어렵다는 점도 큰 위협 요소입니다.
2. 모바일 소프트웨어 키로거
사용자 몰래 설치된 악성 앱이 키패드 입력을 기록하는 방법이 있습니다. 주로 의심스러운 링크를 통해 배포됩니다. 또한, 합법적인 앱이지만 과도한 권한을 요구하며 키 입력을 기록할 수 있습니다.
이 두 방법 중 대부분의 해커들은 모바일에서 멀웨어를 통해 악성코드를 유포하고 사용자의 모바일을 감염시킵니다. 이러한 정보 탈취형 멀웨어는 계속 새로운 형태로 등장하고 있는데 공격자들이 직접 개발해 다크웹에서 구독 서비스 형태로 판매하거나 최신 악성코드를 별도로 구매하기도 합니다. 이들은 키로깅 기능 외에도 원격 제어 기능, 웹캠, 계정 정보 수집, 명령 실행, 스크린샷, 오버레이 공격 등 다양한 악성 기능들을 조합해 판매하고 있습니다. 정보 탈취형 멀웨어들은 기업들도 조심해야 하는 주요 보안 위협입니다. 특정 보안 솔루션 개발사에서 보안 사고가 빗발쳐 확인해보니 사내 엔지니어 직원 개인 컴퓨터에서 키로깅 멀웨어가 발견돼 해커가 지속적으로 기업 정보를 빼돌린 정황이 발견된 경우도 있습니다.
키로깅 공격을 예방하는 방법
이제 여러분은 이러한 궁금증이 생길지도 모릅니다. “키로거가 있다면 어떻게 알 수 있나요?” 키로거를 퇴치하는 것은 그 자체로 어려운 일입니다. 모바일에서 원치 않는 키로거 소프트웨어 또는 하드웨어가 사용되고 있더라도 그것을 찾아내기란 쉽지 않습니다. 또한, 이 감지 방법은 소 잃고 외양간 고치는 격이므로 처음부터 키로거를 예방하기 위해 선제적인 보호가 중요합니다.
모바일 앱은 출시된 순간 고객의 민감한 정보와 깊은 관련성을 갖게 되는데, 개발사는 이제 모바일 앱을 개발할 수 있느냐 마느냐 차원의 문제가 아니라 그 앱을 세상에 내놓고 책임을 어디까지 질 수 있느냐의 문제를 지게 됩니다. 이 때, 해커로 인한 미래의 위협까지도 책임을 지려는 앱 개발사의 태도가 앱을 더 튼튼하게 만들게 됩니다.
앱 개발사는 모바일 키로깅 공격을 막기 위해 보안 키패드 사용이 권고됩니다. 특히 이는 핀테크 및 금융 앱에 대한 금융보안원의 필수 권고사항이기도 한데요, 모바일 보안 키패드는 키로깅 공격을 방지하기 위해 설계된 특별한 입력 도구로 여러 가지 기술과 방법을 활용해 사용자의 입력을 보호합니다.
모바일 보안 키패드의 주요 기능
랜덤 키배치
모바일 보안 키패드는 각 키 위치를 랜덤하게 배치합니다. 사용자가 입력할 때마다 키 위치가 변경되기 때문에 키로거가 특정 위치의 키 입력을 기록해도 유의미한 정보를 얻을 수 없습니다.
키 입력 암호화
키 입력 데이터를 암호화 알고리즘을 통해 변환하여 전송하는 기능입니다. 이 과정에서 키로거가 데이터를 가로채더라도 실제 입력값을 알아내기 어렵습니다.
전자금융거래법과 전자금융감독 규정 준수
모바일을 통한 전자금융 사용 시 안전성 강화를 위해 사용자 인증, 암호화 등 관련 규정을 강화하고 있으므로, 이를 준수하기 위해 모바일 보안 키패드를 사용해야 합니다. 특히 금융보안원에서는 핀테크 업종에 대해 ‘핀테크 서비스 취약점 점검’을 실시하여 안전한 앱 운영과 이용을 지원하고 있습니다.
