최신 모바일 앱 사용자에게 데이터 보안의 중요성

게시 됨: 2022-11-23
최신 모바일 앱 사용자에게 데이터 보안의 중요성

자체 모바일 앱을 개발하는 점점 더 많은 회사가 모바일 앱 보안을 보장하기 위해 추가 조치를 취하고 있습니다. 그럴 만한 이유가 있습니다.

ITRC(Identity Theft Resource Center)의 2021년 연례 보고서에 따르면 2021년에는 데이터 손상 건수가 1,862건으로 사상 최고치를 기록했습니다. 이 기사를 작성할 당시인 2022년 3분기에 센터는 지금까지 1,291건의 데이터 손상을 보고했습니다. 이는 미국에서만 공개적으로 공개된 침해에 대한 데이터입니다.

2022년 IBM 데이터에 따르면 평균적으로 데이터 유출로 인해 회사는 약 435만 달러(전 세계 평균)의 비용이 발생할 수 있습니다. 여기에 유출 정보가 공개되면 평판에 엄청난 타격이 가해집니다. 이와 같이 볼 때 데이터 보안이 중요하다는 것은 모든 기업가에게 실망합니다.

이 기사에서는 견고한 데이터 보안 관행을 모바일 앱에 구현하는 것의 중요성과 이를 올바르게 수행하는 방법에 대해 설명합니다. 당사는 중동 지역용 메신저 앱과 같은 보안 중심 제품 개발 경험을 활용합니다.

현대적 의미의 데이터 보호란?

빠르게 디지털화되는 세상은 데이터 보안에 열광하고 있으며(당연히 그렇습니다) 오늘날 우리는 독점 정보를 보호할 목적으로만 시행되는 수많은 국내 및 국제 법률을 보유하고 있습니다. 그들 모두는 거의 동일한 원칙에 따라 구축되었습니다. 이러한 종류의 가장 잘 알려진 국제법은 아마도 일반 데이터 보호 규정(GDPR)일 것입니다.

GDPR은 개인 정보 처리에 대한 다음 7가지 원칙을 기반으로 합니다.

GDPR은 개인정보 처리에 대한 다음 7가지 원칙을 기반으로 합니다.

  • 합법성, 공정성 및 투명성
  • 목적 제한
  • 데이터 최소화
  • 정확성
  • 스토리지 제한
  • 무결성 및 기밀성(보안)
  • 책임

GDPR 5조 전체를 인용하지 않고 이러한 원칙을 요약하면 데이터 보안 조치를 구현한다는 것은 모든 데이터가 다음과 같아야 함을 의미합니다.

  • 필요한 최소한의 금액으로 수집 및 처리
  • 필요한 기간만 저장 후 삭제
  • 지정된 목적으로만 사용하고,
  • 데이터 소유자 이외의 당사자에 의한 데이터 도용 또는 조정으로부터 보호

데이터 수집자는 또한 데이터 수집 및 처리에 대해 사용자에게 알려야 합니다. 데이터 수집자와 처리자는 이러한 원칙을 준수할 책임이 있습니다.

일반적으로 어떤 모바일 앱 사용자의 데이터를 보호해야 합니까?

우리는 모두 브라우저에서 쿠키에 대한 메시지를 보았지만 모바일 앱에는 그런 것이 없습니다. 동시에 모바일 앱은 예를 들어 웹 사이트 사용자가 로그인하지 않는 것보다 훨씬 더 민감한 정보를 수집, 저장 및 처리할 수 있습니다. 이러한 데이터를 사용하면 손상될 경우 실질적인 피해를 입을 가능성이 있습니다.

그렇다면 모바일 앱 소유자는 어떤 종류의 사용자 데이터를 보호해야 할까요? 민감한 데이터의 비독점적 목록은 다음과 같습니다.

민감한 데이터의 비독점적 목록은 다음과 같습니다.

