• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[SIS 2009]“모바일보안, 디바이스 예방책만으론 부족” 2009.06.12

ISP, 자율적 가이드라인 만들어 실행할 수 있는 환경 조성 필요


최근 시장조사업체인 인스탯(In-Stat)은 오는 2013년에는 스마트폰이 전체 휴대폰 판매량의 20%를 차지할 것이라고 예측한 바 있다. 이는 현재보다 두 배 규모로 성장할 것으로 예측한 것으로, 그러한 수요 확대는 자연스레 그에 따른 보안위협을 수반할 수밖에 없다. 인스탯 역시 ‘스마트폰-주류로 편입 중’이란 보고서를 통해 이와 같은 내용을 발표함과 아울러 스마트폰의 급격한 성장에 따른 보안위협에 따른 문제를 지적하고 있다.

 

 

인스탯은 특히 기업에서 업무 처리로 스마트폰을 사용하는 경우 적합한 보안장치를 확보하지 못할 위험이 있다고 봤는데, 11일 한국정보보호진흥원이 개최한 ‘제14회 정보보호 심포지움’에서 이기혁 SK텔레콤 팀장이 ‘모바일 시큐리티 현황과 통신사업자 대응 방안’이란 주제로 펼친 강연은 현 국내 스마트폰 보안현황 등을 파악하는 데 주요한 역할을 했다는 평이다.


이날 이기혁 팀장 역시 인스탯의 예상과 지적처럼 “스마트폰 시장에서 하드웨어 레벨의 장치(Device), OS 레벨의 플랫폼과 애플리케이션뿐만 아니라 서버/네트워크 인프라를 포함해 스마트폰 서비스 아키텍쳐로 인식하고 보안 위협요소와 보안대책을 분석할 필요가 있다”고 지적했다.


또한 이기혁 팀장은 “스마트폰은 성능 및 기능 향상과 모바일 인터넷 활성화에 따라 PC에 근접한 기능과 성능으로 진화하고 있으며 이러한 특성들이 결합돼 유선위협 이상의 위협에 노출될 수 있다”고 말하고 “특히 이러한 스마트폰의 보안위협으로 개인 사용자에게 직접적인 피해가 따르는 만큼 그에 대한 대비가 필요하다”고 강조했다.


즉 이기혁 팀장은 스마트폰은 전화번호 위주의 간단한 주소록 등을 제공하는 기존 기능폰에 비해 기술·성능면에서 월등히 발전한 모습을 보이는 스마트폰은 보안위협 수준면에서 현재의 개인PC와 거의 비슷할 것이라고 예상했다.


아울러 서드파티 부분의 마켓플레이스 기반 서비스에 주목하며 ‘로아 그룹 2009 강연 자료’를 인용해 설명한 이기혁 팀장은 “애플사의 앱 스토어가 성공적으로 런칭되면서, 노키아·RIM·구글·MS 등 글로벌 스마트폰 제조사 및 플랫폼 사업자들이 서드 파티가 참여 가능한 오픈 마켓플레이스를 오픈하고 있다”며 “SK텔레콤 역시 이를 준비하고 있으며, 하반기 내로 앱 스토어를 상용화 할 계획”이라고 밝혔다.


그리고 이날 강연에서 이기혁 팀장은 “스마트폰의 이용 확대는 모바일 망 개방 및 위피(WIPI) 의무화 해제와 함께 무선 인터넷 환경에서의 개인정보유출 위험을 더욱 증대시킬 수 있다”고 말한 뒤 “오픈마켓의 경우, 특정 이통사로 한정되지 않고 전국적 피해 확산이 우려된다. 오픈 플랫폼의 경우에는 표준 오픈 플랫폼상의 악의적 바이러스 제작 기회가 확대될 우려가 있다”고 지적했다.


특히 스마트폰 보안위협 중 이기혁 팀장은 개인정보유출에 주목하며 “초기 바이러스 및 웜의 형태에서 최근에는 단말기 내의 개인정보를 탈취하거나 금전적 이득을 목적으로 트로이목마 형태로 빠르게 변화하고 있다”고 밝힌 후, 언더그라운드 해커들을 통해 입수했다는 개인정보유출 악성코드들인 피비스틸러(PbStealer)·플렉시스파이(FlexiSpy)·콤워리어(Commwarrior)·스미싱(SMS+phishing)·인포잭(InfoJack) 등을 소개했다.


이어 이기혁 팀장은 “기존 기능폰 환경에서는 셀룰러 와일리스 네트워크(Cellular Wireless Network)를 통해 대부분의 서비스가 이루어졌기 때문에 개인정보의 흐름을 분석하고 통제하는 것이 쉬웠지만 스마트폰은 이러한 상황을 더욱 복잡하고 어렵게 만들 수 있다”고 진단하고 “스마트폰이 개별 단말들이 가지고 있던 다양한 통신 인터페이스를 동시에 제공하면서, 개별 단말들이 내포하고 있던 보안위협 외에 여러 통신 인터페이스 통합으로 인한 새로운 형태의 보안위협의 등장이 예측된다”고 말했다.


한편 이날 강연을 통해 이기혁 팀장은 “오픈 플랫폼과 오픈마켓으로 인해 발생하는 보안 문제는 단순히 디바이스 자체에 대한 대응책과 예방책으로는 완전하게 해결할 수 없는 사안”이라며 “서비스 제공 주체(관련 업계)가 자율적으로 가이드라인을 만들고 이를 실행할 수 있는 환경을 조성하는 것이 필요하다”고 짚었다.

[김정완 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>