모바일 해킹에 대비하기 위해서는 그들이 하는 동기가 무엇이든 애초에 이들이 목적을 달성할 수 있도록 허용된 빈틈을 빠짐없이 메우는 것이 중요합니다. 하지만 보안 키패드를 쓴다고 해서 어떠한 위협에도 끄떡하지 않는 철옹성을 구축했다고 판단한다면 큰 오산입니다. 철저한 앱 보안을 위해선 어떤 모바일 보안 키패드를 쓰는가도 중요한 문제가 됩니다.
모바일 보안 키패드 LIKEY의 장점
LIKEY는 기존의 보안 키패드의 암호화 방식의 문제점과 앱 개발사에서 사용할 때 느낀 불편함을 개선하기 위해 만든 신개념 모바일 보안 키패드입니다.
입력값에 대한 강력한 암호화
기존의 모바일 보안 키패드는 암호화 방식을 사용하기 때문에 반복되는 패턴을 기반으로 암호화 키를 유추하거나 복호화할 수 있다는 취약점이 있습니다. 반면, LIKEY를 통해 개인 정보를 입력하면 매번 다른 일회성 데이터가 출력되어 서버로 전송됩니다. 입력된 입력 정보는 복호화하는 것이 불가능해 개인 정보가 안전하게 보호될 수 있습니다.
기업마다 독자적인 보안 시스템 구축
LIKEY는 기업이나 프로젝트마다 각각 고유한 식별 값을 발급하기 때문에 독자적인 보안 시스템을 구축할 수 있습니다. 기존의 보안 키패드는 로직 및 암호화 키값을 여러 회사에 동일하게 사용했기 때문에 한 회사에 문제가 생기면 다른 회사의 보안도 노출될 위험이 있었습니다. 하지만 LIKEY는 철저하게 기업, 프로젝트마다 개별 암호화 값을 사용하므로 독자적인 보안 시스템을 구축할 수 있습니다.
다채로운 맞춤형 디자인 제공
은행 앱에 로그인 할 때 회색 바탕에 획일화된 UI를 가진 투박한 가상 키패드를 보신 적이 있을 겁니다. 하지만 LIKEY는 다릅니다. LIKEY는 개발사가 원하는 디자인과 기능을 설정할 수 있는 보안 키패드입니다. 키패드의 색상, 테마, 버튼 크기 등을 직접 설정할 수 있으며 디자인을 커스텀 할 수 있어 사용자 친화적인 레이아웃을 제공할 수 있습니다. 키패드에 브랜드 색상과 로고를 적용할 수 있어 일관된 브랜드 경험을 제공한다는 장점 또한 있습니다. LIKEY는 보안과 함께 사용자 경험을 동시에 고려할 수 있는 맞춤형 모바일 보안 키패드입니다.
모바일 앱에서 키로깅 해킹은 개인의 프라이버시는 물론 기업의 보안을 심각하게 위협할 수 있는 매우 중요한 문제입니다. 강력한 보안의 모바일 보안 키패드를 사용한다면, 이를 대비할 수 있으며 나의 모든 정보나 기업의 데이터를 안전하게 보호할 수 있습니다. 최근, 개인정보 보안에 대한 인식이 크게 개선되며 모바일 보안 키패드 도입에 대해 문의하시는 앱 개발사가 늘어나고 있습니다. 마지막으로 LIKEY 도입 문의 시 많이 물으시는 질문에 대한 답변을 적으며 이번 포스팅은 마치도록 하겠습니다.
감사합니다.
LIKEY FAQs
A. AOS, iOS 둘 다 지원이 가능합니다.
A. 라이브러리 형태의 SDK로 제공됩니다.
Q. LIKEY의 AOS와 iOS 최소 지원 버전은 어떻게 되나요?
A. AOS는 4.1 이상 지원, iOS는 7.0 이상을 지원합니다.
LIAPP, 최상의 서비스만을 제공합니다.
