방통위, 스마트폰 보안위협에 대한 각 주체별 역할 정립 발표

[보안뉴스 오병민] 스마트폰의 보급으로 보안 위협에 대한 이슈가 제기되고 있는 가운데 스마트폰과 관련된 기관이나 민간사업자들의 담당해야할 역할이 정립돼 발표됐다.

방송통신위원회(위원장 최시중)는 ‘스마트폰 정보보호 민·관 합동대응반’ 및 ‘모바일 시큐리티 포럼’을 통해 스마트폰 정보보호 주체인 이동통신사, 스마트폰 제조사, 백신사, 보안솔루션사 및 정부 등의 ‘스마트폰 정보보호 주체별 역할’을 정립하여 발표했다.

최근 국내 스마트폰 이용자수가 급증하고 이와 관련된 보안위협 가능성이 대두됨에 따라, 스마트폰 침해사고 예방 및 대응을 위한 대책 및 관련기관 간 협력체계 구축 필요성이 제기되고 있다. 이에 따라 방통위는 지난 1월부터 ‘스마트폰 정보보호 민·관 합동대응반’을 구성·운영해 오면서, 이용자 스스로가 보안위협을 사전 예방하고 유사시 피해를 최소화할 수 있도록 ‘이용자 10대 안전수칙’을 만들어 발표한 바 있다.

그러나 스마트폰 보안위협은 정부나 이용자 등 어느 한 주체의 노력만으로는 효과적인 대응에 한계가 있음을 공감하고, 그 후속조치로 이동통신사, 스마트폰 제조사, 백신사, 보안솔루션사 등 사업자와 정부 등 각 주체별 선제적이고 체계적인 공동 대응이 가능하도록 민·관 합동대응반과 시큐리티 포럼 연석회의를 통해 스마트폰 정보보호 주체별로 필요한 상세 역할이 정립됐다. 

방통위 측 관계자는 “향후 스마트폰 정보보호 주체들은 각각의 역할을 충실히 수행하고 공동 협력을 긴밀히 펼쳐 나가기로 했다”면서 “이를 위해 보다 상세한 역할 및 대응 안내서를 제작하여 각 주체들에게 배포하여 활용토록 할 예정”이라고 밝혔다.

 

아울러 정부차원에서도 모바일 악성코드 유포 의심사이트에 대한 모니터링을 강화하는 한편, 민·관 합동대응반 및 모바일 시큐리티 포럼 등 기 구축된 민·관 협력 체계를 통해 안전한 스마트폰 이용환경을 조성하는데 주력해 나갈 계획이다.

- 스마트폰 정보보호 주체별 역할 개요 -

□ 이동통신서비스 사업자

① 모바일 악성코드 대응방안 수립 및 이행

   - 모바일 악성코드의 감염으로 인한 사용자 피해를 최소화하고 서비스에 영향을 미치지 않도록 침해 대응체계 수립 및 이행 필요

② 사고접수 및 처리절차 수립

   - 스마트폰 분실 및 도난 사고, 악성코드에 의한 침해사고 접수 · 처리를 위한 고객 대응 매뉴얼 마련 및 효과적 대응을 위한 유관기관으로의 정보 전파 · 공유

③ 악성코드 조기경보 서비스 제공

   - 신규 모바일 악성코드의 출현 및 악성코드에 의한 피해 접수 시, 정보보호알림이 서비스(KISA 및 이통사 공동 제공)에 가입한 고객을 대상으로 악성코드 증상, 대처방안 등의 관련 내용 통보

④ 악성코드 감염 사용자 대상 서비스 이용 제한 기준 마련

   - 스마트폰 악성코드 감염 사용자 대상 서비스 이용 제한 기준(본인 동의 절차 포함) 및 대응 프로세스를 마련하고 해당 사항을 이용 약관에 반영

⑤ 중요 S/W 패치 및 업데이트 서비스 지원

   - 국가적·사회적 이슈가 되어 선제적 대응이 필요하다고 판단되는 스마트폰 악성코드에 대해서는 정부와 협의하여 이통사 포털 또는 앱스토어를 통한 전용백신 무료 배포

⑥ 안티스팸 서비스 제공

   - 공개되거나 자체 분석한 스팸 발송번호에 대해 서버차원의 근원적 차단을 지원하고, 스팸메시지를 통해 전달되는 모바일 악성코드의 특성을 고려, 메시지 패턴분석을 통한 스팸 발송현황 탐지 서비스 지원을 고려하는 한편, 신고·접수된 스팸발송 번호 등을 등록하여 관리하는 방안 마련

⑦ 스마트폰 원격 제어 서비스 제공

   - 단말기 제조사와의 협력을 통해 분실 및 도난당한 스마트폰에 대해 중요한 정보를 원격으로 삭제하거나 사용을 불가능하게 할 수 있는 서비스제공 방안 검토

⑧ 단말기 보안설정 정보 제공

   - 스마트폰 개통 시 가입축하 및 공지 메시지에 ‘스마트폰의 안전한 이용에 관한 내용 또는 관련 홈페이지 주소(URL)’ 제공 방안 검토(관련 홈페이지는 방통위·KISA가 제공)

⑨ 네트워크 및 서버 관리

   - 외부 공격으로부터 이통사 네트워크와 서버를 보호하기 위한 보안시스템 구축 및 발생 가능한 공격 정보의 사전 파악을 통한 원활한 운용성 확보

⑩ 모바일 악성코드 테스트 망 지원

   - 국내 모바일 정보보호 분야 발전 및 관련업체의 효과적인 보안 솔루션 개발 지원을 위해 테스트용 연구실 및 실험 장비 지원 고려

⑪ WAP Push 서비스 관리

   - 스마트폰 단말기 사용자를 보호하기 위하여 가급적 특수한(관리적) 용도로만 WAP Push 서비스(Service Loading)를 제공하거나 Service Indication(Callback URL) 형태로 대체하는 방안 고려

