잠재적 보안 취약점을 갖고 있는 슈퍼앱! 보안대책 어떻게 마련해야 할까?
상태바
잠재적 보안 취약점을 갖고 있는 슈퍼앱! 보안대책 어떻게 마련해야 할까?
  • 박정국
  • 승인 2023.09.11 18:27
  • 조회수 1160
  • 댓글 0
이 콘텐츠를 공유합니다

최신 정보보호 동향과 관련 인사이트를 얻기 위하여 기존 기술 또는 영역의 경계와 한계를 허물고 넓히며 거대 디지털 생태계의 중심이 되고 있는 슈퍼앱(Super Apps) 보안에 대해 알아 보겠습니다. 

 

슈퍼앱(Super Apps)이란 
슈퍼앱은 일상생활에서 필요한 다양한 서비스와 기능을 하나의 어플리케이션으로 통합하여 제공하는 모바일 앱/웹을 의미합니다. 
이 용어는 블랙베리 창업자인 Mike Lazaridis가 2010년 처음 사용하였습니다. 그는 슈퍼앱을  “편리하고 통합된 효율적인 환경을 제공하여 사람들이 생활의 일부로 사용하는 생태계” 라고 설명하면서 주요 요소로 1) Seamless    2) Integration 3) Efficient  4) Contextualized    5) Daily Use를 들었습니다. 
슈퍼앱(플랫폼)에서 다양한 서비스를 통합∙제공할 경우 고객 편의성이나 여러가지 혜택 제공을 통해 서비스 경쟁력을 강화할 수 있습니다, 그러나 슈퍼앱 자체의 복잡성과 타 서비스 연계 등으로 인해 공격표면(Attack Surface)이 더욱 넓어지게 되어 사고 발생 위험이 증대하고 사고 발생시 파급영향 역시 클 것입니다. 이것이 슈퍼앱 보안에 각별히 관심을 가져야 할 이유입니다.

 

슈퍼앱 분류

슈퍼앱 분류(자료 : 금융보안원 '전자금융과 금융보안', 2023.3Q)
슈퍼앱 분류(자료 : 금융보안원 '전자금융과 금융보안', 2023.3Q)

슈퍼앱은 별도의 다운로드와 설치과정 없이 바로 이용할 수 있는 미니앱(미니 프로그램)의 관리주체에 따라 다목적 슈퍼앱과 운영체제 슈퍼앱으로 분류할 수 있습니다. 다목적 슈퍼앱은 슈퍼앱 관리주체가 미니앱까지 직접 관리하는 구조로 규격화 등 관리적 측면에서 장점이 있으나 다양한 주체가 미니앱 개발에 참여하기가 어려워 슈퍼앱의  확장성 측면에서는 한계가 있습니다. 반면에 운영체제 슈퍼앱은 미니앱 개발업체가 미니앱을 관리하는 구조로 슈퍼앱 내 미니앱 생태계가 구축되어 미니앱 확장성이 다목적 슈퍼앱에 비해 크다는 장점이 있습니다.
 

슈퍼앱이 메가 트렌드가 된 배경
(테크놀러지 관점) PC의 시대를 지나 모바일 장치와 이동통신이 대중화되면서 모바일 앱을 중심으로 한 플랫폼과 생태계가 시장을 주도했으며, 애플과 구글이 구축한 앱 생태계는 빠른 속도로 확대되었습니다. 그러던 중 스마트폰의 성능이 빠른 속도로 높아지고 이동통신의 세대 전환이 이루어지면서 ‘슈퍼앱’이 새로운 플랫폼의 유형으로 등장하게 되었습니다. 

(사용자 및 기업 관점) 슈퍼앱은 모바일 퍼스트(Mobile First)에 익숙한 디지털 세대가 주요 소비층으로 코로나19 팬데믹을 거치면서 사회, 문화, 경제 전반의 디지털 전환의 가속화로 이용은 폭발적으로 늘었습니다. 가트너에서는 2027년에는 전 세계 인구 절반 이상이 다수 슈퍼앱의 일일 사용자가 될 것으로 예측하였습니다. 

