요즘 스마트폰을 가지고 있지 않은 사람을 찾아 보기 힘들 정도로 스마트폰의 인기는 대단하다. 아이폰의 국내 도입과 함께 시작한 스마트폰 혁명은 2012년 초 어느새 2,500만 명 시대를 맞이하고 있다. 모바일 운영체제를 탑재한 스마트폰은 내 손안의 작은 PC라고 말할 수 있을 정도로, 이러한 스마트폰 열풍은 개인뿐만 아니라 국내 각 기업들에게도 불고 있다.
하지만, PC가 언제나 보안위협을 받는 것처럼 스마트폰도 보안 측면에서 보면 절대 안전하지 않다. 주고받은 문자메시지, 검색 기록, 모바일 뱅킹 이용내역 등 기기 내에 다양한 개인정보들이 담기게 된다. 이 말은 다시 생각해 보면, 민감한 개인정보들이 한꺼번에 응축되어있고 누군가에 의한 단 한번의 해킹으로 폭넓게 활용될 수 있는 스마트폰은 해커들에게 아주 매력적인 타깃이 된다는 것이다.
이처럼 스마트폰의 폭발적 사용과 그에 따른 위협이 함께 증가하고 있는 가운데, 우리는 어떻게 대응해야 할 것인가? 이에 대한 해답은 한국 IBM Security 보안팀 기술리더 박형근 차장을 통해 진행 된 “모바일 보안 특강”에서 찾을 수 있었다.
모바일 운영체제 공격 급증
개인업무의 기반이 PC환경에서 점점 모바일 환경으로 넘어가면서 1인 디바이스 보급률 또한 증가되었다. 그만큼 많은 사람들이 사용하게 되었고 이미 크래커나 악의적인 공격자의 눈길을 충분히 끌만한 요소가 되었다. 아래 자료는 이를 증명이라도 하듯 공개된 취약점, 모바일 OS공격 코드의 꾸준하고 가파른 증가량을 보였다.
탈옥, 루팅하면 보안 위협에 무방비
최근 다양한 애플리케이션(앱)들이 마켓에 출현하면서, 많이 사용되는 앱을 타켓으로 악성코드를 전송한다든지, 운영체제 자체나 디바이스 드라이버, 통신망 등의 취약점을 이용하여 개인정보 유출을 의도한다. 또 모바일 해킹 툴, 악성QR코드 사용 이외에 경제적인 목적을 위해 유료 앱의 결제를 우회한다 든지, 가짜 모바일 앱을 통해 결제를 유도한거나 안드로이드 블렉마켓 등을 통해 위협을 가하고 있다. 실례로 유명 게임 앱앱인 “앵그리버드”를 흉내낸 각종 앱들이다.
더 나아가 아이폰은 운영체제에 걸려 있는 각종 제한을 해제하는 “탈옥”(Jailbreak) 과정을 거치면 위젯을 이용해 와이파이를 편리하게 끄고 켤 수 있으며 기본 글꼴을 변경할 수 있는 등 원래 상태에서 불가능했던 여러 조작이 가능해진다. 안드로이드 스마트폰 역시 이와 비슷한 “루팅”(Rooting) 과정을 거치면 부팅 화면 교체, 글꼴 교체도 가능하다. 심지어 스마트폰 이용에 필요한 롬 파일을 일반 이용자들이 제작한 커스텀롬으로 바꿀 수 있다.
하지만 이런 스마트폰 운영체제 개조는 다채로운 스마트폰환경의 사용만이 아니라 보안 위협도도 높아진다는 점에서 “양날의 칼”이라 할 수 있다.
기술에만 의존하면 반쪽 짜리 보안
현재 모바일 공격은 크게, 모바일 디바이스 자체에서 악성 웹 사이트 접속 후 해킹이 되는 경우인 자체 공격과 모바일 디바이스에서 악성 트래픽이 네트워크로 전파되어 다른 디바이스로 악성 트래픽을 전송하는 식의 공격 패턴을 보인다.
