모바일 보안 파트 출제 특징
모바일 보안은 OWASP Mobile Top 10 기반의 취약점, 기업 모바일 관리(MDM/MAM/MCM), 안드로이드와 iOS의 보안 구조 차이를 중심으로 출제됩니다. 스마트폰 보급률이 높아지면서 출제 비중도 꾸준히 증가하는 추세입니다.
【기출 토픽 1】 OWASP Mobile Top 10 주요 취약점
기출 문제 예시: 모바일 앱에서 중요 데이터(비밀번호, 개인정보 등)를 암호화 없이 디바이스 로컬 저장소에 저장하는 취약점은?
- ① 안전하지 않은 데이터 저장 (Insecure Data Storage) ✅
- ② 불충분한 전송 계층 보호
- ③ 의도하지 않은 데이터 유출
- ④ 취약한 서버 사이드 제어
해설: 안전하지 않은 데이터 저장은 SharedPreferences, SQLite DB, 로그 파일 등에 평문으로 민감 정보를 저장할 때 발생합니다. 대응: 민감 데이터 암호화 저장, KeyStore/Keychain 활용, 불필요한 데이터 최소화.
【기출 토픽 2】 MDM·MAM·MCM 구분
기출 문제 예시: 기업 소유 앱과 데이터만 관리하고 개인 데이터는 관여하지 않아 BYOD 환경에 적합한 모바일 관리 방식은?
- ① MDM (Mobile Device Management)
- ② MAM (Mobile Application Management) ✅
- ③ MCM (Mobile Content Management)
- ④ EMM (Enterprise Mobility Management)
해설:
- MDM: 디바이스 전체 관리(원격 잠금·초기화 포함) → 개인 디바이스 프라이버시 침해 우려
- MAM: 기업 앱과 데이터만 관리 → BYOD 환경 적합
- MCM: 기업 문서·콘텐츠 관리
- EMM: MDM+MAM+MCM 통합 관리
【기출 토픽 3】 루팅·탈옥의 보안 위협
기출 문제 예시: 안드로이드 기기를 루팅(Rooting)했을 때 발생할 수 있는 보안 위협으로 적절하지 않은 것은?
- ① 시스템 파티션 수정 가능
- ② 앱 샌드박스 우회 가능
- ③ 악성 앱이 최고 권한(root) 획득 가능
- ④ 배터리 소모량 감소 ✅
해설: 루팅은 배터리와 무관합니다. 루팅/탈옥의 실제 위협은 앱 샌드박스 격리 무력화, 악성 앱의 시스템 권한 획득, 보안 패치 우회, 기업 보안 정책 무효화 등입니다. 금융·결제 앱은 루팅 탐지 후 실행을 거부하는 것이 일반적입니다.
【기출 토픽 4】 모바일 악성코드 유형
기출 문제 예시: 정상 앱으로 위장하여 사용자가 설치하도록 유도한 뒤 개인정보를 탈취하거나 문자 메시지를 가로채는 모바일 악성코드 유형은?
- ① 모바일 랜섬웨어
- ② 스파이웨어 ✅
- ③ 애드웨어
- ④ 모바일 봇넷
해설: 모바일 스파이웨어는 백그라운드에서 통화 기록, 문자, 위치 정보, 사진 등을 몰래 수집합니다. 스미싱(SMS 피싱)을 통해 악성 APK 설치를 유도하는 방식이 가장 흔합니다.
모바일 보안 최종 정리
OWASP Mobile Top 10의 주요 항목, MDM/MAM/MCM의 관리 범위 차이, 루팅/탈옥의 보안 위협, 모바일 악성코드 유형을 중심으로 학습하세요. 최근 시험에서는 모바일 결제 보안과 생체인증 관련 문제도 출제되고 있습니다.