모바일 보안 위협 급증…‘앱 개발 단계부터 내재화해야’

IT동아

2026.04.02 17:01:58

조회 220 추천 2 댓글 0

[IT동아 김예지 기자] 모바일 보안 위협이 글로벌 거시경제 리스크로 떠올랐다. 지난해 국내 보이스피싱 피해액이 사상 처음 1조 원을 넘어섰고, AI를 탑재한 악성코드가 앱 속에 침투하고 있다. 지능형 신종 위협이 발생하는 상황에서 보안 역량이 기업의 소프트웨어 경쟁력이자 글로벌 시장 진출을 위한 조건으로 강조된다.

지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아

지난 4월 1일 국회에서 열린 ‘안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나’에서는 조대곤 연세대 경영대학 교수를 비롯해 과기정통부, 경찰청, 구글 및 스타트업 각계 전문가들이 모바일 보안의 현주소와 제도적 과제를 논의했다.

AI 기반 자율형 공격…기존 탐지 체계 무력화

AI 기반 안드로이드 악성코드 PromptSpy가 발견됐다 / 출처=ESET

최신 보고되는 모바일 위협은 AI를 무기로 삼는다. 기존 악성코드가 하드코딩된 정적 스크립트로 움직였다면, 지난 2월 발견된 안드로이드 악성코드 ‘PromptSpy’는 온디바이스 AI를 기반으로 공격 경로를 자율 생성한다. 구글 제미나이를 통해 화면 정보를 실시간 분석한 뒤, 사용자 몰래 기기를 조작하는 방식이다. 조대곤 교수는 “이러한 방식은 앱의 UI가 업데이트 되거나 설정이 바뀌더라도 AI가 즉각 판단해 공격을 지속하므로 기존 탐지 시스템을 무력화한다”며, “특정 OS나 제조사를 가리지 않는다”고 설명했다.

또한 디지털 환경 변화에 맞춰 공격 기법도 진화하고 있다. 악성코드가 서비스처럼 유통되는 ‘MaaS’의 확산으로 전문 지식 없이도 고도의 해킹 도구를 구매할 수 있게 됐고, 딥페이크·음성 복제를 동원한 사기도 늘었다. 특히 한국인의 정서를 악용해 금융기관이나 경찰로 연결되는 전화를 범죄 조직 콜센터로 가로채는 ‘페이크콜(Fakecalls)’은 사회공학적 공격의 대표 사례다.

2023년 맥아피(McAfee)가 공개한 ‘Goldoson 라이브러리 사태’는 국내 대중교통·멤버십 앱 등 유명 앱 60여 개가 서드파티 악성 SDK에 감염돼 기기 목록과 위치 정보를 탈취당한 사례다.

플랫폼과 정부의 대응…공조 체계 구축

구글은 하루 3500억 개 이상 앱을 스캔한다 / 출처=구글코리아

이에 대응해 양대 플랫폼 기업인 구글과 애플은 AI 기반 심사 기능을 강화하고 있다. 구글 플레이 프로텍트는 하루 3500억 개 이상의 앱을 스캔하고, 유해 앱 심사의 92%를 AI로 처리한다. 2025년 한 해에만 175만 개 앱을 차단하고 8만 개 개발자 계정을 정지시켰다. 애플 앱 스토어도 2024년 193만 건의 앱 등록을 거부하고 사기 거래를 차단했다.

구글은 과기정통부와 협력해 강화된 사기 방지 보호 기능(EFP)을 공동 운영하고 있다. 공식 마켓 외 경로로 설치되는 앱을 실시간 탐지하고, 악성 앱이 악용하는 민감 권한을 자동 차단한다. 더불어 구글은 개발자 인증 제도를 도입해 악성 앱 개발자의 진입 장벽을 높이고, 이용자의 알 권리를 강화하는 데 주력하고 있다.

