| 스마트폰 보안, 무엇이 문제이고 그 해결책은? | 2010.04.01 |
KAIST 전기 및 전자과 학ㆍ석사 졸업 한국전자통신연구원(ETRI) 정보보호연구본부 근무 현 SKT IT 보안팀 매니저 백광호
서강대학교 대학원 경영학과 박사과정 수료 그래텍 온라인게임퍼블리싱사업부 마케팅팀장 현 안철수연구소 제품기획팀 차장 전상수
모바일 보안은 관련 업계가 다같이 힘 모아야 가능하죠 VS 스마트폰 보안의 한국형 글로벌 표준 만들어야죠
전상수 요즘 스마트폰이 선풍적 인기를 끌고 있는 가운데 개인적으로도 이를 사용하고 있다. 스마트폰을 사용하면서 라이프스타일이 바뀔 만큼 다양하게 잘 활용하고 있다. 나와 같이 대부분의 사람들에게도 스마트폰은 편리하게 사용되고 있다. 하지만 편리한 만큼 이를 잃어버리거나 누군가 가져간다면 위험한 부분도 있을 것이다.
백광호 스마트폰은 컨버전스측면에서 우리의 라이프 스타일을 많이 변화시키는 것은 사실이다. 예전에는 각각의 업무를 하는데 필요한 보조 기기를 가지고 업무에 활용했는데 현재는 이러한 것들이 모바일 폰으로 대체되는 상황이다. 이는 보안적인 측면에서 이전보다는 보안 리스크가 더 커질 수 있다. 즉 현재와 같이 단말기 중심의 업무 이전에는 개인정보보안의 리스크가 있는 기기가 여러 개로 분산되어 보안 리스크도 분산이 되었지만 지금은 스마트폰 때문에 개인의 단말기로 모든 업무가 가능한 시대가 돼서 앞으로는 통합 단말기로 발전할 것이다. 이렇게 개인 휴대 단말기가 발전할수록 보안 리스크가 더 커질 것이며 보안이슈도 증가할 것이다.
전상수 스마트폰이 편리하지만 보안적인 부분에서 리스크가 크다. 회사에서도 스마트폰을 어떻게 업무적으로 연결시킬까 하는 생산성 측면을 많이 연구하고 있다. 그리고 자연스럽게 이와 연관되는 보안도 많이 고민하고 있다. 스마트폰 보안에서 가장 큰 우려는 잃어버리는 것이다. 누군가가 내 스마트폰을 가져갔거나 잠시 빌려가서 내 개인정보들을 훔쳐보거나 뻬낼 수 있기 때문에 이용자들은 기본적으로 보안을 해야 된다. 이렇게 개인적인 보안 부분에서 출발하지만 나중에는 최근의 이슈인 사회공학적인 측면까지 고려해야 한다.
백광호 스마트폰 사용자의 입장 외에 다른 입장에서 의견을 이야기하면 기존 네트워크나 인프라 시스템은 개별 보안 솔루션들로 보안을 하고 있다. 그러나 스마트폰은 기존 PC와 네트워크와는 다르게 어떤 시스템이나 다른 곳에서 감염되어 기존의 인프라나 다른 시스템, 네트워크 등에 감염시킬 수 있는 매개체가 될 수 있다. 이러한 이유 때문에 스마트 폰은 별도의 보안을 강구해야 한다. 스마트폰, 초기부터 보안대책 마련해야 전상수 스마트폰과 기존의 일반 폰을 비교하면 기존의 폰은 통화 내역과 주소록 정도가 개인정보에 해당하는데 스마트폰은 위치기반 서비스를 비롯해 여러 가지 서비스가 제공되면서 훨씬 더 많은 개인정보를 가지고 있고 이에 대한 보안 위협도 크다. 최근에는 스마트폰 사용자들이 애플리케이션을 다운 받아 게임도 많이 하고 개인정보와 관련된 PIMS(Personal Information Management System:개인정보 관리시스템)나 이메일 같은 것을 많이 사용하고 있어 보안이 더욱 필요하다.
