본문 바로가기

현장속으로/세미나

애플 앱스토어 vs 안드로이드 마켓, 어디가 안전한가

최근 반 년 간 IT 분야의 최대 화두는 '모바일' 혹은 '모빌리티' 이다.
기업은 모바일 오피스를 구축해 직원들이 언제 어디서든 업무를 지속할 수 있는 환경을 제공하려고 힘을 쏟는다. 개인 역시 집에서 PC를 하는 시대가 아닌 스마트폰 하나로 음악, 메일, SNS, 게임을 하는 시대로, PC의 영역이 점점 스마트폰으로 넘어가는 추세다.


이러한 최신 트렌드를 한눈에 볼 수 있는 세미나인 '스마트 모바일 시큐리티 2010'가 6월 23일 코엑스에서 열렸다. 이 자리에서 안철수연구소 신사업팀 전상수 차장은 '스마트폰 : 활용과 보안의 균형'을 주제로 발표했다. 다음은 요약문.





스마트폰 = !?

아침에 일어나 트위터로 이슈가 되는 뉴스를 살펴보고, 멀리 외국에 사는 친구의 소식을 접한다. 당일 날씨와 일정에 맞추어 의상을 코디해 준다. 집앞 버스 정류장에 몇 분 후 버스가 도착하는지 파악 후 출근길에 오른다.

버스 안에서 고객이 문의한 내용을 답변을 하며, 상사가 지시한 서류를 작성하며 도로 위의 시간을 보낸다.

아침 식사는 포스퀘어로 가입된 멤버십 카페에서 할인된 가격에 커피와 토스트로 간단히 해결한다. 회사 로비에 들어서자 자동으로 출근 체크가 되고, 업무용 컴퓨터가 켜지며, 사무실에 도착하면 바로 업무를 시작한다.

위와 같은 상황은 최근 스마트폰이 많이 보급된 국가에서, 평범한 회사원의 아침 일상을 써 본 것이다. 소셜 네트워킹과 사용자의 설정에 따라 같은 스마트폰을 사용하더라고 각양각색의 특징을 낳는 우리의 스마트폰 생활이다.
 
애플 앱스토어 vs 안드로이드 마켓

애플 앱스토어(http://www.apple.com/iphone/apps-for-iphone/)는 폐쇄형이다.
개발자가 앱(App)을 개발해 앱스토어에 등록 신청을 하면 애플은 이 앱(App)이 불량한지 아닌지를 판단해 앱스토에 등록한다. 또한 앱(App)을 만드는 소프트웨어 개발 키트(SDK) 역시 애플에 개발자 등록을 해야 다운로드할 수 있다. 앱 등록, SDK 다운로드, 앱 검사 등 모든 과정이 애플의 감독 아래 이루어지는 것이다. 
현 애플 정책 하에서는 다른 앱의 정보에 접근하여 악성코드나 바이러스를 체크하는 V3 Mobile 같은 안티바이러스 소프트웨어의 앱스토어 등록이 어렵다.


반면 구글 안드로이드 마켓(http://www.android.com/market/)은 개방형이다. 앱(App) 등록 시 구글의 허가가 필요치 않고 어떠한 앱(App)도 등록이 가능하며, SDK 역시 별도의 등록 절차 없이 누구나 다운로드해 자율적으로 자신의 아이디어를 개발하면 된다. 애플과 정책이 완전히 반대로 개발자와 사용자에게 판단을 맡기는 것이다. V3 Mobile 같은 안티바이러스 소프트웨어의 등록이 문제 될 것이 없다.


애플 앱스포어는 앱(App)의 품질에 대한 검수로 그 품질을 어느 정도 보장할 수 있어 보안 측면에서 매우 안정적이다. 하지만, V3 같은 앱을 등록하기 어려운 단점이 있다. 그러나 이것이 좋다 나쁘다 결정하는 것은 사용자의 몫이다.
 

어떠한 사용자나 개발자도 앱에 접근할 통로가 열려있기 때문에, 앱의 확산과 접근 가능성은 매우 높다. 하지만, 동시에 개인 정보를 노린 해킹, 악성코드, 바이러스에 노출될 위험성도 높아진다는 문제점이 있다.
 
