한국정보보호 학회는 오는 17일 ‘스마트폰 보안문제 진단 및 대책마련을 위한 토론회’를 삼성동 섬유센터 17층 스카이홀에서 개최됐다.

이날 토론은 스마트폰과 관련된 각계각층에 대한 의견을 들어본다는 점에서 의미를 찾을 수 있다. 특히 발제자들이 각자 다른 OS별 취약점을 설명해 많은 호응을 얻었다. 그러나 정작 토론에서는 각 OS별 특성에 대한 고려가 부족했다는 점에서 아쉬움이 전해지기도 했다.

이날 토론에 나선 패널들은 스마트폰에서 나타날 수 있는 보안문제로 △스마트폰 어플리케이션 관리와 보안 문제, △스마트폰 분실로 인한 보안 위협, △사용자의 변형이나 관리 소홀로 인한 문제, △스마트폰 뱅킹 보안 등을 제기했다.

어플리케이션 관리에 대한 보안 위협

가장 이슈가 된 부분은 스마트폰 어플리케이션에 대한 부분이다. 스마트폰의 장점은 인터넷에 쉽게 접근할 수 있다는 점도 있지만 스마트폰에서 기본적으로 제공하는 기능 외에 다양한 어플리케이션 설치해 이용할 수 있다는 장점이 있기 때문이다. 그러나 스마트폰 어플리케이션은 최근 들어 SDK를 개방해 누구나 어플리케이션을 만들도록 하고 있기 때문에, 보안 검증에 대한 우려나 나타나고 있다. 대부분 어플리케이션 마켓에서는, 등록되는 모든 어플리케이션에 대해 소스 코드 검증을 할 수 없어 완성된 어플리케이션의 동작에 대한 검증만 하고 있기 때문에 우려가 나타나고 있다.

류재철 충남대 교수는 “최근 스마트폰 별 앱스토어의 경향을 보면, 개발에 관련된 인증업무를 기반으로 한 신뢰인증을 통한 유통구조 지향하는 것으로 보인다”면서 “이 경우 의도적으로 악성코드가 숨겨진 것을 어떻게 검증을 하느냐에 대한 문제에 직면하게 된다”고 주장했다. 한 예로, 심비안에서는 심비안 사인드(Symbian Signed) 접속 인증서를 받아 개발자가 서명 한 후 올리는 방식을 이용하고 있지만, 이런 절차를 거치고도 악성코드가 올라온 사례도 전해지고 있다.

박언탁 소프트포럼 소장은 “폐쇄적인 등록절차를 거치는 아이폰 검수과정에서도 취약점은 존재한다”면서 “실제로 앱스토어 등록된 제품에서 악성 기능이 발견돼 취소가 된 사례가 있다”고 이야기 한다. 앱스토어에 등록되는 수많은 어플리케이션에 대한 검증을 사람이 하는데는 한계가 있기 때문. 물론 현재까지는 애플의 앱스토어나 심비안과 같이 오랜 기간 동안 어플리케이션이 축적된 어플리케이션 마켓에서 문제가 나타나고 있지만 어플리케이션 마켓의 활성화에 따라 모든 스마트폰의 문제로 제기될 수 있다.

조시행 안철수 연구소 상무는 “현재 스마트폰 어플리케이션에 대한 백신 개발이 가능할 것인가에 대한 논란이 있으며, 이는 바이러스나 웜, 트로이목마 및 가짜 백신과 같은 스파이웨어 등이 스마트폰에서 동작할 것인가에 대한 이야기로, 현재 상황으로 이런 모든 위협이 가능하다”면서 “문제는 백신을 만들어도 악성코드의 수집이나 악성 기능에 대한 판단에 어려움이 있을 수 있고, 3G를 이용할 경우 업데이트 데이터 요금을 누가 부담해야하는지에 대한 문제 등 해결해야할 부분이 많다”고 말했다.

스마트폰의 분실로 인한 보안위협

손안에 PC라고 불릴 만큼 스마트폰은 휴대성이 뛰어나지만 이로 인한 보안위협도 제기되고 있다. 특히 전문가들은 스마트폰의 분실로 인해 여러 보안 문제가 나타날 수 있다고 역설하면서 대책이 필요하다고 입을 모으기도 했다.

