보안위협의 심각성 인식하는 일부터 시작해야

스마트폰 보안 3대 원칙 가운데 마지막은 바로 스마트폰을 위한 보안이다. 이 원칙은 현재 스마트폰 보안문제 가운데서도 가장 이슈가 되고 있고, 많은 정보들이 쏟아져 나오고 있지만 어느 것 하나 속 시원한 해결책이 되지 못하고 있다. 이와 관련해 최근 주목할만한 토론회가 개최됐다. 지난 2월 17일 한국정보보호학회 주관으로 개최됐던 ‘스마트폰 보안문제 진단 및 대책마련을 위한 토론회’가 그것이다. 여기서는 이 토론회에 나온 내용을 중심으로 스마트폰을 위한 보안 원칙을 세워보도록 한다.

토론회 참가패널

김승주 교수(성균관대), 류재철 교수(충남대), 박언탁 소장(소프트포럼), 성재모 본부장(금융보안연구원), 심원태 단장(한국인터넷진흥원), 이기혁 팀장(SK텔레콤), 이상용 부장(한국마이크로소프트), 조시행 상무(안철수연구소)

스마트폰에서 나타날 수 있는 보안문제로는 ▲스마트폰 애플리케이션 관리와 보안문제 ▲스마트폰 분실로 인한 보안 위협 ▲사용자의 변형이나 관리 소홀로 인한 문제 ▲스마트폰 뱅킹 보안 등을 제기했다.

스마트폰 애플리케이션 관리에 대한 보안위협

가장 이슈가 된 부분은 스마트폰 애플리케이션에 대한 부분이다. 스마트폰의 장점은 인터넷에 쉽게 접근할 수 있다는 점도 있지만 스마트폰에서 기본적으로 제공하는 기능 외에 다양한 애플리케이션을 설치해 이용할 수 있다는 점이다. 그러나 스마트폰 애플리케이션은 최근 들어 SDK를 개방해 누구나 애플리케이션을 만들도록 하고 있기 때문에 보안 검증에 대한 우려가 나타나고 있다. 대부분 애플리케이션 마켓에서는 등록되는 모든 애플리케이션에 대해 소스 코드 검증을 할 수 없고 완성된 애플리케이션의 동작에 대한 검증만 하고 있기 때문에 우려가 더욱 커지고 있다.

류재철 충남대 교수는 “최근 스마트폰 별 앱스토어의 경향을 보면, 개발에 관련된 인증업무를 기반으로 신뢰인증을 통한 유통구조를 지향하는 것으로 보인다”면서 “이 경우 의도적으로 악성코드가 숨겨진 것을 어떻게 검증을 하느냐에 대한 문제에 직면하게 된다”고 주장했다. 한 예로, 심비안에서는 심비안 사인드(Symbian Signed) 접속 인증서를 받아 개발자가 서명한 후 올리는 방식을 이용하고 있지만, 이런 절차를 거치고도 악성코드가 올라온 사례가 전해지고 있다. 박언탁 소프트포럼 소장은 “폐쇄적인 등록절차를 거치는 아이폰 검수과정에서도 취약점은 존재한다”면서 “실제로 앱스토어 등록된 제품에서 악성 기능이 발견돼 취소된 사례가 있다”고 말했다. 앱스토어에 등록되는 수많은 애플리케이션에 대한 검증을 사람이 하는 데는 한계가 있기 때문이다. 물론 현재까지는 애플의 앱스토어나 심비안과 같이 오랜 기간 동안 애플리케이션이 축적된 애플리케이션 마켓에서 문제가 나타나고 있지만 애플리케이션 마켓의 활성화에 따라 모든 스마트폰의 문제로 확대될 수 있다.

조시행 안철수연구소 상무는 “현재 스마트폰 애플리케이션에 대한 백신 개발이 가능할 것인가에 대한 논란이 있는데, 이는 바이러스나 웜, 트로이목마 및 가짜 백신과 같은 스파이웨어 등이 스마트폰에서 동작할 것인가에 대한 우려로 현재 상황으로는 이런 모든 위협이 가능하다”면서 “문제는 백신을 만들어도 악성코드의 수집이나 악성 기능에 대한 판단에 어려움이 있을 수 있고, 3G를 이용할 경우 업데이트 데이터 요금을 누가 부담해야하는지에 대한 문제 등 해결해야할 부분이 많다”고 말했다.

스마트폰 분실로 인한 보안위협

손안에 PC라고 불릴 만큼 스마트폰은 휴대성이 뛰어나지만 이로 인한 보안위협도 제기되고 있다. 특히, 전문가들은 스마트폰의 분실로 인해 여러 보안 문제가 나타날 수 있다고 역설하면서 대책이 필요하다고 입을 모으기도 했다.

