오늘날 금융 거래, 건강 관리, 공공 서비스 이용 등 대부분 일상생활이 스마트폰 앱을 통해 이루어진다. 사진, 연락처, 계좌 정보, 건강 기록, 사적인 대화까지 스마트폰 기기 속에 민감한 정보가 고스란히 담겨 있다. 이러한 정보가 악의적인 공격자에게 넘어간다면, 그 피해는 돌이킬 수 없을 만큼 크다. 더 큰 문제는 대부분 사용자가 정보가 탈취된 사실조차 모른 채 지나간다는 점이다. 이는 공격자가 더 오래, 더 깊이 침투할 수 있다는 뜻이다.
현재 시장에서 말하는 '보안 앱'은 대부분 백신이나 악성 앱 탐지 앱이다. 이들 앱은 시그니처 기반 탐지 방식을 사용해 과거에 발견된 악성코드나 패턴을 바탕으로 악성 앱을 탐지한다. 그러나 스마트폰 해킹 기법은 갈수록 교묘해지고 지능화되고 있다. 최근에는 AI 기술을 활용한 신종 및 변종 악성 앱이 등장하며 과거 시그니처 기반 탐지를 우회하고 있으며, 사용자 판단 실수와 시스템의 허점을 함께 노리는 '지능형 위협'이 늘고 있다.
난독화, 암호화, 동적 코드 로딩, 지연 실행 등 다양한 방법을 통해 기존 탐지 방식을 무력화하는 '스텔스형 공격'으로 기존 백신이나 탐지 보안 앱으로는 커버하기 어려운 국면에 접어들고 있다. 또 시스템에 이미 존재하는 정상적인 도구와 기능을 악용하는 'LotL(Living off the Land)' 공격도 현재의 정체된 보안 방식으로는 탐지하기 어렵다.
일상에서 흔히 볼 수 있는 대표 사회공학적 공격 수법은 스미싱(smishing)이다. 위장된 문자를 통해 사용자가 링크를 선택하게 만들어서 악성 앱 설치를 유도한 뒤 설치되면 앱이 정보를 수집하기 위해 접근성 권한, 알림 권한 등 거의 모든 권한을 요구한다. 이때 대부분 사용자는 사용자 스스로 무심코 이를 허용하게 된다. 문제는 여기서 시작된다. 악성 앱은 스마트폰을 통제할 수 있는 강력한 무기를 손에 쥐게 되는 것이다.
스마트폰 보안에서 반드시 짚고 넘어가야 할 권한이 있다. 바로 '접근성 서비스' 권한이다. 이 권한은 단지 편의 기능이 아니라 디지털 접근권 보장을 위한 제도적 장치다. 국내에서는 '정보통신망법' 및 '장애인차별금지법'에 따라 시각장애인 등 정보취약계층이 모바일 앱을 평등하게 사용할 수 있도록 모든 앱에 접근성 기능 구현이 의무화돼 있다. 접근성 권한을 부여받은 앱은 화면 텍스트를 음성으로 읽고, 화면 터치 없이 앱을 제어하며 전화 발신, 메시지 전송 등도 가능하다. 이는 운용체계와 상호작용 할 수 있는 매우 강력한 권한이며, 스마트폰 사용이 어려운 사용자에게 필수적인 기능이기도 하다.
그러나 이 권한은 양날의 검이다. 이 강력한 권한이 악성 앱의 손에 들어가는 순간, 상황은 완전히 달라진다. 접근성 권한은 본래 '보조 기능'이지만, 악성 앱에는 운용체계를 장악할 수 있는 공격 도구가 된다. 이 권한을 통해 타 앱 화면을 조작하거나, 가짜 입력창을 띄우거나, 사용자 터치 없이 자동으로 송금 버튼을 누르는 등의 행위가 가능해지며 실시간으로 정보를 탈취할 수 있다. 결국 사용자는 아무것도 모른 채 중요한 정보들을 넘겨주는 상황에 처한다
대부분 사용자는 이 권한의 위험성을 인식하지 못한다. '접근성'이라는 용어 자체가 생소하고, 앱이 “정상 동작을 위해 권한이 필요합니다”라고 메시지를 띄우면 대부분은 큰 의심 없이 허용해 버린다. 악성 앱은 바로 이 틈을 노린다. 접근성 권한을 정상 요청처럼 위장해 정당하게 탈취한 뒤 스마트폰을 장악한다. 실제로 많은 스미싱 악성 앱의 핵심 목적은 바로 이 접근성 권한을 획득하는 것에 집중돼 있다.
