금지할 건 금지하고 설치할 건 설치하고 분리할 건 분리하고

인터넷과 데스크톱이 보급되던 때에 이미 한 번 겪었던 일

[보안뉴스 문가용] 그것은 당신의 인식 밖에서 일어난다. 멀웨어는 당신의 스마트폰과 태블릿에 스며들어와 취약점을 붙잡고 늘어지며 정보를 캐내려고 한다. 그러는 와중에 기계의 속도가 조금 느려지거나 엉뚱한 텍스트 메시지가 갑자기 화면에 뜬다. 그러면서 의심이 시작되지만, 이미 늦은 경우가 대부분이다.

안드로이드의 페이크아이디(FakeID)

최근 발견된 페이크아이디 멀웨어가 이런 현상을 기가 막히게 드러내고 있다. 페이크아이디는 안드로이드 플랫폼에서 활동하는 멀웨어로 사용자 모르게 기기에 설치된다. 그리고 연락처 정보와 여러 가지 금융 정보에 접근한다. 하지만 이 페이크아이디 멀웨어 하나의 발견보다 중요한 건 모바일 멀웨어의 95%가 안드로이드용이라는 것이다.

그래서 아직도 주요 산업시설이나 보안이 엄격한 업체에서는 안드로이드보다는 iOS나 블랙배리, 윈도우를 더 선호한다. 게다가 지난 6월 포브스는 모바일 멀웨어의 수가 지난 해보다 167%나 늘었다고 보도한 바 있다. 그렇다면 국가 기관에서는 안드로이드의 사용을 금하거나 그에 준하는 엄격한 조치로 사용하지 않는 것을 권면해야 할까?

정부기관에서의 BYOD

현대의 BYOD 트렌드를 정부 기관이라고 피해갈 수는 없다. 그러므로 중요한 정보이든 사적인 정보이든 모바일 기기에 저장되는 정보는 점점 늘어날 것이다. 어쩔 수 없는 현상이다. 그렇다면 정부가 할 수 있는 건 ┖모바일 기기 사용 금지┖ 외의 조치를 취해 리스크를 줄여야 하는 것이다. 이에는 네 가지 행동양식이 있을 수 있다.

1. 모바일 앱을 확인해 다운로드 금지 목록을 작성한다. 이미 정부 기관에서는 사무실에서 특정 웹 사이트에 접속을 못하도록 하고 있다. PC의 시대에 맞게 그런 움직임을 보였다면 모바일의 시대에 맞게 특정 앱을 금지해야 한다.

2. 공무원들에게 백신 앱을 꼭 설치하도록 규정을 만든다. 이것 역시 PC에 대입해보면 충분히 수긍이 가는 조치다. 사실 사설 기업이라도 직원들이 사용하는 데스크톱과 노트북에 전부 백신을 깔도록 한다. 물론 정품 구매는 기업 차원에서 해주고 말이다. 똑같은 걸 이번엔 모바일에 하는 것이다. 이미 시중에 좋은 모바일 백신 프로그램이 많다.

3. 샌드박싱도 괜찮은 방법이다. 즉 한 모바일 기기 안에서 영역을 나누는 것이다. 애플리케이션끼리의 영역 구분을 통해 서로가 서로에게 어떠한 영향을 줄 수 없도록 하는 것이다. 기관의 민감한 정보를 개인용 앱으로는 접근하지 못하도록 하는 등 개인용도의 애플리케이션과 업무용의 애플리케이션을 구분하면 보안성을 크게 강화시킬 수 있다.

4. 정보나 첩보를 다루는 정부 부서, 군부대의 고위 관리자, 퇴역군인국의 중역들까지도 암호화된 이메일과 암호화된 기기를 사용하고 있다. 모바일 기기의 사용도가 늘어나고 있으니 이 정책을 좀 더 확장시킬 필요가 있어 보인다. 이에 발맞추듯 암호화 기술력도 높아져 사용자들에겐 용이한 사용성을 제공하고 해커들에겐 까다로운 방벽이 되니 안성맞춤이다. 게다가 상품도 다양하다.

지금 당장 해야 할 때

모바일 기기는 이제 막을 수 없는 대세가 되었다. 정부 기관도 그렇고 민간 기업도 그렇다. 이것 때문에 보안이 약해지는 건 당연지사고 그렇다고 해도 자기가 원하는 기기를 소유할 권리를 막을 수도 없다. 그럼에도 정보는 보호해야 한다. 데스크톱과 인터넷이 사무 환경에 들어서면서 했던 것들을 떠올려 모바일 시대에 적용하면 의외로 대처가 그렇게 어렵지만은 않을 것이다. 다만 그때보다 발 빠르게 움직여야 한다는 것만 빼놓고.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>