2025년 초, 국내 대형 유통 플랫폼 앱이 하룻밤 사이 약 6만 개의 IP에서 로그인 공격을 받았습니다. 그중 4,900건이 실제 로그인에 성공했고, 고객 개인정보 유출로 이어졌습니다. 같은 해 또 다른 커머스 앱에서는 약 8개월간 158만 건의 개인정보 유출이 진행되는 동안 아무도 인지하지 못했습니다.
두 사고 모두 특정 업종의 문제가 아닙니다. 모바일 앱을 운영하며 고객 정보를 다루는 조직이라면 어디서든 같은 방식의 공격이 발생할 수 있습니다. 이번 포스팅은 실제 사고 사례를 바탕으로 모바일 앱 보안 사고의 5가지 유형과 각 유형이 조직에 미치는 리스크를 정리합니다.
모바일 앱은 왜 공격 대상이 되는가
서버·네트워크 보안과 달리 모바일 앱은 공격자가 직접 분석할 수 있는 파일 형태로 배포됩니다. APK나 IPA 파일을 추출하면 앱의 코드 구조, API 엔드포인트, 인증 로직을 들여다볼 수 있습니다. 보안 체계가 서버에만 집중되어 있다면 모바일 앱 클라이언트는 사실상 열린 문입니다.
국내외에서 발생한 주요 보안 사고들을 보면 단순한 서버 해킹만이 아니라 모바일 앱을 통한 우회 공격이 뚜렷하게 늘고 있습니다. 특히 결제·금융·커머스 앱처럼 민감한 데이터를 다루는 서비스일수록 표적이 될 가능성이 높습니다.
유형 1: 앱 위변조 및 리패키징
공격자는 정상 앱의 APK 파일을 추출한 뒤 코드를 수정하고, 원본 앱과 동일한 이름·아이콘으로 재패키징해 비공식 마켓이나 메신저를 통해 배포합니다. 사용자가 이 가짜 앱을 설치하면 입력하는 계정 정보·결제 데이터가 공격자에게 전송됩니다.
실제 사례로 확인된 피해 유형은 두 가지입니다. 위변조된 앱을 통한 개인정보 탈취 그리고 유료 콘텐츠 무단 이용이나 포인트·재화 탈취 같은 금전적 피해입니다. 게임 앱이나 금융 앱에서 특히 빈번하게 발생합니다.
위변조된 앱으로 인한 피해가 발생했을 때, 조직이 앱 무결성 검증 체계를 갖추지 않았다면 개인정보보호법상 기술적 보호 조치 미흡으로 제재를 받을 수 있습니다. 금융감독원도 금융앱에 대한 위변조 방지 적용을 권고하고 있습니다.
연관 OWASP: M7 – Insufficient Binary Protections
유형 2: 역공학 및 소스코드·API 키 탈취
난독화가 적용되지 않은 앱은 역공학 도구로 핵심 비즈니스 로직, API 엔드포인트, 하드코딩된 인증 키를 추출할 수 있습니다. React Native 앱의 경우 JS 번들이 텍스트 형태로 패키지 내에 포함되어 있어 별도의 디컴파일 없이도 코드를 열람할 수 있습니다.
탈취된 API 키는 무단 API 호출이나 데이터 크롤링에 악용됩니다. 핵심 비즈니스 로직이 노출되면 경쟁사에 의한 기술 도용 가능성도 배제할 수 없습니다.
ISMS-P 2.8.1 항목은 모바일 앱을 포함한 정보시스템의 코드 보안 요구사항을 설계 단계부터 반영하도록 요구합니다. 소스코드 보호 조치가 없는 상태에서 심사를 받으면 결함으로 지적될 수 있습니다.
연관 OWASP: M7 – Insufficient Binary Protections, M1 – Improper Credential Usage
유형 3: 런타임 공격(후킹·디버깅)
Frida, Xposed 같은 후킹 프레임워크를 이용하면 앱이 실행 중인 상태에서 메모리 데이터를 읽거나 특정 함수의 동작을 가로챌 수 있습니다. 루팅·탈옥된 기기를 사용하면 보안 로직 자체를 우회하는 것도 가능합니다.
실제 공격 시나리오는 이렇습니다. 결제 앱에서 후킹을 통해 결제 금액을 변조하거나, 인증 로직을 우회해 타인의 계정에 접근합니다. 금융 앱에서 이 공격이 성공하면 직접적인 금전 피해로 이어집니다.
ISMS-P 2.8.2 항목은 취약점 점검 결과 발견된 문제에 대해 개선 조치와 이행 증적을 요구합니다. 런타임 공격에 대한 탐지·차단 체계가 없는 상태에서 침해 사고가 발생하면, 기술적 보호 조치 미흡으로 규제 리스크가 발생할 수 있습니다.
