최근 국내에서 발생한 대형 이동통신사의 유심(USIM) 해킹 사건은 우리 사회 전반의 디지털 보안 인식이 얼마나 취약한지를 드러낸 계기이자, 디지털 환경 전반에 대한 보안 체계 재점검 필요성을 환기시킨 사건이었다.
일상 속에서 가장 밀접하게 사용하는 디지털 기기가 바로 스마트폰이다. 스마트폰은 이제 단순한 통신 수단을 넘어, 금융 거래와 공공 서비스, 건강 정보, 사적 대화까지 대부분의 생활이 담긴 플랫폼이다. 그만큼 앱 보안은 선택이 아니라 필수며, 개인정보 보호의 최전선에 있어야 한다.
피싱 문자나 악성 앱 설치를 통한 개인정보 탈취는 오래 전부터 반복돼 왔다. 그러나 이번 사건을 계기로, 많은 사용자들이 처음으로 “내 스마트폰은 안전한가?”라는 근본적인 질문을 던지기 시작했다. 문제는, 높아진 경각심에도 불구하고 실제 앱 보안 수준은 여전히 턱없이 낮다는 데 있다.
앱 70개 실태 분석... 평균 보안 적용률 21.7%
이러한 문제에 대한 인식을 바탕으로 케이스마텍은 최근 구글 플레이 스토어에 등록된 안드로이드 앱에 대해 심층적인 앱 보안 취약점 테스트(APP Vulnerability Assessment Test)를 실시했다. 이번 보안 취약점 분석은 앱 보안 전문 업체 프로몬(Promon)에서 제공한 가이드라인을 기반으로 수행됐다.
국민의 일상과 밀접한 7개 핵심 분야를 '금융, 헬스케어, 이커머스, 교육, 교통·생활, 게임·커뮤니티, 공공'으로 카테고리를 구분하고, 각 분야 국내 사용자 이용률이 높은 앱 10개씩, 총 70개 앱을 선정해 실제로 어떤 보안 기능이 적용돼 있는지를 정밀 분석했다.
분석 항목은 △루팅(Rooting) 탐지 및 우회 방어 +Magisk 등 변종 포함 △디버깅 연결 탐지 및 차단 △소스코드 난독화 △악성 키보드 및 키로거(접근성 권한 악용) △원격 제어 앱 악용 탐지 △실시간 화면 녹화 △오버레이 공격 탐지 △에뮬레이터 환경 실행 탐지 등 스마트폰 해킹 및 개인정보 탈취에 빈번히 악용되는 최신 공격 기법들에 대응할 수 있는 11개 실행 보안 항목이다.
각 앱이 해당 항목을 얼마나 적용하고 있는지에 따라 A부터 F까지 총 5단계 등급으로 분류하고, 항목별로 완전 적용 시 1점, 부분 적용 시 0.5점을 부여해 점수를 계산했다. 그 결과는 예상보다 훨씬 심각했다.
A등급(9~11개 적용)은 0개, B등급(7~8개 적용)은 3개, C등급(4~6개 적용)은 16개, D등급(1~3개 적용)은 무려 37개로 전체의 절반 이상을 차지했으며, 가장 낮은 F등급(0~0.5개 적용)도 14개나 나왔다. 결과적으로 전체 70개 앱 중 95.7%가 'C등급 이하'로 분류됐으며, 이는 대부분의 앱이 실행 중에 발생할 수 있는 위협에 대비하는 기본적인 보호 기능조차 갖추지 못한 채 서비스되고 있다는 것을 의미한다. 이러한 결과는 단순한 기능 미적용을 넘어, 사용자 데이터 보호에 심각한 허점이 존재한다는 사실과 현행 앱 보안 정책과 심사 기준 자체가 실행 중 보안을 고려하지 않고 있다는 구조적 문제를 보여준다.
공공 앱 보안, 운영 평가…보안은 사각지대
이번 실태 분석과는 별개로 공공 앱의 보안 문제 역시 꾸준히 제기되고 있다. 2024년 행정안전부가 실시하는 '공공 앱 운영 성과평가'는 사용률, 이용자 만족도 등 사용자 중심 평가에 집중돼 있으며, 정작 중요한 보안 관련 항목은 심도 있게 다뤄지지 않고 있다.
