【드래곤 스포츠】 보증업체놀이터추천홍보 : 프로그램제작판매제작의뢰 : 스포츠분석 : 무료스포츠중계tv : 섹시bj움짤 : 뉴스 : 안구정화

로그인

글쓰기

[IT뉴스]모바일 보안 위협 급증…‘앱 개발 단계부터 내재화해야’

온카뱅크관리자

2026-04-02 17:07:28

<div id="layerTranslateNotice" style="display:none;"></div>  
        <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> 
         <section dmcf-sid="VonwEyoMsV">
          <p contents-hash="d857a8e23b6d76b3addd87829e59fd234bf0da7dd65196375406d687fbcbc706" dmcf-pid="fgLrDWgRE2" dmcf-ptype="general">[IT동아 김예지 기자] 모바일 보안 위협이 글로벌 거시경제 리스크로 떠올랐다. 지난해 국내 보이스피싱 피해액이 사상 처음 1조 원을 넘어섰고, AI를 탑재한 악성코드가 앱 속에 침투하고 있다. 지능형 신종 위협이 발생하는 상황에서 보안 역량이 기업의 소프트웨어 경쟁력이자 글로벌 시장 진출을 위한 조건으로 강조된다.</p>
          <figure class="figure_frm origin_fig" contents-hash="08d5b083082325819392c24df3b0717ae19a96f4bee8251bdc7c9ec45c318362" dmcf-pid="4aomwYaew9" dmcf-ptype="figure">
           <p class="link_figure"><img alt="지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/02/itdonga/20260402170309691mudb.jpg" data-org-width="1182" dmcf-mid="BSKZGzhDwd" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/02/itdonga/20260402170309691mudb.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아
           </figcaption>
          </figure>
          <p contents-hash="e6dc1efa512dbcc220d6e2332dc7327ce848dd2d2711d5d87ef974f62fdeb524" dmcf-pid="8NgsrGNdIK" dmcf-ptype="general">지난 4월 1일 국회에서 열린 ‘안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나’에서는 조대곤 연세대 경영대학 교수를 비롯해 과기정통부, 경찰청, 구글 및 스타트업 각계 전문가들이 모바일 보안의 현주소와 제도적 과제를 논의했다.</p>
          <h3 contents-hash="9a0490c795d72d727019d526efd28b928ecb6ebb6200ef1b87e3965d3e7436e6" dmcf-pid="6ZH7U6ZvIb" dmcf-ptype="h3"><strong>AI 기반 자율형 공격…기존 탐지 체계 무력화</strong></h3>
          <figure class="figure_frm origin_fig" contents-hash="572b2582a2d5aa801ae82191d0c6fcba7646d93db274373b81755b7127a427ba" dmcf-pid="P5XzuP5TrB" dmcf-ptype="figure">
           <p class="link_figure"><img alt="AI 기반 안드로이드 악성코드 PromptSpy가 발견됐다 / 출처=ESET" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/02/itdonga/20260402170310935gite.jpg" data-org-width="1080" dmcf-mid="btof9JUZre" dmcf-mtype="image" height="auto" src="https://img2.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/02/itdonga/20260402170310935gite.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            AI 기반 안드로이드 악성코드 PromptSpy가 발견됐다 / 출처=ESET
           </figcaption>
          </figure>
          <p contents-hash="041a9348eaf423e60605d8a23a865bdb86604e2cc6b1c58a059edee6fb854235" dmcf-pid="Q1Zq7Q1yOq" dmcf-ptype="general">최신 보고되는 모바일 위협은 AI를 무기로 삼는다. 기존 악성코드가 하드코딩된 정적 스크립트로 움직였다면, 지난 2월 발견된 안드로이드 악성코드 ‘PromptSpy’는 온디바이스 AI를 기반으로 공격 경로를 자율 생성한다. 구글 제미나이를 통해 화면 정보를 실시간 분석한 뒤, 사용자 몰래 기기를 조작하는 방식이다. 조대곤 교수는 “이러한 방식은 앱의 UI가 업데이트 되거나 설정이 바뀌더라도 AI가 즉각 판단해 공격을 지속하므로 기존 탐지 시스템을 무력화한다”며, “특정 OS나 제조사를 가리지 않는다”고 설명했다. </p>
