스마트폰과 모바일 앱은 우리의 일상과 업무를 지탱하는 필수 도구이지만, 그만큼 보안 위협이 집중되는 영역이기도 합니다. OWASP가 2024년 최종본으로 공개한 Mobile Top 10에서 ‘M5: Insecure Communication’을 별도 리스크로 규정하며, 전송 구간 보안 실패가 계정 탈취와 세션 하이재킹으로 이어질 수 있음을 분명히 했습니다. 단순히 HTTPS를 쓴다는 안전을 보장하지 않는다는 점이 업계의 합의로 자리잡고 있습니다.
국내에서도 공공 Wi-Fi와 같은 생활 네트워크가 지속적으로 위험 요인으로 지목되고 있습니다. 한국인터넷진흥원(KISA)은 2025년 공항·지하철 등 공공장소의 개방형 Wi-Fi/USB 사용 시 개인정보 유출 위험에 대해 공식 주의를 권고했고, 국내 보안 매체 역시 2024년 Wi-Fi 표준 설계 결함을 통해 사용자를 덜 안전한 망으로 유도하여 트래픽 가로채기가 가능하다고 보도했습니다. 즉 MiTM 위협은 현재 진행형입니다.
중간자(Man-in-the-Middle Attacks, MiTM) 공격이란?
중간자 공격은 공격자가 사용자와 서버 사이에 끼어들어 데이터를 몰래 엿보거나 조작하는 방식입니다. 사용자가 로그인 정보를 입력하거나 결제 요청을 보낼 때 공격자가 세션을 탈취하면, 계정 장악이나 불법 거래로 이어질 수 있습니다.
이러한 공격은 단순한 도청을 넘어 지능형 지속 공격(APT)의 일부로 활용되기도 하며, 금융 정보, 개인정보, 위치, 메시지 등 모바일 앱이 다루는 거의 모든 민감 데이터를 노릴 수 있습니다. 특히 공격자는 합법적인 통신 세션으로 위장하기 때문에 사용자가 눈치채기 어렵고, 네트워크 지연이나 접속 오류와 같은 미묘한 징후만 남기는 경우가 많습니다. 최근에는 공용 와이파이뿐 아니라 기업 내부망, 심지어 VPN 환경까지도 우회하는 방식이 보고되고 있어, 개인 사용자뿐 아니라 기업 전체가 노출될 수 있는 범용적 위협으로 평가됩니다.
최신 중간자 공격 유형
과거에는 무료 Wi-Fi 같은 공용 네트워크에서의 단순 도청이 많았다면, 지금은 모바일 앱 환경을 정밀하게 겨냥한 다양한 변종 공격이 등장하고 있습니다.
1. 세션 탈취
사용자가 은행 앱이나 게임 계정에 로그인하면 서버와 클라이언트 간 세션 쿠키가 생성됩니다. 공격자는 크로스사이트 스크립팅(XSS)이나 세션 하이재킹 기법을 통해 이 쿠키를 빼돌린 뒤, 합법적인 사용자로 위장해 동일 권한으로 접근합니다. 이렇게 되면 공격자는 계좌 이체, 아이템 탈취, 개인정보 열람 등 원래 사용자만 가능한 행동을 마음대로 수행할 수 있습니다.
2. 악성 Wi-Fi 및 불량 액세스 포인트
카페, 공항, 지하철 등에서 흔히 보이는 무료 와이파이와 비슷한 이름의 가짜 네트워크를 만들어두고, 이용자가 무심코 접속하면 공격자가 그 사이에서 모든 트래픽을 가로챕니다. 사용자가 금융 결제를 하거나 로그인하는 순간 입력되는 데이터가 그대로 노출될 수 있으며, 심한 경우 악성 파일이 단말기로 주입되기도 합니다.
3. DNS 스푸핑 / mDNS 스푸핑
DNS 요청을 변조해 사용자가 접속하려는 정상 사이트 대신 공격자가 만든 가짜 사이트로 보내는 방식입니다. 예를 들어 mybank.com에 접속한다고 생각했지만 실제로는 공격자가 조작한 가짜 페이지에 접속하게 되고 그곳에 입력된 계정, 비밀번호는 바로 공격자에게 전달됩니다.