'정상 운영'이라는 지표 뒤에는 보안의 공백이 숨어 있다는 점에서, 지금의 평가지표는 더 이상 현실을 반영하지 못한다. 이처럼 보안이 배제된 평가 기준은 이용자들을 무방비 상태로 방치하는 구조적 위험을 시사한다. 보안 사고가 언제든 발생할 수 있는 잠재적 리스크를 내포하고 있다는 것이다.
실제로 2022년 감사원에서 발표한 '공공 앱 구축·운영 실태' 보고서에 따르면, 당시 조사 대상 공공 앱의 83%에서 보안 취약점이 발견됐다. 이는 공공 서비스 분야의 앱 보안 강화가 시급한 과제임을 알 수 있다. 정부의 공공 앱 운영 평가에는 보안 평가 항목을 필수화하고, 평가 기준 또한 기능 중심에서 실행 보안 중심으로 개편해야 한다. 민간 개발사 역시 기능을 만든 뒤 보안을 덧붙이는 방식에서 벗어나 초기에 보안을 함께 설계하는 보안 중심 개발 전환이 절실하다.
앱 보안, 이제는 ‘탐지’가 아니라 ‘자가방어’로
오늘날 앱 보안은 더 이상 부가 기능이 아니다. 서비스 신뢰성과 품질을 좌우하는 핵심 요소다. 따라서 보안을 사용자 책임에만 전가하는 방식에서 벗어나, 이제는 앱 자체가 실행 중 위협을 감지하고 차단하는 '자가방어' 구조가 필수가 돼야 한다.
특히 공공, 금융, 인증 등 민감한 정보를 다루는 앱에서는 보안은 선택이 아닌 기본 요건이다. 이번 실태 분석에서도 확인됐듯, 대부분의 앱은 실행 중 보안 기능조차 제대로 적용돼 있지 않아 공격에 매우 취약한 상황이다.
실제 공격자들이 선호하는 방식 역시 매우 단순하다. 복잡한 해킹 기법보다 피싱이나 스미싱으로 악성 앱을 설치시키고, 변조된 앱을 통해 사용자 정보를 빼내는 방식이 훨씬 일반적이다. 이런 공격들은 고도화된 기술 없이도 충분히 가능한 만큼 기본적인 실행 보안만 갖춰도 상당수를 막을 수 있다.
이런 배경에서 프로몬은 RASP(Runtime Application Self-Protection) 기반 실행 보안 솔루션을 제안한다. 이 기술은 별도의 보안 앱 설치나 복잡한 설정 없이, 앱 자체가 실시간으로 위협을 탐지하고 차단하는 자가방어 체계를 제공한다. 단순한 '탐지'에서 벗어나 '즉시 대응' 가능한 능동적 보안 전략을 가능케 한다.
우리는 언제든 심각한 디지털 피해에 직면할 수 있다. 이번 유심 해킹 사태를 일시적 사고로 넘겨서는 안 된다. 이는 우리 사회 전체의 앱 보안 역량을 재정비해야 한다는 강력한 경고며, 실질적인 변화의 출발점이 돼야 한다. 앱 보안은 더 이상 사용자의 선택이 아니다. 서비스 제공자 책임이며, 공공 정책의 기본 골격이어야 한다.
국내에서는 프로몬의 공식 리셀러인 케이스마텍이 해당 솔루션의 도입과 적용을 지원하고 있으며, 솔루션에 대한 더 자세한 정보는 프로몬 공식 홈페이지를 통해 확인할 수 있다.
프로몬은 모바일 앱 보안 분야의 글로벌 선도 기업으로, '하나의 앱을 보호하는 일부터 세상을 조금 더 안전하게 만든다'는 비전 아래 다양한 산업 분야에 보안 솔루션을 제공한다. 전 세계적으로 20억명 이상의 사용자가 프로몬이 보호하는 앱을 사용하고 있으며, 본사는 노르웨이 오슬로에 위치해 있고, 15개국 이상에 지사를 두고 있다.
김현민 기자 minkim@etnews.com
