▲ 대표적인 스마트폰인 리서치인모션의 블랙베리

만 달러 상당의 상금과 부상이 걸려있는 스마트폰 해킹 대회에 참여한 해커들이 단 한 개의 스마트폰도 뚫지 못해 화제다.

올해로 10주년을 맞은 CamSecWest 컨퍼런스의 일환으로 3일간 진행된 스마트폰 해킹 콘테스트 Pwn2Own에서 마지막 날인 지난 금요일(현지 시간)까지 단 한 개의 스마트폰도 해킹되지 않았다고 미(美) 경제전문지 포츈(Fortune)지 등을 비롯한 외신들이 보도했다.

3Com의 티핑포인트 컴퓨터 보안 사업부가 후원한 이번 콘테스트에 세계 최고의 해커들과 보안 전문가들이 참여해 애플 아이폰(iPhone), 리서치인모션 블랙베리(BlackBerry)를 비롯, 구글 안드로이드(Android), 마이크로소프트(이하 MS) 윈도우 모바일(Windows Mobile), 노키아 심비안(Symbian) 운영 체계를 구동하는 스마트폰 등 총 5개의 스마트폰을 해킹하기위해 경쟁을 펼쳤으나 단 한 명의 해커도 스마트폰 해킹에 성공하지 못 한 것이다. 물론, 이 스마트폰들에는 해커들의 시도를 좌절시키기 위해 적절한 조치가 돼있었다.

반면 웹 브라우저들은 스마트폰만큼 운이 좋지 않았다고 포츈지는 전했다. 올해로 3회째를 맞는 별도의 콘테스트에서 애플의 사파리(Safari)와 모질라의 파이어폭스(Firefox), MS의 인터넷 익스플로러(Internet Explorer, 이하 IE)의 보안 체제가 대회 첫날 뚫렸기 때문이다. 심지어 애플의 사파리는 콘테스트 전에 준비된 익스플로이트를 이용해 10초 되지 않아 뚫렸으며, 특히 MS의 IE8은 아직 공식 버전이 배포되기 전임에도 불구하고 보안에 취약하다는 것이 증명된 꼴이다. 반면 구글 크롬은 적어도 첫 날까지는 살아남을(?) 수 있었던 것으로 알려졌다.

그러나 이러한 결과만을 놓고 웹 브라우저는 보안에 취약하고 스마트폰은 보안이 뛰어나다고 말 할 수는 없다. 즉, 스마트폰이 현재는 해커들을 상대로 1승을 거둔 꼴이지만 언제든지 역전이 가능하다는 것.

이와 관련해 외신들은 스마트폰의 보안은 쓸만한 성적을 거둔 반면 브라우저들이 그토록 좋지 못한 결과를 얻었는지에 대한 이유는 분명하지 않다면서도 사파리를 빠른 시간 안에 해킹해낸 칼리 밀러의 “우리가 (스마트폰에 대해) 아직 모르는 것이 많다”는 말을 인용해 스마트폰은 최신 기기에 속하기 때문에 이에 대해 면밀한 연구가 이루어지지 않은 탓일 수 있다"고 전했다.

실제로 이번 콘테스트에서 스마트폰을 대상으로 한 공격 시도의 수는 그리 많지 않았던 것으로 알려졌으며 후원사인 티핑포인트도 블렉베리, 그리고 심비안 운영체제를 구동하는 노키아 스마트폰에 대한 공격에 대해서만 트위터(twitter, 美 소셜 네트워킹 마이크로 블로그)를 통해 언급했을 뿐이다.

또한 대표적인 IT보안 전문 온라인 매체 서치시큐리티닷컴(SearchSecurity.com)은 모의침투 업체 코어 시큐리티 테크놀로지(Core Security Technologies)의 연구자들로 구성된 팀이 이번 CamSecWest 컨퍼런스에서 모의 스택 오버플로우 취약점이라고 불리는 것을 이용해 아이폰, 구글 안드로이드, 윈도우 모바일에 침투하는 방법을 시연했던 것을 전하며 스마트폰이 공격에 취약하다는 것에는 의심할 여지가 없다고 단언했다.

아울러 모바일 폰들은 취약점 투성이며 다수의 취약점이 이들 세 종류의 스마트폰에서 발견되어 왔다는 보안 전문가들의 말을 전하며 다만 모바일 폰 시장이 세분화되어있기 때문에 공격자들이 이러한 장치들의 취약점을 익스플로이트해서 이익을 챙기기가 어렵기 때문에 스마트폰이 “비교적 안전하다”는 것이라고 보도했다.

한편, 코어 시큐리티 테크놀로지의 연구원인 알프레도 오르테가(Alfredo Ortega)는 아이폰의 보안 기능이 가장 뛰어나 침입하기 어려웠던 반면 윈도우 모바일이 가장 침입하기 쉬웠다고 말했다.

[김동빈 기자(foregin@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>