스마트폰 보안

안철수연구소의 스마트폰 보안 솔루션


스마트폰 안에는 금융 거래를 이용할 때 사용하는 각종 인증서와 회사 메일(Exchange Server), SNS 접속 계정들이 고스란히 저장되어 있다. 개인적인 것뿐 아니라, 회사의 기밀 사안까지 접근이 가능한 환경이기 때문에 보안 사고가 발생했을 때 그 위험은 돈 몇 푼으로 해결하지 못할 것이다.


흔히 인터넷 뱅킹 보안 카드를 사진으로 찍어 들고다니는 경우가 있는데, 혹시 SNS로부터 유입되는 악성코드에 의해 스마트폰 내에 저장된 인증서와 보안 카드 사진이 둘다 유출된다면 계좌에 있는 돈은 어떻게 될까?

한편, SNS 이용자의 폭발적인 증가로 SNS 사용자를 겨냥한 악성코드도 증가하는 상황이다. 그리고 그런 악성코드는 대부분 개인 정보를 노린다. 현재 페이스북 계정 150만 개가 2.5센트에 시장에서 거래되고, 매일 400만 명 정도가 SNS 상에서 사기를 당한다.

이런 일련의 사실을 보면 보안은 결코 무시할 수 없는 게 현실이다.

 

알아두면 유용한 스마트폰 보안 10계명

<개인의 스마트폰 보안 5계명>
(1) 스마트폰 분실은 개인의 피해를 넘어 기업 정보의 유출로 이어진다! 분실 및 도난 방지에 늘 주의하자.

(2) 개인 정보, 금융 정보는 함부로 저장하지 말자! ID, 패스워드, 계좌번호, 보안카드 등의 유출에 주의하자.
(3) 애플리케이션을 받을 때는 신중하게! 사용자 평판을 확인하고 공인된 마켓에서 받을 것.
(4) 데이터 백업은 주기적으로! 저장 데이터는 언제든지 소실 가능성이 있음을 명심하자. 
(5) 스마트폰을 통한 피싱에 주의! 알기 어려운 Short URL 등을 주의할 것.

<기업의 스마트폰 보안 5가지>
(1) 유무선 단말 환경(FMC)의 구축 시 보안은 필수 - VPN, SSL
(2) 인증 절차를 통한 인가 사용자 확인 - ID 부여, OTP 활용, MAC 주소 기반의 인증 관리
(3) 업무 메일의 푸시 서버 운영 보안 - 푸시는 생산성을 높여주지만 보안성은 떨어짐. 방화벽 구축
(4) 데이터 보호를 위한 조치는 필수 - 스마트폰은 스크린같이 뷰어 기능으로, 실제 데이터는 클라우드에.
(5) 업무용 단말기의 제한으로 관리 효율화 - 스마트폰을 전부 업무용이 아니라 제한적으로 허용

모바일 오피스 환경에서 SNS를 허용해야 할까?

- 청중 질문 : 최근 대기업을 중심으로 모바일 오피스(Mobile Office) 구축이 활발하다. 한편 트위터, 페이스북 등 SNS 역시 이용이 폭발적으로 증가하는데, 모바일 오피스 환경에서 SNS를 허용해야 할지 말아햐 할지 고민이다.

- 전상수 차장 답변 : 사실상 SNS를 막지 못하는 상황이기 때문에 이용은 허용해야 한다고 생각한다. 다만 얼마나 보안과 관리에 관심을 쏟는냐가 모바일 오피스 환경에서 SNS가 보안 위협이 아닌 실질적인 마케팅의 수단이 되리라고 생각한다. 특히, Short URL(ex oit, surl 등)의 경우 이것이 어느 웹페이지에 링크되는지 짐작이 되지 않는다. 신뢰할 수 있는지 없는지 검증 절차가 필요하다. Short URL에 접속하는 순간 악성코드의 실행과 함께 여러 유형의 보안 사고가 발생할 수 있기 때문이다. Ahn