한편, ‘드로퍼(Dropper)’ 우회 전략도 교묘해지고 있다. 초기 심사는 정상 앱으로 통과한 뒤, 잠복·확산을 거쳐 업데이트 시점에 악성 기능을 심는 기법이다. 조대곤 교수는 “이는 심사 체계를 무력화하고 플랫폼 정책을 우회할 수 있기 때문에 소프트웨어 공급망 보안이 더욱 중요해진다”고 말했다.

균형적 접근과 자율적 대응의 필요성

이러한 상황에서 학계와 산업계는 ‘균형 있는 규제’를 모색 중이다. 과거에 모바일 산업계에는 보안을 강화하면 혁신이 위축된다는 우려가 존재했다. 유럽연합(EU)의 디지털시장법(DMA)은 경쟁 활성화를 위해 사이드로딩을 전면 의무화했지만, 보안 취약점이 커질 수 있다는 비판을 받았다. 반대로 보안 규제가 지나치면 새로운 앱과 서비스가 시장에 나오기 어려워진다. 일본은 대안 마켓은 허용하되 웹 기반의 무분별한 사이드로딩은 금지하는 등 비교적 신중한 접근을 취하고 있다.

지난 4월 1일 개최된 안전한 모바일 앱 생태계 조성을 위한 사이버 보안 정책 세미나 / 출처=IT동아

한국은 기업이 자율적으로 보안을 강화하되 결과에 엄중한 책임을 지는 ‘자율보안-결과책임(Principle-based)’ 패러다임으로 전환 중이다. 보안 규제가 안전한 시장을 조성해 지속 가능한 혁신을 가능케 하는 인프라가 돼야 한다는 게 중론이다. 조대곤 교수는 타 산업의 안전 규제 모델을 차용한 ‘앱 보안 등급제’를 제시했다. 예컨대, 자동차의 NCAP 별점처럼 앱 보안 수준을 등급화하고, 식품 안전관리 체계 HACCP처럼 소프트웨어 자재명세서(SBOM)로 공급망 투명성을 확보한다. 항공 사고 조사기구 NTSB처럼 앱 보안 사고를 독립적으로 조사하는 위원회를 신설하자는 제안도 제시했다.

‘스타트업 보안, 규제보다 동기부여가 우선’

특히 인적·물적 자원이 부족한 스타트업에는 보안이 비용이 아닌 투자라는 인식 전환이 시급하다. 최재영 스타트업포럼 상근대표는 “보안 역량은 기업의 글로벌 시장으로 나아가기 위한 필수 티켓”이라며, “앱 개발 초기 단계부터 보안을 내재화해 사용자 신뢰를 구축해야 한다”고 강조했다. 이어 그는 “정부가 보안 수준을 갖춘 스타트업에게 인증을 부여하고, 상업적 인센티브를 제공하는 등 규제보다 동기부여 중심의 정책 설계가 필요하다”고 제언했다.

이종혁 과기정통부 과장도 같은 맥락에서 “사이버 위협 대응을 위해 앱 개발 전 단계에 걸친 지원 방안을 모색 중”이라며, “보안은 사고 후 수습하는 치유의 개념이 아니라 평소 관리하는 헬스케어와 같다”고 비유했다. 이어 “기업들이 보안 정책에 적극 참여할 수 있도록 인식을 확대하고, 개발 단계부터 보안을 내재화하는 방향으로 정책을 추진하겠다”고 밝혔다.

IT동아 김예지 기자 (yj@itdonga.com)

사용자 중심의 IT 저널 - IT동아 (it.donga.com)

▶ 전병훈 동국대 서울RISE사업단 부단장, "포텐 기업 발굴해 포텐 터트리는 것이 목표"▶ [주간스타트업동향] 채널코퍼레이션, 렛서와 고객사 'AI 네이티브' 지원 협력 外 ▶ [주간보안동향] 6월 지방선거, 원하지 않는 선거운동 연락 온다면? 外

고정닉 0

원본 첨부파일 4본문 이미지 다운로드

전체 댓글 0개

등록순 최신순 답글순

본문 보기

타인의 권리를 침해하거나 명예를 훼손하는 댓글은 운영원칙 및 관련 법률에 제재를 받을 수 있습니다.
Shift+Enter 키를 동시에 누르면 줄바꿈이 됩니다.