이와 같은 공격들은 모바일 네트워크 IPS, 모바일 VPN 그리고 기존 엔드포인트 관리와 모바일 장치 관리등 디바이스 자체의 관리 및 보호를 통해 보안이 이루어져야 한다. 더 나아가 기업 전용 앱스토어를 이용하거나 시큐어 코딩 기반의 모바일 앱 도입 및 개발이 필수적이다. 또 기업데이터의 모바일기기 다운로드를 금지하고 모바일의 계정 및 권한 관리나 M-PKI, mOTP, 생체인식 등 인증 및 접근관리에도 신경써야 한다.
박형근 차장은 보안에 있어 가장 중요한 점은 기술과 사람이 어우러져 진행되어야 한다고 전했다. 즉, 보안 적용 시 사용자가 익숙하고 인지하기 쉬우며 사용에 있어 저항감을 느끼지 않도록 점진적으로 진행되어야 함을 강조했다.
마지막으로 스마트폰 사용자를 위한 보안 가이드라인을 제시했다. 그 내용은 다음과 같다.
- USIM PIN번호 및 장치 비밀번호 등 이용 가능한 비밀번호를 사용하고 관리에 유의할 것.
- 중요 데이터는 스마트폰에 저장하지 말고, 불가피한 경우라도 반드시 암호화 할 것.
- 사용하지 않는 네트워크 서비스(Wi-Fi, 블루투스 등)는 끄고, 사용시에만 활성화할 것.
- 스마트폰 플렛폼 구조를 임의로 변경(탈옥, 루팅)하지 말고, 최신버전을 유지할 것.
- 최신 패턴을 유지한 백신프로그램을 반드시 사용할 것.
- 신뢰할 수 있는 앱만 다운로드하고 최신버전을 유지할 것.
- 보안이 강화된 웹 브라우저 설정을 유지하고, 신뢰성 있는 사이트만 방문할 것.
- 스마트폰 잠금설정은 반드시 해 놓을 것.
- 가능하다면, 원격에서 자신의 스마트폰을 관리 할 수 있는 서비스에 가입 및 이용할 것.
PC는 원래 순수하였다. 하지만 많은 사람이 사용하면 그 속에 있는 개인정보의 가치가 높아짐에 따라 악성코드들이 증가하고 여러 공격들이 생겨나기 시작했다. 스마트폰도 PC와 다를 것이 없다. 스마트폰은 이제 우리 생활에서 없어서는 안 될 가장 중요한 생필품 중 하나가 된 지 오래다.
그럼에도 불구하고 많은 우리는 단지 이용하기에만 급급하고 그 속에 녹아있는 자신의 개인정보에는 신경을 쓰지 못하는 경우가 대부분이다. 벌써 많은 위협들이 노출되어있고 현실화하는 상황에서 우리는 더 이상 단순한 사용자가 되어선 안 된다. 제시된 보안 가이드라인을 따르고 좀 더 주인의식을 가져 바로 그 손에 쥐어든 당신의 개인정보를 스스로 지켜야 할 때이다. Ahn
대학생기자 박선민 / 서울여대 정보보호학과
배는 항구에 있을 때 가장 안전하겠지만,
그것은 배가 존재하는 이유가 아니다.
더 많은 보안 이야기를 세상에 알리기 위해 나아가겠습니다! ;-D
'현장속으로 > 세미나' 카테고리의 다른 글
IT의 오늘과 내일 조명한 월드IT쇼 현장(2) (0) | 2012.05.28 |
---|---|
IT의 오늘과 내일 조명한 월드IT쇼 현장(1) (0) | 2012.05.27 |
잇달아 터지는 개인정보유출 어떻게 막을까 (1) | 2012.04.09 |
게임과 보안이 만나면? 현직 전문가의 생생 경험담 (2) | 2012.03.14 |
안전하고 편리한 금융 어떻게 해야 가능할까 (6) | 2012.02.13 |