  • 개인 식별 정보 . 여기에는 신분증/운전면허증 정보, 실제 주소 및 전화번호가 포함됩니다. 이러한 정보는 판매자가 패키지를 보내려면 이 정보가 필요하기 때문에 전자 상거래 앱에서 자주 사용됩니다. 일부 배달 앱은 앱에 도어록 키 코드를 저장하여 아파트 건물을 강도에게 열어줄 수 있습니다.
  • 개인 건강 정보 및 의료 기록 . 원격의료 앱과 일부 건강 및 의약품 섭취 추적기(예: 만성 질환자 대상)는 때때로 EHR 시스템과 동기화되어 사용자의 데이터를 의사에게 전달할 수 있습니다. 다른 경우에는 앱이 데이터를 전송하지 않고 저장만 할 수 있습니다. 사용자는 재량에 따라 나중에 의사에게 보여줄 수 있습니다.
  • 결제 카드 및 은행 정보 . 요즘 대부분의 앱은 결제 처리를 위해 G Pay와 Apple Pay를 사용하지만, 특히 사용자가 시스템 지갑을 카드에 연결하지 않는 것을 선호하는 경우 일부 앱에서 신용 카드 정보를 앱에 저장하는 것은 여전히 ​​드문 일이 아닙니다. 이 경우 앱 소유자는 해당 데이터를 보호하기 위해 많은 노력을 기울여야 합니다.
  • 주민등록번호, 보험정보 . 보험가게 이용자의 주민등록번호 및 보험정보를 취급하는 앱입니다. 이러한 정보는 개인 식별 정보와 함께 민감한 정보로 간주됩니다.

이 모든 정보는 모바일 앱의 사용자 프로필에 저장되어 구매, 건강 유지, 개인 활동 관리 등 앱의 용도로 사용될 수 있습니다. 그리고 그러한 데이터가 앱의 서버에서 도난당하면 신원 도용, 사기, 피싱 공격, 강도 및 기타 범죄에 사용될 수 있습니다.

따라서 하나 또는 여러 종류의 이러한 민감한 정보를 처리해야 하는 앱을 개발하는 경우 충분한 앱 고객 데이터 보호를 제공하는 것은 앱 소유자의 의무입니다.

나중에 전환할 모바일 앱의 데이터 보안을 보장하는 여러 가지 방법이 있습니다. 먼저, 최근 발생한 데이터 유출 사례에 대해 말씀드리고자 합니다.

최신 인기 사용자 모바일 앱 데이터 유출 사례

최신 인기 사용자 모바일 앱 데이터 유출 사례

이 기사의 시작 부분에서 언급했듯이 2021년은 데이터 유출 건수가 사상 최고를 기록한 해였습니다. 그 중 다수는 모바일 앱과 관련이 있습니다. 다음은 그 중 일부입니다.

Android 사용자 데이터 유출

이 위반은 하나의 특정 앱이 아닙니다. 대신 수많은 앱이 포함되었습니다. 최소 23개의 앱이 영향을 받았지만 더 많았을 수도 있습니다. 그러나 실제로 영향을 받는 앱의 수는 그다지 중요하지 않습니다.

중요한 것은 원인입니다. 많은 앱 개발자가 타사 클라우드 서비스 구성에 충분한 주의를 기울이지 않아 1억 명이 넘는 Android 사용자의 개인 데이터가 노출되었습니다. 노출된 데이터에는 이름과 주소, 의료 정보, 사진, 결제 정보, 전화번호와 같은 개인 식별 정보가 포함되었습니다.

클럽하우스

2021년 2월 여러 매체에서 중국 개발자가 웹 및 Android 사용자가 iOS 전용 Clubhouse 앱에 액세스할 수 있는 오픈 소스 앱을 만든 사례를 보고했습니다. 사람들은 iPhone이나 초대 코드 없이도 클럽하우스 스트림을 들을 수 있었는데, 이는 클럽하우스에 관한 또 다른 논쟁점이었습니다.

처음에는 이 위반이 악의적인 것으로 보이지 않았지만 Clubhouse의 보안 허점을 노출하고 누구나 비공개 토론에 액세스할 수 있도록 허용했습니다.