          <p contents-hash="0bb89eabbe94e5dfbe9bcd0101332064e54f6ee4a69f2052eaa08be8c2e497c4" dmcf-pid="xt5BzxtWOz" dmcf-ptype="general">또한 디지털 환경 변화에 맞춰 공격 기법도 진화하고 있다. 악성코드가 서비스처럼 유통되는 ‘MaaS’의 확산으로 전문 지식 없이도 고도의 해킹 도구를 구매할 수 있게 됐고, 딥페이크·음성 복제를 동원한 사기도 늘었다. 특히 한국인의 정서를 악용해 금융기관이나 경찰로 연결되는 전화를 범죄 조직 콜센터로 가로채는 ‘페이크콜(Fakecalls)’은 사회공학적 공격의 대표 사례다.</p>
          <p contents-hash="5917b1d57bc78487df549c81b9c2ae420cd8f4e173ffedcd5644bbc1737d6441" dmcf-pid="yonwEyoMD7" dmcf-ptype="general">2023년 맥아피(McAfee)가 공개한 ‘Goldoson 라이브러리 사태’는 국내 대중교통·멤버십 앱 등 유명 앱 60여 개가 서드파티 악성 SDK에 감염돼 기기 목록과 위치 정보를 탈취당한 사례다. </p>
          <h3 contents-hash="1336cccb4f9aa7e026204d0f3ac6d47935ada95c3400683477b2235ba90b917f" dmcf-pid="WgLrDWgRIu" dmcf-ptype="h3"><strong>플랫폼과 정부의 대응…공조 체계 구축</strong></h3>
          <figure class="figure_frm origin_fig" contents-hash="be4b55a39e6c70118c754dcba0e560ffafd35ce8d0b1fb0a522bfbe8b314e3d5" dmcf-pid="YaomwYaesU" dmcf-ptype="figure">
           <p class="link_figure"><img alt="구글은 하루 3500억 개 이상 앱을 스캔한다 / 출처=구글코리아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/02/itdonga/20260402170312177vuvv.jpg" data-org-width="1635" dmcf-mid="K3SjgIRfIR" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/02/itdonga/20260402170312177vuvv.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            구글은 하루 3500억 개 이상 앱을 스캔한다 / 출처=구글코리아
           </figcaption>
          </figure>
          <p contents-hash="ec7ae737be5abec3ba1ce1b34f68fec8b34007b7a4bb0c39c58bc2cf42b358f6" dmcf-pid="GNgsrGNdmp" dmcf-ptype="general">이에 대응해 양대 플랫폼 기업인 구글과 애플은 AI 기반 심사 기능을 강화하고 있다. 구글 플레이 프로텍트는 하루 3500억 개 이상의 앱을 스캔하고, 유해 앱 심사의 92%를 AI로 처리한다. 2025년 한 해에만 175만 개 앱을 차단하고 8만 개 개발자 계정을 정지시켰다. 애플 앱 스토어도 2024년 193만 건의 앱 등록을 거부하고 사기 거래를 차단했다.</p>
          <p contents-hash="05fed12a6516c88305c153cd52e7c3036371a422eedee0059485367c010d3a40" dmcf-pid="HjaOmHjJO0" dmcf-ptype="general">구글은 과기정통부와 협력해 강화된 사기 방지 보호 기능(EFP)을 공동 운영하고 있다. 공식 마켓 외 경로로 설치되는 앱을 실시간 탐지하고, 악성 앱이 악용하는 민감 권한을 자동 차단한다. 더불어 구글은 개발자 인증 제도를 도입해 악성 앱 개발자의 진입 장벽을 높이고, 이용자의 알 권리를 강화하는 데 주력하고 있다.</p>
          <p contents-hash="015897f2ee0782cb5056cd7164ca3a87335395e5099ae5265ef5aca57d857ab9" dmcf-pid="XANIsXAiO3" dmcf-ptype="general">한편, ‘드로퍼(Dropper)’ 우회 전략도 교묘해지고 있다. 초기 심사는 정상 앱으로 통과한 뒤, 잠복·확산을 거쳐 업데이트 시점에 악성 기능을 심는 기법이다. 조대곤 교수는 “이는 심사 체계를 무력화하고 플랫폼 정책을 우회할 수 있기 때문에 소프트웨어 공급망 보안이 더욱 중요해진다”고 말했다.</p>
          <h3 contents-hash="684dfb10d428afd7f3f4717a508c04a60abe5ee230d400d31beab6f0c3d66a51" dmcf-pid="ZcjCOZcnOF" dmcf-ptype="h3"><strong>균형적 접근과 자율적 대응의 필요성</strong></h3>
          <p contents-hash="11b8add331d71a08bb1f0db6b58834e3c312f6ea2b6ef8fb13a342bfd0fffd7d" dmcf-pid="5kAhI5kLwt" dmcf-ptype="general">이러한 상황에서 학계와 산업계는 ‘균형 있는 규제’를 모색 중이다. 과거에 모바일 산업계에는 보안을 강화하면 혁신이 위축된다는 우려가 존재했다. 유럽연합(EU)의 디지털시장법(DMA)은 경쟁 활성화를 위해 사이드로딩을 전면 의무화했지만, 보안 취약점이 커질 수 있다는 비판을 받았다. 반대로 보안 규제가 지나치면 새로운 앱과 서비스가 시장에 나오기 어려워진다. 일본은 대안 마켓은 허용하되 웹 기반의 무분별한 사이드로딩은 금지하는 등 비교적 신중한 접근을 취하고 있다.</p>