⑫ 공조체제 유지

   - 동종업체, 백신사, 단말기 제조사 및 정부기관과 긴밀한 협력 관계를 유지하여 모바일 악성코드와 관련한 정보 공유 및 침해사고 발생 시의 효과적 대응책 마련 필요

□ 스마트폰 단말기 제조사

① 단말기 잠금 기능 강화

   - 이용자의 피해를 최소한으로 줄이기 위해 스마트폰 단말기 잠금 기능을 강화(ex, 4자리이상 패스워드 자리 수 설정, 특수문자 및 영문자 사용 등)하는 방안 고려

② 블루투스 연결 가능 목록 관리 기능 제공

   - 많은 이용자들이 블루투스 기능을 미사용할 시에도 활성화 상태를 유지하는 경우가 많기 때문에 블루투스 기능 활성화 상태에서 사용자가 사전에 연결 가능 목록에 등록한 단말기만 연결이 가능하도록 하는 기능 제공

③ 데이터 암호화 제공

   - 이용자 정보보호 차원에서 개인 프라이버시와 관계가 있는 중요 파일(전화번호, 이메일, SMS 등)에 대한 데이터 암호화 모듈의 탑재 고려

④ 데이터 및 시스템 백업·복구 기능 제공

   - 스마트폰 분실 및 손상으로 인한 신규제품 구입 시 이용자의 애플리케이션 재설치, 데이터 복구 등에 소요되는 시간을 절약할 수 있도록 스마트폰에 저장된 시스템 및 사용자 데이터 손실시 이전 상태로 복원할 수 있는 백업 및 복구 기능 제공 고려

⑤ 데이터 및 시스템 접근 제어

   - 스마트폰 내에 저장된 민감한 정보를 별도의 저장 영역에 보관하고, 패스워드 등 사용자 인증을 통해 접근을 허용하는 파일 접근 제어기능 구현 필요

⑥ 안티스팸 기능 제공

   - 전화번호를 숨기거나 변조하며, 메시지 필터링을 우회하기 위해 특정 문자를 삽입하여 전송하는 우회적인 스팸에 대한 차단 및 제거 기능 검토

⑦ 안전성 검사 강화

   - 스마트폰 침해사고로 인한 피해를 최소화할 수 있도록 단말기 출시 전, 다양한 응용 애플리케이션을 설치한 상태에서 다각적인 방법으로 단말기의 안전성을 검증하는 방안 마련

⑧ 단말기 보안설정 매뉴얼 제공

   - 단말기 매뉴얼을 통해 기본 기능에 포함된 보안 기능에 대한 정보를 제공하고, 필요시 이용자가 손쉽게 단말기 보안설정 정보를 이용할 수 있도록 홈페이지를 통해 분실·도난, 악성코드 피해사례와 그에 대한 대처방법 등을 안내

⑨ 악성코드 샘플 확보 협력

   - 악성코드로 인한 감염이 의심되는 스마트폰의 A/S 접수 시, 샘플 확보를 위해 백신사와 협력하고, 관련내용을 즉시 유관기관에 전파

⑩ 신속한 보안패치 및 업데이트 제공

   - 스마트폰 OS 및 기본 프로그램의 취약점 발견 및 인지 시, 이에 대한 패치를 신속히 확보하고 S/W 업데이트 제공 방안 마련

⑪ 공조체제 유지

   - 동종업체, 백신사, 이동통신사 및 정부기관과 긴밀한 협력 관계를 유지하여 모바일 악성코드와 관련한 정보 공유 및 침해사고 발생 시의 효과적 대응책 마련 필요

□ 모바일 백신 및 보안솔루션 사업자

① 신속한 악성코드 샘플 확보

   - 이동통신사, 단말기 제조사 등과의 유기적 협력 관계 구축을 통한 신속한 악성코드 샘플 확보

② 모바일 환경을 고려한 백신 개발

   - 다양한 스마트폰 운영체제를 감안하여야 하며, 저전력 · 저용량의 모바일 환경에 최적화 할 수 있도록 백신 연구 및 개발

③ 신속한 백신 업데이트

   - 스마트폰 이용자 보호를 위해 신규 악성코드에 대한 신속한 백신 업데이트를 제공해야 하며, 업데이트는 PC 동기화, 무선망 및 이통망 등 다양한 인터페이스를 통해 가능하도록 지원(비상시 이용자가 이통망을 사용할 수 밖에 없는 상황을 고려하여 이통사와의 협력을 통해 이용자 보호방안 마련)

④ 악성코드 정보 제공

   - 백신 프로그램은 악성코드 탐지 및 치료뿐만 아니라 악성행위(정보유출, MMS 무단 전송 등)에 대한 상세 정보 제공을 통해 사용자 스스로 피해여부를 확인하고 추가피해를 예방할 수 있도록 지원

⑤ 다양한 보안 솔루션의 연구·개발

   - 일반 사용자를 위한 안티스팸, 안티바이러스, 방화벽 등의 솔루션은 물론, 비즈니스 업무 수행자를 위한 VPN, 인증, DRM 등의 보안 솔루션에 대한 지속적 연구 개발을 통해 스마트폰 서비스의 확산 · 발전에 노력

⑥ 공조체제 유지

   - 동종업체, 이동통신사, 단말기 제조사 및 정부기관과 긴밀한 협력 관계를 유지하여 모바일 악성코드와 관련한 정보 공유 및 침해사고 발생 시의 효과적 대응책 마련 필요

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>