연관 OWASP: M8 – Security Misconfiguration
유형 4: 네트워크 중간자 공격 (MiTM)
SSL Pinning이 적용되지 않은 앱은 네트워크 프록시 툴을 이용해 통신 내용을 평문으로 열람할 수 있습니다. 공격자가 동일 네트워크에 접속해 있거나, 악성 Wi-Fi 핫스팟을 운영하는 경우 사용자 모르게 로그인 정보·세션 토큰을 가로챌 수 있습니다.
특히 기업 내부 업무용 앱이나 VPN 없이 외부 네트워크를 사용하는 환경에서 리스크가 높습니다.
개인정보보호법은 개인정보의 전송 시 암호화를 요구합니다. 통신 구간 보호 조치가 미흡한 상태에서 정보 유출 사고가 발생하면 과징금 부과 대상이 될 수 있습니다.
📎 관련 글: 모바일 앱 보안의 최대 위협, 중간자(MiTM) 공격 대응 전략
연관 OWASP: M5 – Insecure Communication
유형 5: 크리덴셜 스터핑 및 서비스 어뷰징
크리덴셜 스터핑은 다른 서비스에서 유출된 계정 정보를 자동화 도구로 대량 대입하는 공격입니다. 로그인 시도 횟수 제한이나 봇 탐지 체계가 없는 앱은 이 공격에 취약합니다.
실제 사례로, 국내 크리덴셜 스터핑 공격 조사 결과 로그인 시도 대비 성공률이 약 0.3%에 달한 경우도 있었습니다. 1,000만 번의 시도면 3만 개의 계정이 탈취되는 셈입니다. 탈취된 계정은 포인트·쿠폰 어뷰징, 개인정보 수집, 추가 사기에 활용됩니다.
반복적인 로그인 실패 탐지 및 이상 접근 차단 체계를 갖추지 않으면 ISMS-P 심사에서 접근통제 미흡으로 지적받을 수 있습니다. 공정거래위원회나 개인정보보호위원회의 조사 대상이 되는 사례도 있습니다.
유형별 리스크 비교
사고 유형 | 주요 피해 | 규제 연계 | 탐지 난이도 |
앱 위변조·리패키징 | 개인정보·결제 데이터 유출, 서비스 신뢰도 훼손 | 개인정보보호법, 금감원 권고 | 높음 |
역공학·코드 탈취 | 기술 유출, API 무단 사용 | ISMS-P 2.8.1 | 중간 |
런타임 공격 | 결제 변조, 계정 탈취 | ISMS-P 2.8.2 | 매우 높음 |
네트워크 MiTM | 로그인 정보·세션 탈취 | 개인정보보호법 암호화 의무 | 중간 |
크리덴셜 스터핑 | 계정 탈취, 어뷰징 | ISMS-P 접근통제 | 낮음 |
보안 담당자가 먼저 확인해야 할 점검 항목
모바일 앱 보안 사고를 예방하기 위해 다음 항목부터 점검해보시기 바랍니다.
- 배포된 앱에 코드 난독화, 암호화가 적용되어 있는가
- 위변조 탐지 및 재패키징 차단 체계가 있는가
- 루팅·탈옥 환경에서의 앱 실행을 탐지하고 제한하는가
- SSL Pinning을 통한 통신 구간 보호가 적용되어 있는가
- 메모리 후킹·디버거 연결 시도를 실시간 탐지하는가
- 반복 로그인 시도에 대한 차단 및 이상 탐지 체계가 있는가
- 앱 보안 이벤트를 실시간 수집·모니터링하고 있는가
📎 관련 글: ISMS-P 심사, 모바일 앱 보안은 어떻게 준비해야 하나요? / OWASP Mobile Top 10 2024
탐지와 대응 체계를 갖추는 것이 핵심
모바일 앱 보안 사고는 서버 보안 체계만으로는 막을 수 없습니다. 위에서 살펴본 5가지 유형은 모두 앱 클라이언트 단에서 시작됩니다. 규제 기관의 심사도 정책 수립 여부뿐 아니라 기술적 보호 조치가 실제 앱에 적용되어 있는지를 함께 확인합니다.
앱 위변조 탐지, 코드 난독화, 런타임 공격 차단, SSL Pinning, 보안 이벤트 모니터링 같은 클라이언트 보안 체계를 단일 플랫폼에서 관리하고자 하는 조직에서 외부 솔루션 도입을 검토하는 경우가 많습니다. 도브러너(DoveRunner)는 이러한 모바일 앱 클라이언트 보안 요소들을 코드 수정 없이 CI/CD 환경에서 적용할 수 있는 구조로 설계되어 있습니다.
📎 관련 글: 모바일 앱 보안 솔루션 도입했는데, 왜 운영은 더 복잡해졌을까?
우리 앱에 맞는 보안 체계 도입 방향이 궁금하시다면 도브러너 보안 전문가와 이야기 나눠보세요.
