[보안뉴스 주소형] 산업뿐 아니라 인간 사고의 틀까지도 변화시키고 있다는 ‘모바일 혁명.’ 우리는 모바일로 인해 정말 많은 편의를 누리며 살고 있다. 하지만 그와 동시에 위험에 놓일 수 있다고 경고되어 왔다. 그리고 실제로 모바일이 각종 멀웨어와 피싱 등의 쉬운 먹잇감으로 전락해가고 있다. 이렇게 모바일에 대한 공격이 갈수록 심각한 현실이 되어 가고 있는데 해당 분야에 대한 리스크 분석이나 이루어지고 있는 투자를 보면 뭘 해야 하는지 감을 못 잡고 있는 것 같다.

가장 큰 오해는 정보 유출사고를 단 한 번의 운 나쁜 사건으로 보는 시각이다. 유출사고라고 하면 수천 만건의 사용자 정보가 나가는 카드사 사태라던가 타깃(Target) 사건만 떠올린다. 유출사고라던가 모바일에서 이루어지는 범죄의 본질이 지속성에 있다는 걸 모르니 자꾸 엉뚱한 곳에서 헛손질만 하게 되는 것이다. 이 오해를 좀더 상세히 풀어보고자 한다.

첫째, 모바일 범죄는 통제가 불가한 곳에서 발생한다.

기업보안(Enterprise security)의 역할은 회사 시스템 내와 여기에 접근하는 기기들을 통제하는 것이었다. 그런데 개인이 보유한 스마트기기를 회사 업무에 활용하는 BYOD가 등장하면서 상황이 복잡해졌다. 보안 처리가 된 네트워크 안에 모바일을 넣기도, 빼기도 애매해졌기 때문이다.

특히 B2C 환경에서 회사가 고객들의 기기를 통제하는 것은 아직까지 기술이나 제도, 정서적인 면에서 불가능에 가까운데, 기업은 자꾸만 회사 내 서버나 시스템들만 보강하고 지켜본다. 사기는 사용자 모바일에서 시작하는 경우가 많은데 말이다. 비용이 엉뚱한 곳에서 발생하고 투자의 효율이 떨어진다.

회사가 실제 할 수 있는 거라곤 사용자들 스스로가 높은 보안의식을 갖도록 교육하는 것이다. 그런데 교육효과라는 게 실제 현장에선 굉장미 미미하다. 또한 모바일은 사용자 취향에 따라 탈옥시켜 사용하는 이들도 있어 기업이 애써 개발하고 배포한 보안 솔루션이 적용이 안 되는 경우도 빈번하다. 멀웨어 유입이 용이해지기 시작한다.

그러면 SMS 같은 치명적인 기능이 해커의 손에 넘어간다. 회사 권한이 엉뚱한 자의 수중에 들어가고 로그인 정보나 심지어 여러 계좌 정보도 마찬가지 운명에 처한다. 또 중요한 점은 모바일기기는 PC에 비해 상대적으로 보이는 화면이 작기 때문에 가짜 인터넷네트워크나 서버 주소 등을 확인하기가 어려워 피싱에 잘 걸려든다는 것이다.

둘째, 모바일 사기 관리는 사용자의 참여를 필요로 한다 

미국 내에서는 매년 신용카드 사기로 인한 피해비용이 약 1,900억 달러 수준이라고 한다. 총무 팀은 피해 고객들에게 연락을 취하고, 분석 팀은 조사에 착수하는 등 회사가 사기 사건에 대응하기 위한 매뉴얼을 갖추지 못한 것도 아닌데 말이다. 

왜 투자를 하는데도 손해는 저렇게 크게 발생하는 것이고, 개선은 되지 않는 것일까? 회사가 일을 신속히 처리하는 것과는 상관없이 이런 류의 사기 범죄에서는 사용자의 역할이 꼭 필요하기 때문이다. 사용자 역시 자기가 애용하는 업체가 유출사고를 겪게 되면 그 업체 서비스에 접속하기 위해 사용했던 모바일과 PC 등을 점검해야 한다. 추가적으로 백신을 구입해 설치해야 할 필요도 있을 수 있다.

그러나 위에서도 말했지만 이런 식의 해킹 및 사기 사건은 계속해서 끊임없이 일어나는 것이다. 여러 서비스를 사용하는 현대의 사용자들이 사건 하나하나에 대응해 보안 조치를 각자 취하기에는 양 자체가 너무나 많다. 그러니 점점 보안을 무시하게 된다. 이럴수록 기업이 인식하고 있는 보안 수준과 사용자들이 갖추고 있는 실제 보안 수준 사이의 괴리는 커지기만 한다.

사실 기업들의 시스템은 이미 체계적이고 잘 갖춰져 있다. 따라서 기업 자체적인 시스템으로 인해 발생되는 유출사고는 적다. 포네몬(Ponemon)사가 집계한 통계에 따르면 만 건 이상의 정보가 유출된 사건은 22%에 불과하다.

셋째, 모바일 범죄는 만인이 알고 있다.

사기를 한번 겪으면 모든 신뢰가 무너지기 마련이다. 그 신뢰는 해당 회사에 대한 믿음일수도 있고 전반적인 모바일 사용에 대한 불신일 수도 있다. 만약 유출에 대한 책임을 기업이 회피하려고 하면 소송으로 이어지는 것은 물론 기업 이미지가 추락하게 된다. 기업에게 있어 사기 사건은 규모와 관계없이 상당히 치명적이다.

따라서 관련 규제와 컴플라이언스가 강화되고 있다. 그러나 완벽한 규제는 없는 법인지라 법망을 피해 유출 사실을 굳이 알리지 않는 게 이득이라고 판단하는 기업들도 많아지고 있다. 그러면 그냥 유출 사실을 덮어버린다. 어차피 대규모 사건이거나 굉장히 민감한 정보가 나간 게 아니라면 보도되지도 않는다. 따라서 실제로는 우리가 알고 있는 것보다 더 많은 유출사고가 있다고 생각해도 무방하다.

결국 온라인 사기 혹은 유출사고란 것은 어쩌다 운 없는 누가 액땜하듯이 한 번씩 걸려드는 한 번의 사건이 아니라 지금 이 순간도 계속해서 일어나는 일이라는 걸 인식해야 한다. 지금도 누군가 당신의 네트워크를 전혀 상상도 못한 곳, 알아도 손 닿을 수 없는 곳에서 두들겨보고 있을 것이다. 반드시라고 해도 좋다. 고민은 여기서부터 시작해야 한다.

글 : 수부 스타누(Subbu Sthanu)

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>