클라나 결제 앱

스웨덴 모바일 뱅킹 앱 Klarna는 2021년 5월 데이터 유출을 겪었지만 신속하게 처리되었으며 심각한 피해를 입히지 못한 것으로 알려졌습니다. 침해의 본질은 자신의 계정에 로그인한 사용자가 다른 임의의 사용자 계정에 잠시 로그인하여 계정 정보를 볼 수 있다는 것입니다.

페이스북

Facebook은 주요 데이터 유출 스캔들로 유명합니다. 2016년 Cambridge Analytica 스캔들, 2019년 데이터 유출, 그리고 2019년에 수정될 예정이었던 동일한 취약점을 악용한 것으로 알려진 최근 2021년 유출. 그 결과는? 전 세계 5억 3300만 사용자의 데이터가 유출되었습니다.

Portpass COVID 인증 앱

사용자가 캐나다에서 자신의 예방 접종 상태를 증명할 수 있도록 하는 것을 목표로 하는 사설 앱이 보호되지 않은 웹사이트에 노출된 사용자의 개인 식별 정보를 가지고 있었습니다. 데이터에는 운전면허증과 여권 사진, 이름, 주소, 전화번호, 심지어 혈액형까지 포함됐다.

데이터 보안 제어의 핵심 유형

데이터 보안 제어의 핵심 유형

액세스 제어

액세스 제어 또는 액세스 관리 는 데이터 보안의 구성 요소 중에서 가장 간단합니다 . 이름에서 알 수 있듯이 데이터가 저장되는 공간에 대한 액세스를 가능한 한 적은 사람으로 제한한다는 의미입니다. 직무를 수행하기 위해 이러한 액세스 권한이 필요한 직원만이 데이터를 얻을 수 있는 권한을 가질 수 있으며 이러한 직원은 신중하게 선택해야 합니다.

입증

모바일 앱에 대한 적절한 인증은 사용자 측의 유출 및 위반에 대한 보호를 설정하는 데 도움이 됩니다. 앱이 민감한 데이터(금융, 건강 관련 또는 개인 식별 가능)를 다루는 경우 앱에 로그인하는 프로세스에 안전 장치가 마련되어 있어야 합니다. 예를 들어 얼굴 인식, 지문 스캔, 이메일에 대한 단기 코드를 통한 2단계 인증 등이 있습니다.

데이터 삭제

중요한 사용자 정보를 서비스를 제공하는 데 필요한 기간 동안만 서버에 저장하는 것은 GDPR 원칙 중 하나입니다. 이 정보의 필요성이 줄어들면 데이터가 삭제됩니다. 결국 데이터가 없으면 서버에서 데이터가 해킹되거나 유출될 수 없습니다.

데이터 암호화

모바일 앱에서 사용자 데이터를 보호하는 가장 확실한 방법 중 하나는 종단 간 암호화 를 사용하는 것입니다. 이렇게 하면 암호 해독 키가 없으면 데이터가 의미가 없기 때문에 우발적인 데이터 유출이 거의 불가능해집니다. 이러한 데이터를 해킹하는 것도 훨씬 더 어려울 것입니다. 특히 암호 해독 키가 서버가 아니라 사용자 장치에 보관되고 각 사용자에게 고유한 경우 더욱 그렇습니다.

데이터 마스킹

데이터를 암호화하는 방법 중 하나는 데이터를 마스킹하는 것입니다. 데이터 마스킹은 프록시 문자로 문자와 숫자를 숨기는 프로세스입니다. 완벽한 솔루션은 아니지만 우발적이거나 악의적이지 않은 일부 위반에 대해 작동합니다.

데이터 복원력

암호화, 마스킹 및 삭제가 유출 및 해킹으로부터 보호하기 위한 것이라면 데이터 복원력은 데이터 손실에 대한 보호 입니다. 귀하 또는 귀하의 사용자가 지속적으로 필요로 하는 데이터가 있는 경우 해당 데이터의 백업이 있어야 합니다. 이렇게 하면 주 서버에 문제가 발생한 경우 백업에서 데이터를 복원할 수 있습니다.