4. HTTPS 스푸핑
외형상 HTTPS 보안 연결처럼 보이지만, 실제로는 비슷한 도메인(예: rn вместо m)이나 특수문자를 활용해 가짜 인증서를 적용한 피싱 사이트로 유도합니다. 사용자는 자물쇠 아이콘만 확인하고 안심하지만, 실상은 안전하지 않은 연결에 로그인 정보를 입력하게 되는 셈입니다.
5. 모바일 앱 인증서 검증 오류
앱이 SSL/TLS 인증서를 올바르게 검증하지 않으면, 공격자가 중간에 위조 인증서를 삽입해 통신 내용을 가로챌 수 있습니다. 특히 인증서 핀닝을 구현했더라도 우회 탐지를 막지 않으면, 루팅/탈옥 환경에서 손쉽게 우회당해 내부 데이터와 API 호출이 노출될 수 있습니다.
6. 서드파티 SDK 악용
광고, 결제, 분석 등을 위해 포함된 외부 SDK가 최신 보안 패치를 받지 못하거나 보안 설정이 허술하면, 공격자가 SDK를 통해 간접적으로 트래픽에 접근할 수 있습니다. 실제로 일부 SDK는 평문으로 데이터를 전송하거나 자체적으로 인증을 무시하는 경우가 보고되었으며, 앱 개발사 의도와 관계없이 MiTM 공격에 취약점을 제공하는 통로가 될 수 있습니다.
산업별 중간자 공격 패턴
1. 금융 앱
- 세션 탈취: 은행 앱 로그인 중 세션 쿠키가 가로채지면, 공격자는 정상 사용자로 위장해 계좌 이체를 수행할 수 있습니다. 피해자는 거래 내역만 확인하게 되므로 사후 탐지가 어렵습니다.
- DNS 스푸핑: 이용자가 은행 사이트에 접속한다고 믿지만, 실제로는 공격자가 조작한 가짜 사이트로 연결되어 OTP·계좌 정보가 탈취됩니다.
2. 게임 앱
- 악성 Wi-Fi 및 불량 액세스 포인트: 무료 와이파이에 접속한 게이머의 로그인 정보가 탈취되고, 이는 계정 장악과 아이템 탈취로 이어집니다.
- HTTPS 스푸핑: 무료 아이템 지급과 같은 이벤트를 내세운 피싱 사이트를 통해 계정 정보가 노출됩니다.
3. 커머스 앱
- 모바일 앱 인증서 검증 오류: 위조 인증서를 거부하지 못하는 경우 배송지, 연락처, 결제 카드 정보가 그대로 노출됩니다.
- 서드파티 SDK 취약점: 취약한 리워드·할인 SDK가 사용자 결제 데이터를 외부로 유출하는 통로가 됩니다.
4. 헬스케어 앱
- 세션 탈취: 공격자가 환자의 세션을 장악하면 개인 건강 기록(PHR), 진료 내역, 위치 정보에 접근할 수 있습니다.
- DNS/mDNS 스푸핑: 병원 전용 앱에 접속한다고 믿었지만, 조작된 서버로 유도되어 민감 의료 데이터가 유출됩니다.
5. 통신사 및 네트워크 사업자
- 트래픽 도청·세션 가로채기: 통신망에서 발생하는 중간자 공격은 고객의 인증 정보, 인터넷 사용 기록, 메시지를 노출시킬 수 있습니다. 실제로 국내 통신사에서 개인정보 유출 사고가 발생한 사례도 있습니다.
- VPN 우회 공격(TunnelVision): 기업 고객이 사용하는 VPN 트래픽이 우회되면, 기밀 데이터가 평문으로 노출될 수 있습니다.
- DNS 캐시 포이즈닝: 통신사 DNS 서버가 조작되면 다수 이용자가 동시에 피싱 사이트로 유도되어 대규모 피해가 발생합니다.
중간자 공격에 대응하기 위한 예방 전략
산업별로 패턴이 다르더라도, 공통적으로 적용할 수 있는 예방 전략이 있습니다. 단순히 HTTPS만 적용하는 수준으로는 부족하며, 모바일 앱과 네트워크 전반을 아우르는 다층적인 접근이 필요합니다.
1. SSL/TLS 검증 강화
앱 내부에서 인증서 핀닝(SSL Pinning) 을 적용해 올바른 서버 인증서를 검증해야 합니다. 동시에, 루팅·탈옥 환경에서 인증서 우회 시도가 일어나는지 탐지하고, 잘못된 인증서 체인이나 호스트명 불일치가 발생하면 즉시 연결을 차단하는 메커니즘을 마련해야 합니다.
