| 허술한 스마트폰 보안 “대처방법은?” | 2008.08.28 | |
스마트폰, 기업보안에 영향... 보안정책 수정 필요
비즈니스맨의 활동영역을 넓혀주는 스마트폰이 보안 취약성으로 인해 양날의 검이 되고 있다. 연간 출시되는 휴대폰 수는 이미 PC출시 대수의 5배를 넘어서고 있는 가운데, 휴대폰과 PDA기능을 접목한 스마트폰은 다양한 기능과 편의성으로 매년 기하급수로 늘고 있다. 특히 많은 기업들은 스마트폰을 통해 업무공간에 대한 제약을 없애고 있는 추세. 하지만 보안업계 전문가들은, 아직까지 기업용 업무 환경에서 스마트폰은 보안이 허술하다고 경고하고 있다. 현재로선 새로운 모바일 디바이스 사용을 효과적으로 제어할 수 있는 도구나 프레임 워크가 부족한데다가, 기업 네트워크에서 모바일 디바이스의 사용을 완전히 제어하기는 힘들기 때문이라고 덧붙인다. 심각한 수준의 스마트폰 보안 취약 스마트폰의 보안 취약성은 이미 많은 보안기업에서 여러 차례 경고된 바 있다. 시만텍의 인터넷 보안 위협 보고서에 따르면, 스마트폰을 대상으로 한 악성코드는 2005년 이후 꾸준히 증가하고 있다고 전하고 있다. 특히 대다수 스마트폰의 운영체제를 감염시킬 수 있는 플랫폼 범용 악성코드인 ‘Cardtrp’과 스마트폰용 전화번호부 유틸리티로 가장해 사용자의 다운로드 및 실행을 유도하는 ‘Pbstealer’를 비롯한 새로운 스마트폰용 악성코드가 다양한 변종을 이루며 등장해 보안을 위협하고 있다고 보고하고 있다. 또한 최근에는 스마트폰에 저장된 일정에서 중요한 이벤트를 도용하는 스눕웨어(Snoopware)나 프리미엄 SMS를 이용해 불법적인 이익을 얻는 프라임웨어 ‘ Pranking4Profit’과 같은 모바일 스타일의 공격들도 끊이지 않고 있다. 이런 보안 위협은 기업 로그인 ID와 암호 뿐 아니라 개인 암호, 은행 계좌 정보, 신용카드 또는 주민등록번호와 같은 중요한 정보를 몰래 얻어내기 위해 악의적으로 만들어진 것일 수 있다고 보안관련전문가는 경고하고 있다.
결국, 스마트폰에서 다양한 애플리케이션을 쉽게 설치할 수 있다는 장점이 오히려 바이러스와 같은 멀웨어에 감염될 확률을 높이고 있다는 것. 더불어 편리한 무선 접속을 위한 Wi-Fi나 블루투스 역시 웜을 설치시키기 위한 수단으로 이용되고 있는 상황이다. 기업 스마트폰 보안 “어떻게 지킬까?” 이런 위협 요소들이 악의적인 목적으로 등장했을 가능성을 비춰본다면, 기존처럼 네트워크 환경에서만 보안을 유지하는 것만으로는 안전하지 못하다. 가령 스마트폰 사용을 포함한 광범위한 관점에서까지 보안정책을 수정할 필요가 있다. 보안업계 전문가들은 보안의 강화를 위해서는 스마트폰 사용자에게 대해서도 사용지침이 필요하다고 말한다. 즉, 모바일 디바이스 사용에 대한 직원 행동강령 및 모바일 디바이스에 보관할 수 있는 기업정보 유형에 대한 명확한 사용지침을 마련해야한다는 것. 예를 들어 신뢰할 수 있는 사이트에서만 모바일 애플리케이션을 다운로드하게 하고, 모바일 디바이스에 대한 엄격한 암호 정책을 사용하며, 데이터 손실을 방지하기 위해 정기적으로 디바이스를 동기화하도록 권장해야 한다고 말한다. 또한 스마트폰을 이용해 기업 네트워크에 연결할 경우 VPN(가상 개인 네트워크) 클라이언트를 사용하도록 권장해야한다. VPN을 사용하면 부적절한 데이터 전송뿐아니라 침입자가 무선으로 접속할 수 없도록 방지할 수 있기 때문. 또한 적합한 데이터 암호화 및 인증 솔루션을 설치해 외부 사용자가 중요한 데이터를 추출하기 어렵도록 만들어야 한다. 중요한 정보는 거의 해독이 불가능하도록 디바이스에 권장되는 128비트 암호화키를 이용하는 것이 바람직하다. 더불어 기업 데스크탑 및 노트북을 스마트폰과 동기화하기 전에 최신 보안패치가 이용되고 있는지 확인해야한다. 마지막으로 네트워크에 연결된 무선 및 유선 디바이스를 식별하는 기술을 통해 적절한 권한이 있는 스마트폰에게만 네트워크 애플리케이션에 액서스 할 수 있도록 제한하는 것이 좋다. [오병민 기자(boan4@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