백광호 동의한다. 그리고 이것은 다른 측면인데 보안이라고 하는 것은 어떤 시스템 등이 개발되기 이전에 보안대책이 임베디드되면 가장 좋을 것이다. 그러나 지금까지 대부분이 시스템이 먼저 개발되고 인프라가 구축되고 그리고 나서 보안 리스크가 발생하면 대책이 마련되는 상황이다. 하지만 스마트폰과 같은 모바일 환경은 이제 출발점에 서 있기 때문에 이러한 상황에서 시스템 등을 설계하는 사람들이 설계단계부터 보안을 고려해 임베디드시키면 될 것이다. 하지만 스마트폰은 활용적인 측면이 더 커서 지금 당장 현실화되지 않은 보안 리스크때문에 스마트폰 개발자나 서비스 제공자측에서 보안을 위한 것을 추가적으로 개발하거나 인프라 구축에 투자하는 것은 사실상 어렵다. 스마트폰의 보안 위협이 아직 현실화 되지는 않았지만 곧 현실화 된다면 그때 뒤늦게 대책이 마련될 것이다. 하지만 그 때는 이미 관련 서비스 등이 모두 성숙된 후여서 이전의 과오를 다시 밟아갈 것이 우려된다. 이에 현실적으로 어렵겠지만 안랩과 같은 전문 보안 기업에서 선도적으로 시스템 설계단계부터 보안대책을 마련할 필요가 있다.
전상수 스마트폰은 PC와 비교하면 보안에 대한 막연한 공포를 갖고 있다. 하지만 약간 냉정하게 무엇이 위험하고 무엇이 유용하게 활용할 수 있는 것인지 먼저 파악하는 것이 필요하다. 스마트폰을 처음 사용하게 되면서 사람들이 가장 많이 생각하는 것은 마켓에서 여러 가지 애플리케이션을 다운 받아 사용하고 싶다는 점이다. 그러나 애플리케이션 스토어가 새로운 애플리케이션의 매개체가 될 수 있지만 이러한 인프라에 대해서 어떻게 보안을 고려할 것인가도 중요한 문제다.
사용자측면에서 얼마나 많은 애플리케이션이 있고 이들이 어떤 유용한 정보를 주는지가 중요하겠지만 보안을 하는 입장에서는 이 애플리케이션이 안전한지, 이를 믿고 사용할 수 있는지가 중요하다. 이러한 부분은 사용자와 보안을 하는 사람, 그리고 애플리케이션 스토어 운영자가 고려해야 할 것이다. 개인적으로도 애플리케이션을 많이 받아서 사용하고 있지만 보안 업계에 종사하고 있는 만큼 보안에도 많은 경각심을 갖고 다운받고 있다. 하지만 일반인들은 이러한 부분이 어렵고 지식이 부족해 전문가적인 서비스를 제공하는 것도 필요하다. 특히 애플과 달리 안드로이드는 마켓 자체가 오픈되어 있고 플랫폼 자체가 오픈되어 있기 때문에 앞으로 어떤 방향으로 갈지 많은 관심이 쏠리고 있다.
백광호 지금 모바일 애플리케이션 유통에 대해 언급했는데 우리 회사(SK텔레콤) 같은 경우는 유통과 채널위주로 모든 것을 오픈한 상태이다. 앞서 언급한 것과 같은 내용들이 사업초기이다 보니 보안을 강화하는 것 자체가 비용과 타사와의 경쟁력부분에서 걸림돌로 작용할 수 있기에 조심스럽다. 또 하나는 애플에 비해서 안드로이드라든지 우리 같은 회사는 멀티 플랫폼을 지원하고 있다. 하나의 플랫폼보다 멀티 플랫폼에서 그런 보안 취약성을 점검하는 것 자체가 아직 명확한 시스템이 없기 때문에 전문 업체에서 적당한 솔루션을 개발하면 우리는 이를 사용해서 보안을 강화해야 한다. 하지만 솔루션의 비용이 높아질 수 있기 때문에 이를 수용하기는 쉽지 않다. 이는 보안이 중요하지만 비용을 고려해 야 하는 측면을 지니고 있기 때문이다. 이 같은 문제를 잘 해결해야 하는데 이 해결책 자체를 보안업체에서 이전과 비교해 효율이 좋고 비용이 적게 드는 시스템을 개발하는 방향으로 진행되었으면 좋겠다.