김승주 성균관대 교수는 “스마트폰은 작기 때문에 분실의 위험이 매우 높아, 저장된 데이터를 어떻게 관리해야 하는지에 대한 논의가 필요다”면서 “리서치 인 모션의 스마트폰인 블랙베리의 경우, 분실시 원격으로 데이터를 삭제할 수 있는 기능을 가지고 있기도 하다”고 말한다.

박원탁 소프트포럼 소장은 “기업에서 이용하는 스마트폰에는 여러 중요한 데이터가 저장돼 있기 때문에, 분실된 스마트폰의 경우에는 특정 부분에 대한 제어가 가능하도록 접근제어 방법에 대해 모색해야한다”고 역설했다. 

사용자의 변형이나 관리 소홀로 인한 문제

스마트폰은 휴대폰의 연장선상에서 바라보는 사용자가 많기 때문에, PC보다 보안 관리에 소홀할 수 있다. 아울러 사용자 임의로 기기를 변경했을 경우 보안 위협에 더욱 많이 노출될 수 있다. 특히 아이폰의 경우, 애플에서 막아놓은 기능 제한을 풀기위해 이른바 ┖탈옥(Jailbreaking)┖이라는 자가 해킹을 진행하는 사례가 늘고 있다. 그러나 현재 알려진 아이폰의 악성코드는 탈옥상태에서 감염될 수 있는 것으로 전해진다. 그리고 탁옥한 상태에서는 A/S 지원을 받을 수 없으며, 보안업데이트에 대한 지원도 받을 수 없다.

류재철 충남대 교수는 “스마트폰은 사용자에 대한 책임도 강조되고 있다”면서 “가령 애플의 경우 아이폰 사용자들이 임의로 탈옥(Jailbreaking)을 할 경우, 스마트폰에서 문제가 발생하면 사용자 스스로 책임을 지도록 하고 있다”고 말했다.

김승주 성균관대 교수는 “PC의 겨우 인터넷망만 연결 되지 않으면 해킹이 차단됐지만, 스마트폰은  블루투스나 WiFi 등 다양한 접근 방법이 있기 때문에 더욱 많은 위험에 노출돼 있다”면서 “따라서  보안프로그램이나 OS의 보안업데이트 주기가 짧지만, 스마트폰 사용자는 광범위 하기 때문에 PC사용자보다 보안 인식이 부족할 수 있어 이에 대한 홍보가 필요하다”고 말했다.

스마트폰 금융 보안

스마트폰을 이용한 금융서비스는 보안 문제 발생시 가장 큰 피해를 줄 수 있기 때문에 빼놓을 수 없는 이슈다. 아울러 스마트폰의 활성화로 인해 많은 은행들은 스마트폰 기반 금융 서비스를 준비하고 있지만 보안에 대한 우려로 인해 주저하고 있는 상황. 이에 따라 스마트폰 금융 보안에 대한 규제가 어떻게 적용될지에 대해 관심이 쏠리고 있다.

성재모 금융보안연구원 본부장은 “스마트폰과 같은 멀티 플랫폼에서의 보안 위협은 상상이상으로 이미 외국에서는 SMS나 피싱이 결합된 공격이나 금전적인 목적의 공격이 나타나고 있어 PC수준의 보안대책이 필요하다”고 설명하고 “금융감독원은 스마트폰 금융 보안에 대한 우려로 1월 7일 스마트폰 안전대책 발표했으며, 금융보안연구원도 스마트폰 어플리케이션 취약성 분석을 위한 신기술 기반 분석센터를 구축하고 전자금융 서비스 적용시 문제가 없는지 보안 적합성 테스트를 지원하고 모니터링을 강화할 방침”이라고 전했다.

그러나 스마트폰을 이용한 금융서비스에 대해 거창한 규제보다는 융통성 있는 정책과 가이드라인이 필요하다는 주장도 있었다.

이상용 한국마이크로소프트 부장은 “한국에서는 스마트폰으로 쇼핑몰과 인터넷뱅킹 결제에 있어 무용지물이나 다름 없다”면서 “기존의 스마트폰을 가지고 결제를 하는 환경은 대부분 소액결제인것을 감안해서 정책과 가이드라인을 만들어야한다”고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>