김승주 성균관대 교수는 “스마트폰은 작기 때문에 분실의 위험이 매우 높아 저장된 데이터를 어떻게 관리해야 하는지에 대한 논의가 필요하다”면서 “리서치 인 모션의 스마트폰인 블랙베리의 경우 분실시 원격으로 데이터를 삭제할 수 있는 기능을 가지고 있기도 하다”고 말한다. 박원탁 소프트포럼 소장은 “기업에서 이용하는 스마트폰에는 여러 중요한 데이터가 저장돼 있기 때문에 분실된 스마트폰의 경우에는 특정 부분에 대한 제어가 가능하도록 접근제어 방법에 대해 모색해야 한다”고 역설했다. 

사용자 변형이나 관리 소홀로 인한 문제

스마트폰을 휴대폰의 연장선상에서 바라보는 사용자가 많기 때문에, PC보다 보안관리에 소홀할 수 있다. 아울러 사용자 임의로 기기를 변경했을 경우 보안 위협에 더욱 많이 노출될 수 있다. 특히 아이폰의 경우, 애플에서 막아놓은 기능 제한을 풀기 위해 이른바 ‘탈옥(Jailbreaking)’이라는 자가 해킹을 진행하는 사례가 늘고 있다. 그러나 현재 알려진 아이폰의 악성코드는 탈옥상태에서 감염될 수 있는 것으로 전해진다. 그리고 탈옥한 상태에서는 A/S 지원을 받을 수 없으며, 보안 업데이트에 대한 지원도 받을 수 없다.

류재철 충남대 교수는 “스마트폰은 사용자에 대한 책임도 강조되고 있다”면서 “가령 애플의 경우 아이폰 사용자들이 임의로 탈옥(Jailbreaking)할 경우, 스마트폰에서 문제가 발생하면 사용자 스스로 책임을 지도록 하고 있다”고 말했다. 김승주 성균관대 교수는 “PC의 경우 인터넷망만 연결되지 않으면 해킹이 차단됐지만, 스마트폰은 블루투스나 WiFi 등 다양한 접근방법이 있기 때문에 더욱 많은 위험에 노출돼 있다”면서 “따라서 보안 프로그램이나 OS의 보안 업데이트 주기가 짧지만, 스마트폰 사용자는 광범위하기 때문에 PC사용자보다 보안 인식이 부족할 수 있어 이에 대한 적극적인 홍보가 필요하다”고 말했다.

스마트폰 금융보안

스마트폰을 이용한 금융 서비스는 보안문제 발생시 가장 큰 피해를 줄 수 있기 때문에 빼놓을 수 없는 이슈다. 아울러 스마트폰의 활성화로 인해 많은 은행들은 스마트폰 기반 금융 서비스를 준비하고 있지만 보안에 대한 우려로 인해 주저하고 있는 상황. 이에 따라 스마트폰 금융보안에 대한 규제가 어떻게 적용될지에 대해 관심이 쏠리고 있다.

성재모 금융보안연구원 본부장은 “스마트폰과 같은 멀티 플랫폼에서의 보안 위협은 상상이상으로 이미 외국에서는 SMS나 피싱이 결합된 공격이나 금전적인 목적의 공격이 나타나고 있어 PC수준의 보안대책이 필요하다”고 설명했다. 덧붙여 그는 “금융감독원은 스마트폰 금융 보안에 대한 우려로 지난 1월 7일 스마트폰 안전대책을 발표했으며, 금융보안연구원도 스마트폰 애플리케이션 취약성 분석을 위한 신기술 기반 분석센터를 오픈하고 전자금융 서비스 적용시 문제가 없는지 보안 적합성 테스트를 지원하고 모니터링을 강화할 방침”이라고 전했다.

그러나 스마트폰을 이용한 금융 서비스와 관련해서는 거창한 규제보다는 융통성 있는 정책과 가이드라인이 필요하다는 주장도 있었다. 이상용 한국마이크로소프트 부장은 “한국에서는 스마트폰을 통한 쇼핑몰 및 인터넷뱅킹 결제가 무용지물이나 다름없다”면서 “기존의 스마트폰을 가지고 결제를 하는 환경은 대부분 소액결제인 점을 감안해서 보안정책과 가이드라인을 만들어야 한다”고 주장했다.

<글 : 권  준, 원 병 철, 오 병 민 기자>

[월간 시큐리티월드 통권 제158호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>