전상수 스마트폰 쪽에서는 폰 자체 디바이스에 대한 이야기도 많이 하지만 에코시스템이라고 하는 환경적인 측면도 중요하다. 사용자들이 여러 가지 보안적인 부분을 고려하는 시스템이 돼야 한다. 이러한 것들에 대한 사전적 대응이나 검증 시스템이 필요하고 사용자들은 이러한 걱정 없이 자유롭게 사용할 수 있는 환경을 결국에는 사업자들이 제공해야 한다. 에코 자체가 환경적인 의미가 있지만 그린과 클린에 맞추는 방향이 필요하다고 생각한다.
백광호 맞는 말이다. 방송통신위원회나 정부기관에서 악성코드 등, 모바일 리스크에 대한 공동 대책 방안을 마련하기 위해 여러 조직을 운영하고 있는데 여기에 단말기 업체와 서비스 제공업체, 이동통신사 등이 많이 참여하고 있다. 모바일 환경을 놓고 보면 모두가 힘을 합쳐서 시너지를 내야 한다. 보안측면에서 보면 모바일 보안 리스크 자체는 혼자 해결할 수 있는 문제가 아니라 관련업계가 다 같이 힘을 모아야 시너지를 낼 수 있다고 생각한다. 우리도 이에 대해서 기존 인프라나 시스템의 보안이 모바일 때문에 많이 노출될 것이라고 알고 있기 때문에 향후 이와 같이 진행되면 적극적으로 많은 도움을 받아야 한다. 이에 우리도 백신업체들과 직접적인 공조체제를 구성하려는 노력을 내부적으로 많이 하고 있다.
또 보안을 하는 입장에서 보면 보안 솔루션이나 여러 제도를 만들어도 이를 사용하는 사람들이 보안을 잘 모르거나 정책을 잘 지키기 않는다면 하나의 장치로 보안을 책임지려는 것에는 한계가 있다. PC는 상대적으로 보안에 대한 인식을 많이 가지고 있는데 스마트 폰은 이제 처음 시작하는 것이기 때문에 아직 보안에 대해서는 많이 전파되지 않았다. 이러한 것들도 에코 시스템 내에서 일반인들 대상으로 보안 의식을 고취하는 노력도 좋은 방안이 될 것이다. 이를 위해서 제도적으로 시스템을 만드는 것도 중요하지만 보안 의식을 높이는 교육과 프로그램을 만들어 제공하는 것이 더 중요하다. 이에 보안 전문 업체의 많은 도움이 필요하다고 본다. 스마트폰 위협, 다소 과장된 부분 있다 전상수 지금 국민들의 보안의식 고취를 언급했는데 최근 방송통신위원회에서 발표한 스마트폰 보안 가이드라인에 대한 반응을 보면 일반인의 보안 의식을 엿볼 수 있다. 그 당시 사람들의 반응은 “스마트 폰도 보안이 중요하고 잃어버리면 큰 일”이라는 경각심을 일으키는 부분도 있었지만 한편으로는 “PC에서 하는 보안 이야기랑 똑같다. 이게 뭐냐”라는 반응도 있었다. 이를 잘 생각해보면 사람들은 스마트폰이 PC와 같은 수준의 높은 레벨이라는 것을 이해 못하는 부분이 있는 것 같고 또 스마트폰의 활용도를 많이 생각하지만 그 이면에 대한 홍보나 가이드, 그리고 교육이 필요하다고 생각한다.
얼마 전에도 언론을 통해서 스마트폰 보안에 대해 집중적으로 보도되었는데 한 대학의 교수를 통해서 최근 이슈인 스마트폰 해킹에 대한 시연을 보여줬다. 하지만 이 시연을 통해 언론에 발표된 부분은 현재의 실제적 위협의 하나이기보다는 이러한 것도 가능하니 위험하다고 알리는 것에 목적이 있다고 생각한다. 일반 사람들은 이러한 뉴스나 언론 보도를 보면 당장 이런 내 스마트폰에 문제가 있는 것은 아닌지, 또 당장 어떤 조치를 취해야 한다고 생각하는데 위험성을 알리는 부분을 조금 더 포장한 것으로 본다. 이에 대해서 어떻게 생각하는지.
