기술의 발전과 모바일 기기의 대중화로 인해 모바일 애플리케이션은 사람들의 일상생활에 중요한 부분이 되었습니다. 그러나 모바일 애플리케이션 개발의 문제는 점차 소프트웨어 공급망 보안에 심각한 위협이 되고 있습니다. Symantec의 연구 보고서에 따르면, 공개적으로 사용 가능한 무려 1,859개의 Android 및 iOS 애플리케이션에 하드 코딩된 AWS 자격 증명이 포함되어 있습니다. 이러한 안전하지 않은 개발 관행은 공급망 취약성을 위한 수단을 제공합니다.
이러한 애플리케이션 중 약 77%(1,431개)에는 유효한 AWS 액세스 토큰이 포함되어 있어 위협 행위자가 프라이빗 AWS 클라우드 서비스에 액세스할 수 있었습니다. 또한 이러한 앱 중 거의 절반(873개)은 수백만 개의 파일과 데이터 레코드가 포함된 Amazon S3에 저장된 개인 데이터베이스에 대한 액세스를 제공합니다. 이 시나리오는 위협 행위자가 데이터를 훔치는 데 특히 적합하며, 이는 사용자의 개인 정보 보호와 전체 모바일 소프트웨어 공급망의 보안 아키텍처에 심각한 영향을 미칩니다. 이러한 데이터베이스는 통신, 앱 로그, 개인 고객/사용자 데이터 등을 포함하되 이에 국한되지 않는 민감한 데이터를 저장하기 위해 모바일 앱 개발자가 자주 사용합니다.
또한 시만텍의 조사에서는 각 은행 및 금융 애플리케이션에 대한 개인 인증 데이터와 키가 포함된 사례를 포함하여 여러 사례가 밝혀졌습니다. SDK를 통해 이름, 생년월일 등 개인정보와 디지털 생체지문 30만 개가 모바일 뱅킹 앱 5개로 유출됐다. 또 다른 사례는 AWS 클라우드 서비스의 전체 인프라와 권한을 노출시켜 게임 운영, 비즈니스 데이터 및 고객 데이터를 위험에 빠뜨린 16개의 온라인 도박 애플리케이션과 관련이 있습니다. 또 다른 경우에는 한 회사의 기술 스택이 15,000개 이상의 중견 기업과 고객의 기업 데이터, 재무 기록, 개인 직원 데이터를 인트라넷에 실수로 노출시켰습니다.
이러한 사례에는 한 가지 공통점이 있습니다. 각 회사는 손상된 소프트웨어 개발 키트(SDK), 라이브러리 또는 기타 기술 스택을 사용했습니다. 예를 들어, 16개의 온라인 도박 애플리케이션은 손상된 라이브러리를 사용하거나 디지털 및 온라인 운영을 B2B 회사에 아웃소싱했습니다. 마찬가지로, 데이터를 노출한 모든 뱅킹 애플리케이션은 클라우드 자격 증명이 내장된 손상된 타사 AI 디지털 ID SDK를 사용했습니다.
오라클이 사용자 데이터를 수집, 분석, 판매하는 회사이기 때문에 5억 명의 사용자가 포함된 집단소송에 직면해 있다는 점은 주목할 만하다. 시만텍의 보고서에 따르면 이러한 위험은 외부 소프트웨어 라이브러리 및 SDK를 사용하거나 기술 운영을 아웃소싱하는 업스트림 모바일 애플리케이션 개발자로부터 직접 발생하며, 이는 필요한 검토 없이 사용자/고객 데이터를 공유해야 하므로 다운스트림 애플리케이션 및 데이터 안전에 심각한 피해를 줍니다.
소프트웨어 공급망이 점점 더 표적화됨에 따라 그 파괴력은 광범위한 혼란을 일으킬 가능성이 있습니다. 민간 및 미국 정부 그룹이 널리 사용하는 플랫폼인 SolarWinds Orion에 대한 소프트웨어 공급망 공격을 되돌아보는 것이 하나의 예입니다.짜다. 한 예로 Orion을 사용하여 SolarWinds 고객을 표적으로 삼은 2024년 12월 사이버 스파이 캠페인이 있습니다. 그러나 시만텍의 증거에 따르면 모바일 소프트웨어 공급망을 공격하여 모바일 애플리케이션에서 제공하는 데이터를 침해하는 것은 어렵지 않은 것으로 보입니다.
모바일 개발자가 하드코딩된 키를 사용하는 이유는 무엇입니까? Symantec과 Watkins는 다음과 같은 이유로 애플리케이션이 리소스(대형 미디어 파일, 녹음, 이미지)를 다운로드 또는 업로드해야 하고, 장치를 등록하고, 장치 정보를 수집하여 클라우드에 저장해야 하며, 테스트 목적이거나 절대로 사용하지 않을 수 있는 코드를 언급했습니다. 삭제 등등..
Symantec의 심층 연구 보고서에 따르면 AWS 자격 증명이 하드 코딩되어 공급망 위험에 취약한 애플리케이션 중 최대 98%가 iOS 애플리케이션인 것으로 나타났습니다. 회사는 영향을 받은 모든 당사자에게 이를 통보했습니다.
전반적으로 이 문서에서는 모바일 애플리케이션 개발 및 소프트웨어 공급망과 관련된 위험을 심층적으로 살펴보고 시만텍 연구 보고서를 예시로 제공합니다. 기술의 발전과 모바일 기기의 대중화로 인해 이러한 문제의 중요성이 점점 더 분명해지고 있습니다. 우리의 데이터와 개인정보를 보호하기 위해 소프트웨어 공급망을 확보하는 데 더 많은 관심과 노력이 필요합니다.
카테고리 없음