Mind Studios는 2021년 3월에 우리가 사용한 OVH 서버에 화재가 발생하여 일부 데이터가 손상되었을 때 이 관행을 유지함으로써 구원을 받았습니다. 그러나 백업이 있었기 때문에 모든 것이 잘되었습니다.

사고 대응 계획

위반 또는 유출이 발생하는 경우 회사는 사전에 조치 계획을 세워야 합니다. 규제 기관마다 그러한 계획에 포함해야 하는 사항에 대한 자체 요구 사항이 있습니다.

일반적으로 유출을 발견한 후 가장 먼저 해야 할 일은 영향을 받는 사용자에게 데이터가 손상될 수 있음을 알리는 것 입니다. 특히 유출된 데이터가 신원 도용이나 사기와 같은 악의적인 목적으로 사용될 수 있는 경우에는 더욱 그렇습니다.

모바일 앱 데이터 보안 과제

개인 정보 보호 및 데이터 보안은 빅 데이터의 성장 과 함께 유지하기가 점점 더 어려워지고 있습니다. 사람들은 메신저, 소셜 네트워크, 뱅킹 앱, 전자 상거래 및 의료 플랫폼 등 온라인에서 점점 더 많은 삶을 공유하고 있습니다.

또한 앱 소유자는 서비스를 개선하고 대상 광고를 제공하는 데 사용되는 인앱 행동 및 활동 로그와 같은 사용자에 대한 기타 데이터를 보관합니다. 이러한 데이터의 양은 안전하고 체계적으로 유지하는 데 어려움이 있습니다. 이로 인해 프로세스의 작은 오류로 인해 누출이 발생할 수 있다는 것은 그리 놀라운 일이 아닙니다.

또 다른 약점은 앱이 수집하는 데이터 중 일부가 타사 리소스에 저장될 수 있다는 것입니다. 이러한 리소스는 앱 소유자 조직의 일부가 아니므로 리소스의 보안은 앱 소유자가 제어할 수 없습니다.

그렇다면 앱과 사용자의 안전을 위해 무엇을 할 수 있습니까?

모바일 앱 데이터 보안을 강화하는 방법

모바일 앱 데이터 보안을 강화하는 방법

위의 예에서 알 수 있듯이 모든 데이터 유출이 해커의 작업이거나 악의적인 의도로 인해 발생하는 것은 아닙니다. 실제로 데이터 유출의 압도적 다수(약 95%)는 사람의 실수로 인해 발생합니다.

이는 일부 과장된 조치에 반드시 수십억 달러를 투자할 필요가 없음을 의미합니다. 당신에게 필요한 것은 확고한 관행과 책임감 있고 신뢰할 수 있는 데이터 안전 전문가에 의해 구축된 모바일 앱 데이터 보안 전략 입니다.

모바일 앱 사용자 데이터의 안전을 보장하기 위해 어떤 조치를 취할 수 있습니까?

앱 보안을 위해 SSL/TLS 인증서 사용

SSL/TLS(Secure Sockets Layer/Transport Layer Security) 인증서는 앱의 서버와 사용자 기기 간에 데이터를 안전하게 통신하는 데 필수적입니다. SSL 인증서는 해독이 거의 불가능하도록 데이터를 스크램블링하여 작동합니다.

SSL 고정

SSL/TLS 인증서는 앱에서 사용자 데이터를 보호하는 가장 신뢰할 수 있는 방법 중 하나이지만 때때로 MITM(중간자) 공격에 취약할 수 있습니다. 귀하의 모바일 앱이 범죄자들이 많이 찾는 정보(예: 뱅킹 앱)를 다루는 경우 SSL 피닝을 사용하는 것이 좋습니다.

SSL 고정은 앱에서 알 수 없는 서버의 문서를 차단하고 MITM에서 발급한 가짜 인증서 설치를 방지할 수 있는 기술입니다. 이는 개발 중에 앱에 SSL 인증서 호스트를 고정하여 수행됩니다. 고정된 호스트의 인증서만 신뢰할 수 있는 인증서로 간주됩니다.