백광호 이번 언론에 보도된 실험은 악성코드 실행 파일을 첨부해서 이를 설치하도록 하는 기존 해킹의 한 패턴인데 이는 단말이나 플랫폼의 보안 문제가 아니라 사용자들의 부주의 문제일 수도 있다. PC 같은 경우 회사의 보안 인프라에서 첨부파일을 실행하기 전에 경고 창을 뛰우고 첨부파일 자체가 전달되지 않도록 하는 등의 사전 예방 조치가 실행되고 있다. 모바일에서도 이와 같은 사례가 발생한다면 이를 쉽게 막을 수 있는 해킹 방법일 수 있고 실험에서 특정 플랫폼은 설치가 됐다, 안됐다는 이야기가 나오는데 실험을 할 때 실행 코드 자체가 모든 플랫폼에서 설치되는 것인지, 아닌지에 대한 실험 내용의 검증이 필요하다고 본다.
좀 더 정확한 실험이 되려면 아이폰 실행파일과 윈도우 모바일 폰의 실행파일 등 모든 실행 파일의 플랫폼이 달라야 된다. 그리고 이 실험 파일이 멀티 실행 파일로 실험을 했는지 아니면 실제로 윈도우 모바일 실행 코드를 첨부해서 설치했는지도 파악해봐야 알 수 있다. 만약 이것이 윈도우 모바일 폰의 실행 코드라면 아이폰에서는 실행되지 않을 것이다. 이러한 내용들은 보도된 기사내용만 보고 자세히 알 수가 없고 실험 자체가 앞서 언급한 것과 같이 약간의 피해가 있다는 메시지를 주기 위해 과장된 측면도 있는 것 같다.
이러한 해킹 방법보다는 지금은 원천적으로 차단할 수 있는 플랫폼이나 서비스의 보안 취약점의 원천 제거에 초점을 맞추는 시도가 적절하다고 본다. 하지만 이러한 보안 취약점은 아직 많이 알려지지 않았지만 언젠가는 알려지고 노출될 것인데 이번 실험과 보도는 보안에 대한 리스크를 보여주는 목적에는 맞지만 내용적인 부분에서 약간 과장되게 보여준 부분도 있기 때문에 오히려 없는 것을 과장하는 것이 아니냐. 혹은 스마트폰 보안도 과장된 것 아니냐는 역풍을 맞을 수도 있다는 생각이다.
전상수 이번 실험은 개별적인 해킹 기법에 대한 실험보다는 사회공학적인 기법에 사람들이 잘 속는다는 것을 보여줘야 한다고 생각한다. 한 예로 최근 아이티에 구호기금을 보내자는 이메일 등이 이러한 사회공학적 기법의 해킹의 수단으로 사용되고 있는데 사용자들은 이를 잘 판단해서 보안의식을 갖고 선택적으로 해야 한다는 것에 기사의 초점을 맞추는 것이 좋을 것 같다. 즉 특정 플랫폼과 특정 단말에 대한 해킹 시연이기 보다는 이러한 보안 의식을 고취할 수 있는 방향의 실험과 기사내용이 맞는 거 같다.
스마트폰이 PC와 같다고 하지만 플랫폼에 대한 의존도가 높다. 이럼에도 불구하고 마치 스마트폰이 일반 PC와 같다고 하는 것은 오해를 불러올 수가 있다. 스마트폰을 이용해서 금융거래를 할 때 금융감독원의 지침에는 PC 수준의 보안 레벨을 적용하라는 내용이 있는데 이는 공인 인증서를 사용한다든지, OTP(One Time Password), 개인에 대한 ID와 PW, 악성코드 등에 대한 대비를 해야 한다는 것이다.
허나 이러한 것들을 주의해야 하는 것은 맞지만 구체적인 방법을 PC처럼 언급하는 것은 오히려 금융거래와 관계된 애플리케이션의 시장 진입에 방해가 될 수도 있다는 생각이다. PC에서 우리나라는 마이크로소프트의 윈도우를 많이 사용하고 있고 대부분의 인터넷 브라우저가 익스플로러인 관계로 Active X를 통해 보안 취약점이 많이 발생했지만 이와 동일하게 스마트폰에도 적용해야 한다는 것은 시장의 활성화에는 많은 도움이 되지 않을 것이다. 애플리케이션에 대한 보안 수준은 웹브라우징 방식의 서비스를 제공할 때 보안 수준에 대해서 권고 수준으로 좀 더 창의적이고 정책적인 이야기가 돼야 구체적인 가이드가 나온다. 아직은 시장을 형성하는데 있어서 시기상조이며 구체적인 위협보다는 이것이 하나의 규제처럼 작용하면 시장 활성화에 방해가 된다.
