RSA 컨퍼런스는 IT 보안 컨퍼런스로 매년 개최되는 행사로 수백 개의 세션, 워크숍, 부스 등 다양한 프로그램이 진행됩니다. 올해는 4월 28일부터 5월 1일까지, 샌프란시스코 모스콘 센터에서 열렸고, 4만 명의 사이버 보안 전문가가 모였습니다. 포춘 500대 기업 CISO부터 스타트업 관계자까지, 이번 컨퍼런스는 보안 관련 논의와 새로운 제품과 솔루션, 전략적인 파트너십 등 허브 역할을 했습니다.
이번 컨퍼런스의 전반적인 흐름은 단연 AI와 자동화된 보안 대응 기술에 집중되었고, 많은 보안 벤더들이 AI 기반의 위협 탐지, 인시던트 대응 자동화, 규제 준수 기능을 앞다퉈 선보였습니다. 하지만 도브러너 팀은 현장에서 많은 이들이 한 가지 간과하고 있는 사항을 확인했습니다. 바로 ‘모바일 앱 보안’이었습니다. 최근 몇 년 사이 모바일 위협이 기하급수적으로 증가했음에도 RSA 현장에서 이를 다루는 논의는 극히 제한적이었습니다. 도브러너가 발표한 ‘2025 모바일 앱 위협 동향 보고서’에 따르면 모바일 악성코드 공격은 전년 대비 13% 증가했으며, 이러한 공격은 게임, 핀테크, 헬스케어 등 다양한 산업 군에서 발생하고 있습니다.
AI 열풍 속 모바일 앱 보안은?
RSA 2025에서 가장 많이 언급된 단어가 바로 ‘AI’이었습니다. AI 기반 분석, 모델 기반 위협 예측, LLM 기반 위협 대응 기술 등이 다수 소개되었습니다. 하지만 이 기술들은 대부분 웹·네트워크 또는 백엔드 시스템을 대상으로 하고 있었고, 모바일 앱 자체를 보호하는 솔루션은 거의 찾아볼 수 없었습니다.
많은 조직이 기기, 네트워크 또는 백엔드 API 보안이면 충분하다고 생각합니다. 하지만 모바일 앱은 기업 시스템의 주요 진입 포인트가 되는 경우가 많으며, 공격자들은 이를 정확히 인지하고 있습니다. 리버스 엔지니어링, 크리덴셜 스터핑, AI 기반 봇 활동과 같은 공격 기법들이 모바일 앱을 진입점으로 삼는 사례가 점점 더 늘어나고 있는 것이 이를 반증합니다.
즉, 모바일은 방어가 취약한 진입 문을 해커에게 노출하고 있는 것을 뜻합니다. 모바일 앱이 뚫릴 경우 이후의 보안 계층(디바이스, API, 네트워크 등)도 의미를 잃게 됩니다.
봇·스크래퍼·AI 시뮬레이터의 시대
해커들의 공격이 더욱 정교해지면서 모바일 플랫폼에는 새로운 유형의 위협이 등장했습니다. 바로 인간의 행동을 모방한 봇으로 인한 비정상 트래픽입니다. 봇은 크리덴셜 스터핑 공격을 실행하고, 민감한 데이터를 스크래핑하거나 앱 기능을 조작합니다. 이러한 행위는 종종 탐지 되지 않아 비즈니스에 치명타를 줍니다.
AI 발전으로 이러한 봇은 점점 더 지능화 되고 있습니다. 실제 사용자처럼 행동할 것을 학습해 앱에 접근하고 CAPTCHA나 속도 제한과 같은 기존 방어 수단을 우회합니다. 기존에는 웹 환경에 이러한 행위가 가능했다면, 이제는 모바일 앱 또한 주요 공격 대상으로 부상하고 있습니다.
그렇기에 합법적인 사용자와 AI가 생성하는 상호 작용을 어떻게 구분할 것인지, 모바일 경험을 해치지 않으면서 봇이 자동화를 통해 대량으로 고객 데이터를 수집하는 행위를 실시간으로 어떻게 감지할 것인지 등이 중요한 보안 역량이 될 것으로 보입니다.
AI 모델, 보안 및 규제 리스크로 이어지다
최근 AI 모델을 모바일 앱에 직접 배포하는 기업이 증가하고 있습니다. 하지만 이는 새로운 보안 취약점으로 이어질 수 있습니다. 앱 내에 모델이 내장되면 공격자가 이를 리버스 엔지니어링하거나 탈취해 재배포하는 일이 발생할 수 있기 때문입니다. 이는 단순한 정보 유출을 넘어 지식재산권 침해, 나아가 EU AI 법이나 CCPA, GDPR 등 글로벌 규제 위반으로 이어질 수 있습니다.
이미 유럽, 아시아·태평양, 남미 지역을 중심으로 모바일 앱 데이터 보호법이 강화되고 있습니다. 규정을 준수하지 않을 경우 데이터 침해 위험뿐 아니라 벌금, 평판 손상 등 비즈니스에 위협이 되는 일을 불러 일으킬 수 있습니다. 따라서 이 문제는 보안팀뿐만 아니라 법무·리스크 관리팀이 함께 고민해야 할 영역이 되었습니다.
개발자 대상 보안 교육 스타트업의 부상
RSA 2025에서는 개발자 보안 교육을 제공하는 신생 기업들이 주목 받았습니다. 이들은 기존의 고비용, 높은 진입 장벽에 부딪히는 보안 트레이닝을 대체하는 SaaS 기반 교육 플랫폼을 제공합니다. 이는 보안을 앱 개발 초기 단계부터 녹여낼 수 있는 기반을 다질 수 있습니다. 이러한 교육 플랫폼을 통해 앱 보안을 강화하는 중추적인 역할을 할 것으로 기대됩니다.
모바일 보안 강화를 위한 ‘도브러너’의 제언
모바일 앱은 보안 체인에서 가장 취약한 고리입니다. 고객 데이터, 내부 시스템, 백엔드 API로 연결되는 관문인 만큼 보호하지 않는다면 다른 보안 투자도 소용이 없을 수 있습니다. 그렇기에 모바일 보안은 중요한 우선 순위가 되어야 합니다. 특히 AI가 성장의 도구이자 보안 위협 요소로 부상하고 있기에 더욱 그렇습니다. AI 기반 위협은 봇을 통해 앱에 직접 침투하고 있는 만큼 앱 자체의 무결성과 보안을 강화해야 합니다. 이러한 점을 인지하고 대응하는 기업은 향후 디지털 자산을 더욱 효과적으로 방어할 수 있을 겁니다.
AI 위협이 더욱 정교해지고 글로벌 규제가 강화되는 지금, 기업은 모바일 앱 보안을 선택이 아닌 전략적 필수로 다뤄야 합니다. 도브러너는 RASP, 안티 봇, 리버스 엔지니어링 방지 기술을 통해 이 위협에 효과적으로 대응하고, 규정에 준수하는 보안을 지원합니다. 대응 방법을 논의하고 싶다면, 지금 바로 문의 혹은 데모를 요청해 보세요.