2. 런타임 애플리케이션 보호(RASP) 도입
모바일 앱은 실행 환경에서 공격을 직접 마주하게 됩니다. 따라서 RASP(Run-time Application Self-Protection) 을 적용해 앱이 동작하는 동안 무결성을 검증하고, 루팅·탈옥, 후킹, 프록시 삽입과 같은 행위를 실시간으로 차단해야 합니다.
3. 세션 및 인증 보안 강화
세션 쿠키와 토큰은 공격자가 가장 먼저 노리는 대상입니다. 이를 방지하기 위해 짧은 세션 만료 시간, 토큰 바인딩(디바이스·사용자 키 연동), 다단계 인증(MFA) 을 적용하는 것이 권장됩니다. 특히 금융, 커머스, 헬스케어 서비스에서는 중요한 거래 시마다 별도의 인증 단계를 거치도록 설계하는 것이 효과적입니다.
4. 서드파티 SDK 및 라이브러리 관리
광고·분석·결제 SDK와 같은 서드파티 구성요소는 앱의 취약점으로 악용될 수 있습니다. 개발 단계에서 보안 검토를 거치고, 최신 보안 패치가 적용되었는지 지속적으로 모니터링해야 합니다. 또한 SBOM(소프트웨어 자재 명세서) 을 활용해 어떤 라이브러리가 포함되어 있는지 투명하게 관리할 필요가 있습니다.
5. 네트워크 보안 정책 적용
공용 Wi-Fi나 불량 액세스 포인트를 통한 공격을 줄이려면, 기업 차원에서 VPN 사용 정책을 강화하고 DNSSEC, DoH/DoT와 같은 최신 암호화 프로토콜을 도입해야 합니다. 최근 보고된 TunnelVision 취약점처럼 VPN 자체가 우회될 가능성도 고려해야 하므로, DHCP 스누핑·ARP 보호 등 네트워크 레벨에서의 보완책을 병행해야 합니다.
6. 탐지 및 모니터링 고도화
중간자 공격은 표면에 드러나지 않고 진행되기 때문에, 사후 대응을 위해서는 탐지 체계를 강화해야 합니다. 앱 내부에서 비정상 TLS 핸드셰이크, 인증서 불일치, 프록시 감지 등의 신호를 수집하고 이를 보안 관제 시스템과 연동하면 조기 경보 체계를 구축할 수 있습니다.
도브러너(구 AppSealing)가 제안하는 대응 방안
보안 예방 전략은 원칙적으로 모든 기업이 따라야 할 보안 기본기입니다. 그러나 현실적으로는 앱 개발 일정, 인력, 전문성 제약으로 인해 이를 자체적으로 구현하고 운영하기가 쉽지 않습니다. 이때 모바일 앱 보안 솔루션인 도브러너가 효과적인 대안이 될 수 있습니다.
도브러너는 앱 실행 중에 발생하는 위협을 실시간으로 탐지하고 차단하는 런타임 애플리케이션 자기 보호(RASP) 기능을 제공합니다. 이를 통해 공격자가 중간자 기법을 사용해 통신 경로를 가로채거나 위조 인증서를 주입하려 할 때, 앱 내부에서 즉시 차단 조치가 이루어집니다.
또한 별도의 개발 리소스 투입 없이 간단히 적용할 수 있기 때문에, 기업은 몇 분 만에 앱에 강력한 보안 계층을 추가할 수 있습니다. 루팅·탈옥 탐지, 무결성 검증, 프록시 주입 방지 등 다양한 기능이 기본적으로 포함되어 있어, 통신사·금융·게임·커머스·헬스케어 등 업종별 요구사항에 맞춘 대응이 가능합니다.
무엇보다 도브러너는 실시간 위협 인텔리전스와 연동되어 공격 시도, 발생 빈도, 취약 구간을 대시보드에서 확인할 수 있도록 지원합니다. 이를 통해 보안팀은 단순 방어를 넘어, 실제로 어떤 공격이 앱을 노리고 있는지 데이터를 기반으로 이해하고 대응 전략을 수립할 수 있습니다.
도브러너는 기업이 직접 모든 보안 기능을 구현하지 않고 적용만으로 중간자 공격을 비롯한 다양한 모바일 위협을 선제적으로 방어할 수 있도록 실질적으로 도움을 드립니다. 지금 바로 무료 체험을 시작하거나 도브러너 팀에 문의해 보세요!