백광호 기존의 PC를 이용해 금융거래를 하려면 은행은 금융감독원 등의 지침에 따라 자사가 제작 배포하는 보안 모듈을 Active X를 통해 설치하고 금융 업무를 해야 한다. 만약 내가 거래하는 은행이 5곳이면 각각 5개의 보안 모듈을 설치해야 한다. 이는 보안 솔루션 자체가 제 각각이고 정책적으로 관련 지침과 가이드만 있기 때문에 개별적으로 구현해서 진행하는 것이다. 허나 스마트폰에서는 이제 시작하는 입장이기 때문에 PC처럼 각 은행별로 보안 모듈을 설치하는 것보다는 오히려 금융감독원 등에서 정책적으로 보안 플랫폼이나 모듈을 공통적인 것을 만들어 주면 훨씬 더 효율성이 높고 서비스 제공자도 공통적인 것 하나로 사용할 수 있어 보안 취약점에 대해서도 함께 대응할 수 있다. 하지만 이를 별도로 만들게 되면 투자와 보유를 각각 별도로 해야 하기 때문에 비효율적이다.
그래서 스마트폰은 시작하는 단계인 지금 PC의 과오를 다시 범하지 말고 하나의 공통된 플랫폼으로 만들면 좋을 것이다. 이에 대한 연구가 필요하다면 정부에서도 지원해주거나 이를 주도적으로 진행할 수 있고 정책뿐만 아니라 실제 그 방법 자체도 통일이 된다면 효율성이 있고 각 은행들은 실제 서비스의 제공과 구현에 있어서 편리하게 될 것이다. 또 사용자 입장에서도 하나의 모듈을 설치하면 모든 은행거래에서 안전하게 보안을 유지하며 사용할 수 있을 것이다.
전상수 보안회사의 입장에서 정부의 정책적인 방향이나 어떤 표준화된 내용이 적용된다면 새로운 시장일수도 있지만 표준을 따른다면 또 하나의 새로운 장벽이 될 수도 있다. 기존 한국형 무선인터넷 플랫폼 표준 규격인 WIPI(Wireless Internet Platform for Interoperability)가 탑재되면서 보안이슈가 없었던 것은 이 WIPI 자체가 폐쇄적이었기 때문이기도 하다. 이같이 스마트폰 시장에서도 어떤 표준을 따른다는 것이 매우 중요한데 표준을 따라야 한다면 글로벌 표준을 따라야 되고 이것이 국내의 사업자들이 해외 진출에 있어서 좋은 기회가 될 수 있다. 단기적으로 정부가 표준안을 내놓고 이를 사용하라는 것은 시장을 만드는데 도움이 되는 것 같지만 장기적으로 보면 Active X와 같이 시장에서 더 이상 발전하지 못하는 상황이 될 수 있다는 걱정이 든다.
특히 글로벌 표준을 따른다는 것은 웹 표준과 통신분야의 표준과 같이 알려져 있는 규약들이 있다. 해외에서도 보면 스마트폰 시장은 오래됐는데 모바일에서 쇼핑이나 거래를 할 때 Active X와 같은 형태가 설치되는 것이 아니라 웹 표준 방식을 따라서 ID와 PW를 입력하고 서비스를 이용하도록 되어 있다. 하지만 우리나라는 이러한 서비스가 되어 있지 않아 이러한 것들이 글로벌 시장으로 진출하는데 있어서 장벽으로 작용할 수 있다.
백광호 글로벌 표준 자체가 스마트폰이라는 환경으로 본다면 스마트폰의 글로벌 표준 같은 것은 지금 만들어져야 하는 시기이고 이를 우리나라가 먼저 만들게 되면 우리나라의 표준이 글로벌 표준을 선도할 수도 있다. WIPI와 같은 우리만의 표준이 후에 해외 진출 장벽이 돼서는 안될 것이다. 아이러니하게도 WIPI때문에 기존의 단말들은 보안에 취약하지 않고 안정적이었다. 아이폰도 폐쇄적인 환경이기 때문에 우리가 얘기하는 오픈 플랫폼 보다 보안에서 안정적일 수 있다. 결국은 플랫폼 자체가 폐쇄적이기 보다는 오픈 플랫폼이 나중에는 시장의 주도권을 쥐고 방향 자체도 발전적으로 이끌 수 있다. 이에 스마트폰은 결국 오픈 플랫폼으로 갈 것이기 때문에 지금의 보안이슈는 피할 수 없다고 생각한다.
