[보안뉴스 김정완] 스마트폰, 태블릿PC 등 모바일 기기가 우리 생활을 지배해 감에 따라 나타나는 새로운 보안위협이 대두되고 있는 가운데 모바일 보안위협에 대해 대응하기 위해서는 정부정책이나 기업의 정보보호거버넌스 외에도 사용자 스스로의 보호대책인 ‘I-Governance’가 필요하다는 주장이 제기됐다.

IT보안 및 IT거버넌스 전문교육기관인 ITL-SANS Korea가 23일, 서울 삼성동 코엑스에서 개최한 ‘최신 보안위협에 대응하기 위한 정보보호거버넌스(ISG) 전략 세미나’에서 발표자로 나선 박성갑 인포섹 수석연구원은 “거버넌스의 변화는 회사가, 경영진이, 위원회가 책임 통제 하에 이루어졌던 거버넌스에서 개인의 소유에 대한 책임 강화와 절차 준수 및 위협 대응에 개인 자산에 대한 보호대책으로 변화해 가고 있다”고 나선 것.

이를 위해 박성갑 수석은 무선공격, DDoS공격, 바이러스·웜, 침입공격 등의 기존 PC 보안위협 외에도 모바일 환경에서 새롭게 대두되고 있는 △과다청구공격 △분실 또는 도난 △배터리소모 △위치정보 노출 △핸드폰 자료 도난 △전자파 공격 등의 신규 보안위협 및 공격 유형을 설명하고 언론을 통해 나타난 스마트폰 보안 이슈를 소개했다.

특히 이날 강연을 통해 박성갑 수석은 시나리오별 스마트폰 해킹 시연을 강연장에서 실제 펼쳐 모바일 보안위협의 위험성을 몸소 체험할 수 있게 했다.

이날 스마트폰 해킹 시연에서는 △보안설정이 비활성화된 무선 와이파이(Wi-Fi) 사용 시 보안위협 △태블릿PC의 보안위협을 보여줬다. 특히 이날 참석자 중 한 명의 요청으로 박성갑 수석은 악성코드를 문자메시지에 심어 보내 준 후 실제 참석자가 사용하는 스마트폰에 저장된 공인인증서 등을 탈취해냈다.

또한 OS가 변조된 일반사용자의 테블릿PC 역시 쉽게 원격접속을 통해 사용자의 테블릿PC에 있는 중요 정보를 해커의 PC로 전송해 보여줬다.

단, 이날 해킹 시연에서는 평문으로된 홈페이지나 무선데이터가 암호화되어 있지 않고 OS가 변조되어 있다는 조건에서 행해졌다.

결론적으로 박성갑 수석은 이날 강연을 통해 “정책적으로나 기업이 기술적·보호조치를 했다하더라도 모바일 환경에서는 개인이 주의하지 않으면 안된다”며 “현재로써는 사용자 스스로가 대응해야 하는 ‘I-거버넌스’가 필요하다”고 강조했다.

한편 박성갑 수석은 시연 후 사용자는 안전한 와이파이에만 연결해 사용하고 모바일 유해사이트 차단 솔루션 구축 등의 대응방안이 ‘I-거버넌스’가 될 것이라고 말하고 국가정보원·행정안전부·금융감독원·방송통신위원회 등의 국가 모바일 위협에 대한 정책 동향을 발표하는 한편 다음과 같이 ‘I-거버넌스’ 대응전략으로 스마트폰 이용자의 ‘정보보호 10대 안전수칙’을 소개했다.

◇ 스마트폰 이용자의 정보보호 10대 안전수칙(방통위, 2010.2.8 발표)

1. 의심스러운 애플리케이션 다운로드 하지 않기

2. 신뢰할 수 없는 사이트 방문하지 않기

3. 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

5. 블루투스 등 무선인터페이스는 사용 시에만 켜놓기

6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기

7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

8. PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기

9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

10. 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트 하기

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>