기업 입장에서도 슈퍼앱은 신규 고객 획득에 드는 비용을 낮추고 기존 고객을 대상으로 한 교차 및 상향 판매(Cross/Up Selling) 확대가 가능하고, 고객의 체류 시간 확보를 통해 사용자 데이터를 쌓고 연계된 서비스를 바탕으로 수익 창출 가능성까지 이끌어낼 수 있습니다. 확보한 데이터를 AI 등을 사용해 고객서비스에 도입하거나 신규 비즈니스에 적용할 수 도 있습니다. 결국 슈퍼앱을 통해 더 많은 데이터를 확보하여 차별화된 맞춤형 경험을 제공함은 물론 고객의 충성도를 높여 이탈을 막고 신규 유입을 늘려 시장에서 영향력을 확대할 수 있기 때문입니다.

 

슈퍼앱의 구성요소 및 기술적 특징

슈퍼앱의 구성요소(자료 : 금융보안원(전자금융과 금융보안, 2023.3Q) 일부 수정)
슈퍼앱의 구성요소(자료 : 금융보안원(전자금융과 금융보안, 2023.3Q) 일부 수정)

슈퍼앱은 이용자, 슈퍼앱, 미니앱, 제3자(클라우드, 오픈뱅킹 등)로 구성됩니다.  기술적으로 보면 슈퍼앱 ↔ 미니앱 간에는 싱글사인온(Single Sign On)을 적용하여 로그인 이후 슈퍼앱에서 미니앱 호출 시 별도의 로그인 과정을 생략함으로써 이용자의 편의성을 제고하고 모바일 단말기 내 메모리 공간을 절약하는 효과가 있습니다. 
또한, 이용자 선호도 및 경험에 기반하여 미니앱별 서비스 화면이나 이용자 인터페이스(UX)를 다양하게 구성할 수 있는 특징을 가지고 있습니다.
 

슈퍼앱의 보안 고려사항
슈퍼앱은 단일앱에 비해 처리하는 중요 정보가 많으며 특성상 클라우드, API, 생성형 AI 등 신기술을 이용한 제3자 서비스와의 연계도 많아 다른 서비스에 비해 상대적으로 광범위하게 공격위험에 노출되어 있습니다. 
또한 슈퍼앱과 연동하는 일부 미니앱에게는 사용자 데이터에 접근하거나 운영체체 접근권한을 가지고 있는 중요 API에 대한 접근이 허용되어 있습니다. 만약 보안에 취약한 미니앱을 사용할 경우 중요 API를 통해 슈퍼앱 내 사용자 데이터 탈취 및 불법 접근이 가능할 수 있습니다. 
이런 잠재적 보안 취약점을 가지고 있는 슈퍼앱은 해커들에게 충분히 매력적일 것으로 생각되는 바 다음 보안 고려사항을 포함한 보안대책의 마련 및 이행이 필요합니다.  

1) 모든 미니앱을 포괄하는 데이터 전송 및 저장 보안기준 마련 적용
2) 서비스 로그인을 위한 이용자 인증(SSO) 시 간편 비밀번호 우회, 앱 간 인증(OAuth) 시  Access Token 재사용 및 권한관리 미흡 등 보안 취약점 관리
3) 클라우드 등 연계하는 제3자를 통한 정보 유출 방지
4) 미니앱에 대한 적정한 권한 부여 및 관리
5) 앱 간 중요 정보 처리흐름, 중요 API 정보 등에 관한 기록 유지 및 현행화
6) 특정 기능(미니앱)의 장애가 슈퍼앱 전체에 미치는 영향 최소화를 위해 기능별 모듈화 구성 등

위의 보안 고려사항이 빠짐없이 반영되어 보안사고 위험 없는 안전한 슈퍼앱을 기대합니다.

 

참고자료
- 도서 'Supper App! 디지털 시대의 넥스트 레볼루션(정우진)'

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.