          <figure class="figure_frm origin_fig" contents-hash="47ce015721fa6026720d541d7b0382352247bdde10c80db25e280de55d869eee" dmcf-pid="1EclC1Eow1" dmcf-ptype="figure">
           <p class="link_figure"><img alt="지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202604/02/itdonga/20260402170313416yvol.jpg" data-org-width="1182" dmcf-mid="94LBzxtWDM" dmcf-mtype="image" height="auto" src="https://img4.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202604/02/itdonga/20260402170313416yvol.jpg" width="658"></p>
           <figcaption class="txt_caption default_figure">
            지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아
           </figcaption>
          </figure>
          <p contents-hash="48728f68e5155c3585fb3b56f8a191dee1e5f6ca6fc5c34f7d0ba363a264350d" dmcf-pid="tDkShtDgm5" dmcf-ptype="general">한국은 기업이 자율적으로 보안을 강화하되 결과에 엄중한 책임을 지는 ‘자율보안-결과책임(Principle-based)’ 패러다임으로 전환 중이다. 보안 규제가 안전한 시장을 조성해 지속 가능한 혁신을 가능케 하는 인프라가 돼야 한다는 게 중론이다. 조대곤 교수는 타 산업의 안전 규제 모델을 차용한 ‘앱 보안 등급제’를 제시했다. 예컨대, 자동차의 NCAP 별점처럼 앱 보안 수준을 등급화하고, 식품 안전관리 체계 HACCP처럼 소프트웨어 자재명세서(SBOM)로 공급망 투명성을 확보한다. 항공 사고 조사기구 NTSB처럼 앱 보안 사고를 독립적으로 조사하는 위원회를 신설하자는 제안도 제시했다.</p>
          <h3 contents-hash="0ca708e5518c5ee0473bc8243913ed2bcd2b99b2f23e1baf9dae8141b34d5279" dmcf-pid="FNgsrGNdsZ" dmcf-ptype="h3"><strong>‘스타트업 보안, 규제보다 동기부여가 우선’</strong></h3>
          <p contents-hash="cc2085cc1a02ebd45f1eb43dd4b270a814523dcd25f4ed41d120d13b40c10e87" dmcf-pid="3jaOmHjJDX" dmcf-ptype="general">특히 인적·물적 자원이 부족한 스타트업에는 보안이 비용이 아닌 투자라는 인식 전환이 시급하다. 최재영 스타트업포럼 상근대표는 “보안 역량은 기업의 글로벌 시장으로 나아가기 위한 필수 티켓”이라며, “앱 개발 초기 단계부터 보안을 내재화해 사용자 신뢰를 구축해야 한다”고 강조했다. 이어 그는 “정부가 보안 수준을 갖춘 스타트업에게 인증을 부여하고, 상업적 인센티브를 제공하는 등 규제보다 동기부여 중심의 정책 설계가 필요하다”고 제언했다. </p>
          <p contents-hash="4a7f0694073e070217d6b80ef0c41a59cb0cb1c82ea74634769aef9a38f5240b" dmcf-pid="0ANIsXAirH" dmcf-ptype="general">이종혁 과기정통부 과장도 같은 맥락에서 “사이버 위협 대응을 위해 앱 개발 전 단계에 걸친 지원 방안을 모색 중”이라며, “보안은 사고 후 수습하는 치유의 개념이 아니라 평소 관리하는 헬스케어와 같다”고 비유했다. 이어 “기업들이 보안 정책에 적극 참여할 수 있도록 인식을 확대하고, 개발 단계부터 보안을 내재화하는 방향으로 정책을 추진하겠다”고 밝혔다</p>
          <p contents-hash="9491644f2e1ba8af087b96570677f42387789321902ee430208f8aced1172e18" dmcf-pid="pcjCOZcnOG" dmcf-ptype="general">IT동아 김예지 기자 (yj@itdonga.com)</p>
          <p contents-hash="c28b4031ae02108b0d33e811e471edea798b97da338a7bc9cae0410e1a8ff49a" dmcf-pid="UkAhI5kLOY" dmcf-ptype="general">사용자 중심의 IT 저널 - IT동아 (<span>it.donga.com</span>)</p>
         </section> 
        </div> 
        <p class="" data-translation="true">Copyright © IT동아. 무단전재 및 재배포 금지.</p>

댓글 총 0개

이번주 포인트랭킹

매주 일요일 밤 0시에 랭킹을 초기화합니다.

14,000상품권
23,000상품권
32,000상품권

업체홍보/구인 더보기

지식/노하우 더보기

판매의뢰 더보기

포토 더보기