더 심각한 점은 한 번 접근성 권한이 부여되면 보안 앱조차 해당 앱을 '정상 앱'으로 인식하게 된다는 것이다. 운용체계는 사용자가 직접 허용한 권한에 대해서는 제한을 두지 않기 때문이다. 기존 백신이나 보안 앱은 그 이후 발생하는 악성 행위에 대해 실시간으로 탐지하거나 차단하는 데 한계가 있다. 즉, 권한이 부여되는 그 순간이 보안의 가장 큰 허점이 된다.
그렇다면 해결책은 무엇일까. 접근성 권한은 법적으로 보호받는 필수 기능이며, 사용자에게 꼭 필요한 기능이므로 차단할 수는 없다.
따라서 '누가 이 권한을 쓰는가?'와 '어떻게 쓰는가?'를 감시하는 것이 중요하다. 즉, 권한 자체를 제한하기보다 권한을 악용하려는 행위 자체를 실시간으로 감지하고 차단하는 고도화된 보안 솔루션이 필수다. 이런 맥락에서 주목받고 있는 기술이 바로 RASP(Runtime Application Self-Protection)이다. RASP는 앱이 실행되는 도중에 스스로 위협을 감지하고 차단하는 기술이다.
접근성 권한 오남용, 화면 위조, 앱 위변조, 후킹, 루팅 등 다양한 공격을 실시간으로 감지하고 필요시 앱 동작을 차단하거나 종료함으로써 기기 상태와 무관하게 보안을 유지한다.
이처럼 접근성 권한은 정보취약계층을 위한 필수 기능이지만, 동시에 악성 앱에는 운용체계를 장악할 수 있는 강력한 공격 도구가 된다. 신종·변종 악성 앱은 시그니처 기반 탐지를 우회하고, 사용자 실수까지 노리는 지능형 수법으로 진화하고 있다. 이제 단순한 백신만으로는 방어할 수 없는 시대다. 해결책은 명확하다. 앱이 스스로 보호할 수 있도록 실행 중 보안(RASP)을 내장하는 것이다.
이러한 실행 기반 보안은 단순 탐지를 넘어, 접근성 오남용 차단, 화면 위변조 감지, 후킹·루팅 탐지, 민감 정보 실시간 보호 등 기능을 통해 공격 시도 자체를 원천적으로 차단한다.
이러한 RASP 기술을 상용화한 대표 솔루션으로는 앱 보안 전문 기업 프로몬(Promon)의 프로몬 쉘드(Promon Shield)가 있으며, 해외 금융, 게임, 의료 등 다양한 산업 분야 서비스에 폭넓게 적용되고 있다. 케이스마텍은 프로몬 공식 리셀러로서, 해당 솔루션의 국내 도입 및 적용을 지원하고 있다.
이제는 국내에서도 프로몬과 같은 실행 기반 보안 기술이 적용된 앱이, 단순한 '탐지' 수준을 넘어 능동적으로 스스로 보호하는 보안 패러다임 전환을 이끌 시점이다. 특히 공공, 금융, 인증 플랫폼 등 민감 정보와 신뢰 기반이 중요한 분야에서는 이러한 실행 중 보안이 선택이 아닌 필수가 돼야 한다.
프로몬은 모바일 앱 보안 분야 글로벌 선도 기업으로, '하나의 앱을 보호하는 일부터 세상을 조금 더 안전하게 만든다'는 비전 아래 다양한 산업 분야에 보안 솔루션을 제공한다. 전 세계적으로 20억명 이상의 사용자가 프로몬 보호 앱을 사용하고 있으며, 본사는 노르웨이 오슬로에 위치해 있고, 15개국 이상에 지사를 두고 있다.
김현민 기자 [email protected]