앱의 취약점을 정기적으로 테스트하세요.

취약점을 테스트하고 제거하는 방법이 있습니다. 여기서 중요한 것은 다음과 같은 이유로 정기적으로 수행하는 것입니다.

  • 해킹 방법은 매우 빠르게 발전합니다.
  • 사람의 실수로 인한 취약점이 있는 경우 개발자가 한 번 확인하면 놓칠 수 있지만 여러 전문가의 반복 테스트를 통해 찾을 수 있습니다.

침투 테스트

침투 테스트는 개발자 또는 QA 전문가가 앱의 취약성에 대해 시뮬레이션된 사이버 공격 을 수행하여 코드에서 가능한 모든 취약한 링크를 찾는 것을 목표로 합니다. 이러한 종류의 테스트는 서버/백엔드, 프런트 엔드, API 등에 대해 수행할 수 있습니다. 취약점을 찾는 것은 취약점을 제거하는 것과 관련이 있습니다.

타사 라이브러리를 사용하는 동안 주의하십시오.

위에서 언급한 대규모 Android 데이터 유출은 타사 클라우드 서비스의 잘못된 구성으로 인해 발생했습니다. 때로는 개발자가 특히 유명한 라이브러리 공급자를 신뢰하고 잘못된 구성이나 코드 오류를 간과할 수 있습니다.

타사 라이브러리를 사용할 때는 처음부터 코드를 작성하는 것과 같지 않고 오류를 놓치기 쉽기 때문에 모든 것을 적극적으로 확인하는 것이 필수적입니다.

마인드 스튜디오가 도울 수 있는 방법

마인드 스튜디오가 도울 수 있는 방법

우크라이나 소프트웨어 엔지니어는 2016년 HackerRank 프로그래밍 올림픽 기간 동안 보안 문제에서 1위, 전체에서 11위를 차지했습니다. 그 이후로 우크라이나 소프트웨어 개발 회사는 계속해서 발전하고 그들 자신과 그들의 전문가를 교육했습니다.

2021년 Coursera Global Skills Report는 우크라이나를 기술 부문에서 8위로 선정했습니다. Pentalog의 2022 Skill Value 보고서에서 우크라이나 개발자가 전 세계적으로 4위에 올랐습니다.

Mind Studios는 기술 개발에 대한 우리나라의 초점에 자부심을 갖고 있으며 우리가 수행하는 프로젝트 의 우선 순위 목록에 데이터 보안을 높게 둡니다 . 우리는 개인 정보를 다루는 여러 제품에 대해 작업했으며 사용자 데이터를 보호하기 위해 최상위 보안을 구현했습니다.

데이터 안전에 대한 수요가 높은 최신 프로젝트 중에는 덴마크의 음식 배달 서비스와 중동의 안전한 메신저 앱이 있습니다. 자세한 내용은 사례 연구를 확인하십시오.

마지막 생각들

세계가 디지털 공간으로 이동함에 따라 데이터 보호 조치의 필요성이 증가하고 데이터 보안 법률은 더욱 엄격해질 것입니다. 수많은 데이터 유출 스캔들로 인해 Facebook에 대한 사람들의 신뢰가 무너지고 있습니다. 크고 작은 회사와 관련된 유사한 스캔들이 더 이상 은폐되지 않고 크고 분명하게 들립니다.

신생 기업 소유주이든 기존 모바일 앱을 사용하는 노련한 사업가이든 관계없이 최신 데이터 보호 기술을 따라잡는 것이 중요합니다. 제품의 안전을 검토하고 이에 따라 데이터 보호 조치를 업데이트하는 것이 최우선 순위가 되고 있습니다.

Mind Studios는 모바일 앱 보안에 능숙하며 이 장소에서 우리에게 오는 모든 문제를 처리할 수 있습니다. 주제에 대해 질문이 있는 경우 양식을 작성하면 담당자가 45분 무료 상담을 제공할 수 있습니다.

1