전상수 국내의 경우 지금 아이폰이 도입되면서 스마트폰에 대한 관심이 높아졌지만 장기적으로 볼때 2012년까지 안드로이드폰이 활성화된다면 이에 대한 관심이 훨씬 더 커질 것이다. 이에 단말기 제조업체도 안드로이드 폰에 집중하고 있고 이동통신사들도 이에 관련한 서비스를 준비하고 있다. SK텔레콤도 최근 안드로이드기반의 모토로이폰을 출시했다.
이러한 측면에서 아이폰은 논외로 하기로 하고 안드로이드 플랫폼에 대한 준비를 잘 하면 전 세계적으로 동시에 출발하는 것이기 때문에 국내 사업자들이 좀 더 협력하고 좋은 모델을 만들면 글로벌 표준이나 해외 시장의 진출에 있어서 많은 도전을 할 수 있다. 애플의 폐쇄적인 스토어 성격 때문에 다른 사업자들이 할 수 있는 부분이 별로 없지만 안드로이드는 오픈 플랫폼이고 구글을 비롯하여 다양한 사업자들이 컨버전스를 통한 많은 서비스들을 내놓을 것이다.
우리가 구글 어스 등으로 충격을 받았듯이 안드로이드 폰에서도 그러한 서비스가 리스트업 돼서 앞으로 다양한 서비스가 나올 것이고 마켓의 형태도 애플과 같은 폐쇄적인 것이 아니라 오픈 마켓이라고 하는 안드로이드 마켓이 형성될 것이기 때문에 누구나 사업을 할 수 있을 것이다. 그렇게 되면 누구나 애플리케이션을 판매하는 사업자가 될 수 있는데 거기서 다운받는 것이 안전한지 고민이 된다. 이는 단순히 Anti Virus나 FireWall의 보안 이슈가 아니다. 스마트폰 보안은 플랫폼의 문제 백광호 이제 안드로이드 폰이 대세가 될 것이고 많은 이슈가 될 것이라고 언급했는데 스마트 폰이 단순히 전화의 기능보다는 산업분야에서 업무효율을 높여주는 컨버전스 수단이 될 수도 있을 것이다. 스마트폰 기능을 수정해서 어떤 업무환경에서의 직원들의 업무 생산성을 높여준다거나 자동화된 어떤 툴의 한 부품으로 들어가든지, 또 이를 통해서 B2B시장이 열린 것으로 본다. B2B시장은 B2C 시장보다 훨씬 더 보안에 대한 요구가 크다고 판단된다. 그래서 안드로이드 폰의 보안 솔루션이 이제 시작하고 이에 대한 기술이 국내에서 많이 개발된다고 하면 이를 묶어서 글로벌 B2B 시장에 내놓으면 기본적인 구성은 같이 들어갈 수 있을 것으로 본다.
B2B쪽의 보안 요구가 크고 다르기 때문에 보안을 얼마나 조화를 잘 시켜주느냐에 따라 시장에 진입할 수 있는 걸림돌을 제거하는 측면이 있다. 그런 측면에서 안드로이드 폰의 보안에 대해서도 기술적인 우위를 가져갈 수 있으면 그것 자체도 B2B 시장에 진입할 수 있는 기회가 열린다. 우리 회사도 그런 쪽에 파트너를 찾고 기술 개발을 시도하고 있다.
전상수 생산성 이야기를 하니까 생각이 났는데 스마트폰을 사용하다 보니 언제 어디서나 이메일을 확인해야 하고 업무적인 것도 처리해야 한다. 그만큼 스마트폰은 생산성과 B2B 시장을 확대시킬 것이다. 이에 스마트폰은 이러한 디바이스를 구성하는데 있어서 적응할 수 있을 것이다. 사실 플랫폼은 PC에도 들어가고 냉장고에도 들어가고 타블렛PC에도 들어간다. 이렇게 결국은 하나의 디바이스, 어떤 디바이스를 컨트롤하느냐에 대한 플랫폼이 시장을 이끌어 가는 원동력이 될 것이다. 그렇다면 스마트 폰에 대한 보안을 볼 것이 아니라 플랫폼에 대한 보안을 고려해야 한다. 이 플랫폼이 어디에 적용됐을 때 어떻게 보안을 해야 하는지 관심 있게 생각해야 한다.