갤러리 리스트
번호	제목	글쓴이	작성일	조회	추천
설문	주변 사람 잘 챙기고 인맥 관리 잘 할 것 같은 스타는?	운영자	26/03/30	-	-
6857	[스타트업-ing] "빈집에서 숲속까지" 다자요, 버려진 공간을 가치 있게 바꾼 10년	IT동아	19:22	5	0
	모바일 보안 위협 급증…‘앱 개발 단계부터 내재화해야’	IT동아	17:01	220	2
6855	딥핑소스 “매장 자율 운영 AI 에이전트로 ‘공간AI’ 실현한다”	IT동아	16:56	7	0
6854	전병훈 서울RISE사업단 부단장, "포텐 기업 발굴해 포텐 터트리는 것이 목표"	IT동아	14:06	9	0
6853	증강현실 기기, 엑스리얼 1S 공개 “안경 착용자 배려 부족은 여전해”	IT동아	04.01	64	0
6852	볼보, 다시 ‘안전’으로 승부…전기 플래그십 SUV ‘EX90’ 공식 출시 [1]	IT동아	04.01	23	0
6851	[리뷰] 24코어 기반에 게이밍 기능 더한 '인텔 코어 울트라 7 270K 플러스' [13]	IT동아	04.01	1440	2
6850	[주간스타트업동향] 채널코퍼레이션, 렛서와 고객사 'AI 네이티브' 지원 협력 外	IT동아	04.01	15	0
6849	2025년 하반기 디지털자산사업자 실태조사 ‘거래·수익 감소, 이용자·예치금 증가’	IT동아	04.01	25	0
6848	[스타트업-ing] 위스메디컬 “유연 소자·인공지능 생체 신호 측정, 환자 맞춤형 건강관리 시대로”	IT동아	04.01	28	0
6847	[주간보안동향] 6월 지방선거, 원하지 않는 선거운동 연락 온다면? 外	IT동아	04.01	43	0
6846	“AI 데이터 효율 개선” 구글 터보퀀트, AI 산업 어떻게 바꿀까?	IT동아	03.31	96	0
6845	[스타트업-ing] 나로에 젠틀 디시 케어, 싱크대 위 이솝 꿈꾼다	IT동아	03.31	23	0
6844	[리뷰] 360 카메라에 강력한 기본기 더한 신차원 플래그십 드론, 'DJI 아바타 360'	IT동아	03.31	31	0
6843	[위클리AI] 구글, 서치 라이브·리리아 3 프로 공개 '말로 검색하고 AI로 작곡하는 시대'	IT동아	03.31	24	0
6842	자율주행, 왜 ‘도시 실증’이 필요한가…광주에서 해법 모색하는 이유	IT동아	03.31	36	0
6841	단종 수순·생산 중단까지··· 벼랑 끝에 선 소비자용 메모리, 그 이유는? [6]	IT동아	03.31	1986	1
6840	샥즈, ‘오픈핏 프로' 출시···오픈형 이어폰에 소음 감소 기능 추가	IT동아	03.31	36	0
6839	KT, 아이폰17 시리즈에 5G SA 도입…달라지는 점은? [8]	IT동아	03.31	1332	3
6838	[스타트업-ing] "모든 기업에 자비스를" 알파브라더스 AI팀의 AX 전략	IT동아	03.31	38	0
6837	"이사할 때 필요한 서류 알려줘" 정부24, AI로 얼마나 편해졌을까	IT동아	03.31	37	0
6836	변동성 큰 투자시장, 투자자 심리 악용한 불공정거래 차단 나선 금융당국	IT동아	03.30	35	0
6835	[투자를IT다] 2026년 3월 4주차 IT기업 주요 소식과 시장 전망	IT동아	03.30	26	0
6834	넥스트페이먼츠-바로고, 전국 오프라인 매장 AI 전환 가속화…‘10만 매장 확산 목표’	IT동아	03.30	29	0
