새로운 공격루트 USB와 메모리...사회적으론 서드파티 노려

[보안뉴스 오병민]

최근 삼성전자가 아이폰과 안드로이드의 앱스토어에 대응하기 위해 개발한 바다 플랫폼을 탑재한 수출용 스마트폰 ‘웨이브(Wave)┖에서 악성코드가 발견돼 보안 허점을 드러냈다. 엄밀히 말하면 스마트폰의 외장 메모리에 악성코드가 삽입돼 보급된 것. 삼성측은 해당제품의 외장메모리를 회수해 새것으로 교체하겠다고 대응했다.

물론 삼성전자가 일부러 악성코드를 넣어 판매한 것은 아니겠지만, 삼성전자는 예전에도 악성코드가 삽입된 제품을 판매한 이력이 있기 때문에 내부 보안에 대한 반성이 필요해 보인다.

삼성에서 2008년 크리스마스 즘에 미국 인터넷쇼핑몰 아마존에서 판매하는 디지털액자 설치 CD에서 악성코드가 발견돼 물의를 일으켰다. 그리고 같은 해 11월에도 일본에서 판매한 디지털액자 CD에도 악성코드가 발견됐다. 삼성전자 일본 법인은 이달 25일 자사의 홈페이지에 악성코드가 삽입에 대한 사과문을 올리기도 했다.

이런 문제는 내부적인 보안 프로세스에서 문제가 있다는 것을 의미하며, 시대에 따라 달라지는 해킹 수법의 대응이 소홀했다는 지적도 나온다.

예전에는 악성코드의 배포는 웹사이트를 통해서만 진행돼 왔다. 그러나 최근 들어 USB나 외장 메모리를 이용한 악성코드가 극성을 부리고 있다. 이는 많은 기업들이 웹에 대한 보안을 강화해 상대적으로 소홀히 하는 개인사용자를 노린 해킹 수법으로 볼 수 있다.

삼성은 이런 허점을 강화하기 위해 내부보안 프로세스를 강화해 악성코드나 해킹 툴을 원천 차단한다. 그럼에도 불구하고 출시된 제품에서 악성코드가 출몰하는 이유에 대해, 전문가들은 서드파티에 대한 보안 취약점일 가능성이 높다고 지적한다.

즉 내부 기업 보안뿐만 아니라 협력업체나 하청업체에 대한 보안이 이뤄져야 이런 사태를 막을 수 있다는 것이다. 외국의 기업들은 서드파티에 대한 보안 정책이 엄격한 편이다. 우리나라의 기업들도 서드파티까지도 보안을 챙길 수 있는 포괄적인 보안 정책이 필요해 보인다. 애써 개발한 기술이 보안 취약점에 대한 오명으로 저평가 되지 않도록 말이다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>