지금의 스마트폰이 보여주는 기능들은 십년 전에 PDA를 사면서 기대하는 기능들이 현실화되고 있는 것이고 개인적으로 10년 전에 꾸던 꿈이 현실화 된다는 것에 굉장히 놀랍기도 하고 이러한 것들이 앞으로 10년동안 어떻게 발전할지 보안은 지금보다 더 복잡해질 수 있고 폭 넓게 생각해야 한다.
백광호 정말 앞으로는 단말이 중요한 것이 아니고 플랫폼, 즉 모바일 플랫폼이 중요하게 될 것이다. 1990년대는 Wired, 2000년대는 Wireless , 현재는 Mobility시대이다. 결국 모바일 플랫폼이 중요하다는 지적은 맞는 말이다. 이제 모바일 플랫폼이 여러 디바이스에 설치된다는 얘기는 모바일 플랫폼의 보안문제는 이제 이 플랫폼이 들어가 있는 곳곳에서 똑같은 보안 문제가 재현될 수 있고 이를 막지 못하면 정말 큰 위험이 야기될 수도 있다는 것이다. 보안을 하는 입장에서는 아주 무서운 이야기인데 앞로는 모바일 플랫폼의 보안을 지키는 것이 아주 큰 이슈일 것 같다. 앞으로 이런 측면에서 많은 노력이 있어야 한다.
전상수 시장을 키우기 위해서 산업을 활성화 시킬 필요도 있고 금융감독원과 같이 사고에 대비할 필요도 있다. 그러나 무엇보다 정부가 해야 할 것은 개별 거래 등에 대한 가이드나 규제보다는 산업적인 측면에서 산업을 키우고 이 산업이 활성화되면 국가에 경쟁력에 도움이 된다는 측면에서 접근해야 하고 방송통신위원회에서 하는 사업이나 통신 규제를 풀겠다는 조치에는 찬성한다. 하지만 정책적인 판단을 오래하다 보면 시장이 너무 빨리 흘러가기 때문에 글로벌 동향을 정확히 파악해서 적절한 정책이 나오도록 해서 산업을 활성화시키는 방향으로 진행해야 한다.
이에 국가적 보안 사고에는 정부가 주도해서 대처할 수 있도록 체계를 만들어줘야 하는 것이 피해를 최소화하는데 필요한 것이다.
전상수 7.7 DDoS 대란의 경우 보안 업체들은 상황분석과 보고서, 그리고 적절한 조치를 내놓느라고 정신없이 움직인다. 이럴 때 정부에서 상황이 어떻게 되었는지 물어보는 것은 그 자체가 부담이다. 이에 국가적인 콘트롤타워 역할을 하는 CERT 조직이 필요하다. 물론 화재시에는 소방방재청이 대응하고 천재지변과 같은 재난시에는 재난안전대책본부 등이 움직이지만 모바일 보안 위협, 정보전과 같은 위기에는 정부의 콘트롤타워 역할이 필요하고 이를 통해 빠른 위기 대응을 할 수 있도록 해야 한다. <진행 : 길민권 기자(editor@boannews.com) | 정리/사진 : 김태형 기자(is21@boannews.com)> [월간 정보보호21c 통권 제115호(info@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지> |
|
 |
손 안에 PC라고 불릴 만큼 스마트폰은 휴대성이 뛰어나지만 그만큼 보안위협도 클 것으로 전문가들은 보고 있다. 특히 전문가들은 스마트폰의 분실로 인해 여러 보안 문제가 나타날 수 있는 점을 지적하고 있다. 이에 본지는 스마트폰 보안에 관심이 많고 현재 관련 업무를 하고 있는 전상수 안철수연구소 제품기획팀 차장과 백광호 SK텔레콤 IT보안팀 매니저를 만나 현재 스마트폰 보안에 관한 문제와 대응방안을 논의했다. 
백광호