정보보안기사 기출 핵심 ㊼ 모바일 보안과 OWASP Mobile Top 10 완전 정복

모바일 보안의 특수성

모바일 기기는 개인 데이터 집중, 분실·도난 위험, 다양한 앱 생태계로 인해 고유한 보안 위협을 가집니다. 정보보안기사 시험에서는 OWASP Mobile Top 10, MDM/MAM/EMM, 모바일 위협 방어(MTD), 앱 서명 메커니즘이 핵심 출제 범위입니다.

OWASP Mobile Top 10 2024

• M1 자격증명 사용 부적절(Improper Credential Usage): 앱 내 하드코딩된 자격증명, 안전하지 않은 전송
• M2 부적절한 공급망 보안: 서드파티 라이브러리, SDK 취약점
• M3 안전하지 않은 인증/인가: 취약한 토큰, 바이패스 가능한 인증
• M4 불충분한 I/O 유효성 검사: 입력값 검증 미흡으로 인한 인젝션
• M5 안전하지 않은 통신: 인증서 고정(Certificate Pinning) 미적용, 평문 전송
• M6 부적절한 프라이버시 제어: 과도한 권한 요청, 민감 데이터 수집
• M7 부족한 바이너리 보호: 난독화 미적용, 리버스 엔지니어링 취약
• M8 보안 설정 오류: 디버그 모드 활성화, 백업 허용
• M9 안전하지 않은 데이터 저장: 로컬 평문 저장, 캐시 민감 데이터
• M10 불충분한 암호화: 취약한 알고리즘, 잘못된 키 관리

MDM / MAM / EMM

• MDM(Mobile Device Management): 기기 수준 관리. 원격 초기화, 잠금, 암호화 정책 적용. BYOD 환경에서 프라이버시 우려
• MAM(Mobile Application Management): 앱 수준 관리. 업무 앱만 제어. 개인 앱 불간섭. BYOD 친화적
• EMM(Enterprise Mobility Management): MDM + MAM + MCM(컨텐츠) 통합. Microsoft Intune, VMware Workspace ONE

앱 서명과 코드 보호

• Android APK 서명: 개발자가 APK에 디지털 서명. Android 7.0+는 APK Signature Scheme v2/v3 지원
• iOS 코드 서명: Apple 개발자 인증서로 앱 서명. 기기는 설치 전 서명 검증
• 탈옥(Jailbreak)/루팅(Rooting): OS 보안 제한 우회. 무결성 검사 우회, 악성 앱 설치 위험
• 루트 감지(Root Detection): 앱이 기기 루팅/탈옥 여부를 탐지해 실행 차단

모바일 위협 방어(MTD)와 인증서 고정

MTD(Mobile Threat Defense): 모바일 기기에서 네트워크·앱·기기·피싱 위협을 실시간 탐지. Zimperium zIPS, Lookout, Symantec Endpoint Protection Mobile

인증서 고정(Certificate Pinning): 앱이 서버 공개키/인증서를 사전에 내장하여 중간자 공격 방지. 인증서 갱신 시 앱 업데이트 필요

정보보안기사 기출 핵심 정리

• OWASP Mobile Top 10: M1 자격증명 부적절, M5 안전하지 않은 통신, M9 안전하지 않은 저장
• MDM = 기기 전체 관리, MAM = 앱만 관리(BYOD 친화적)
• 탈옥/루팅 = OS 보안 제한 우회 = 높은 보안 위험
• 인증서 고정 = MITM 공격 방지, 키 하드코딩
• EMM = MDM + MAM + MCM 통합 솔루션