6833	[정석희의 기후 에너지 인사이트] 7. 사소하지 않은 5%의 추가 지출	IT동아	03.30	31	0
6832	노타·시마AI 전략적 협업···엣지·피지컬 AI의 받침점 된 '모델 양자화'	IT동아	03.30	57	0
6831	[주간투자동향] 래브라도랩스, 145억 원 규모 시리즈B 투자 유치 外	IT동아	03.30	29	0
6830	[리뷰] 촉감부터 두뇌까지...흔하지 않은 노트북, 에이수스 젠북 A16	IT동아	03.30	37	0
6829	왜 AI 써도 칼퇴 못할까…표류하는 AI 세상에서 중심 잡는 법 [5]	IT동아	03.27	1539	3
6828	“조립 특화 피지컬 AI” 플라잎의 기술에 투자 기관이 주목한 이유 [1]	IT동아	03.27	90	2
6827	중고차 거래, ‘서류의 벽’을 넘다…’카방·엔카’ 손잡고 이전등록 간소화	IT동아	03.27	46	0
6826	[리뷰] 맥세이프·256GB에도 가격 동결··· 가성비 높아진 '애플 아이폰 17e'	IT동아	03.27	82	0
6825	[크립토퀵서치] 디지털자산 과세 폐지를 주장하는 이유는 무엇인가요?	IT동아	03.27	268	0
6824	"기록 넘어 코칭으로" 가민, 운동·영양·회복 한 플랫폼에 담았다	IT동아	03.27	101	0
6823	“AI 에이전트로 프론티어 기업 전환하라” 마이크로소프트, M365 코파일럿으로 차별화 가속	IT동아	03.26	54	0
6822	‘AI와 네트워크 융합 본격화’…올해 주목받을 통신 기술 트렌드는	IT동아	03.26	77	0
6821	“잠시 후 들어옵니다”…버스 도착 시간 어떻게 맞출까	IT동아	03.26	51	0
6820	잔재주 대신 본질...정통 진화형 신제품, LG전자 ‘더 넥스트 올레드’ TV	IT동아	03.26	38	0
6819	경콘진, ‘2026 상생 오픈이노베이션’ 파트너사 모집… AI·XR 협업 프로젝트 본격화	IT동아	03.26	42	0
6818	[생활 속 IT] 벚꽃 명소·개화 시기 한눈에, 카카오맵 ‘벚꽃 지도’	IT동아	03.26	36	0
6817	NHN두레이, 공공기관 AI 전환 해법 제시··· 'CSAP 인증 협업 툴로 GPT·제미나이 활용'	IT동아	03.26	45	0
6816	“창작 침해인가? 기술 진보인가?” 엔비디아 DLSS 5가 낳은 논란	IT동아	03.25	50	0
6815	노션, 협업툴 넘어 ‘에이전트 OS’ 시대 그린다	IT동아	03.25	55	0
6814	[시승기] 국내 출시 임박 ‘지커 7X’…암스테르담 시승으로 완성도 살펴보니 [13]	IT동아	03.25	933	1
6813	[뉴스줌인] 코인원, 스테이블코인 지수 발표··디지털자산 지수란?	IT동아	03.25	42	0
6812	[정훈구의 인터'스페이스'] BTS가 전 세계에 보여준 광화문의 미래	IT동아	03.25	53	3
6811	'10년 만에 개편' 오피넷, 석유 최고가격제 시행으로 다시 주목받는 이유 [4]	IT동아	03.25	1320	3
6810	Arm, 35년 만에 첫 자체 반도체 'AGI' 출시··· 고객과 공존될까, 경쟁할까?	IT동아	03.25	45	0
6809	[주간스타트업동향] 칼렛바이오, 리펄프테이프로 대한민국 패키징 대전 수상 外	IT동아	03.25	43	0
6808	성균관대 정연욱 교수 "양자컴퓨터 핵심부품 TWPA 독자 개발"	IT동아	03.25	51	0