9일 한국CSO협회(회장 이홍섭)가 주최하고 행정안전부(장관 이달곤) 후원으로 개최된 ‘스마트폰 보안위협 대응전략 워크숍’에서는 허영일 NSHC 대표가 지난해 국내에 출시돼 스마트폰 시장에서 승승장구하고 있는 아이폰 운용체제(OS)의 취약성을 소개하는 한편 이 취약점을 이용해 아이폰을 직접적으로 현장에서 해킹 시연을 보여주고 그에 대한 프라이버시 문제를 생각해 보는 강연을 가져 주목된다.

우선 허영일 대표는 “지난해 순정 폰(None Jail Breaking) 상태의 아이폰의 보안 결함이 40개 이상 발표됐으며, 해당 취약점에 대해서 대부분 애플 측에서 공식적으로 패치를 한 만큼 아이폰에 대한 보안위협 이슈가 있다”고 말하고 “최근에는 아이폰의 보급이 급속도로 이루어지면서 관련 보안 위협들이 크게 주목받는 가운데 주요 금융권에서는 스마트폰 전자금융서비스를 준비함에 따라 스마트폰의 보안성 강화를 위한 보안대책들이 요구되고 있다”고 지적했다.

특히 이날 허영일 대표는 아이폰 OS의 보안취약점으로 “최근 증권사의 MTS, 업무 환경 혁신을 위한 스마트 오피스, 스마트폰 전자결재 서비스 등이 보안에 대한 대책이 마련되지 않은 상태로 서비스가 급격하게 확산되고 있다”고 말하고 “아이폰·아이팟의 보안취약점은 발견됐지만, 벤더의 공식 패치가 없는 상황에서 올해 이미 아이폰·아이팟의 제로데이 취약성 발표가 증가하고 있으며, 해외 사이트에서 취약점에 대한 공격 코드 및 프로그램이 배포되고 있다”며 설명하고 순정 상태의 아이폰 최신 버전 사용자에게 크래쉬(Crash) 공격(DOS)을 현장에서 직접 시연해 아이폰에 특정 메시지가 뜨는 경우에는 어떠한 실행도 이루어지지 않는 모습을 보여주었다.

이어 허영일 대표는 이러한 아이폰의 보안취약점은 “아이폰의 확산과 더불어 다양한 어플리케이션 출시로 인해 프라이버시 노출 포인트가 증가하고 있다”며 “아이폰의 급속한 보급·사용으로 대다수의 기업들은 개인정보를 이용한 마케팅 전략을 더욱 많이 이용할 것이기에 개인 사생활 침해에 대한 부분이 사회적 이슈로 대두될 것”이라고 전망하고 프라이버시 정보 노출 시연을 보여 주었다.

특히 허영일 대표는 스마트폰 사용자의 개인정보를 탈취해 메일로 보내는 프로그램을 제작해 이를 통해 추출·탈취할 수 있는 개인정보인 이메일 계정·주소, WIPI 접속 정보, 위치 정보 등 개인정보들을 탈취하는 모습을 직접 시연을 통해 보여 주었다.

한편 이날 강연을 통해 허영일 대표는 이러한 해킹기술들은 “포렌식 분야 등에서 활용하는  긍정적인 측면도 가지고 있지만 개인에게 있어서는 이러한 정보의 유출은 프라이버시 측면에서 생각해 볼 필요가 있을 것”이라고 말하고 최근 방통위가 발표한 ‘스마트폰 이용자 10대 안전수칙’을 소개하는 한편 “개인적인 사견으로는 아이폰 제조사인 애플 측에서는 앱스토어를 통해 전파되는 어플리케이션 프로그램 보안성 검증이 강화돼야 할 것”이라고 주장했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>