업데이트 하지 않은 사용자 25%... 감염 경험 있는 기기는 15%
애플은 그나마 업데이트 쉬운 편...구글 업데이트 배포망은 개선 필요

[보안뉴스 문가용 기자] 금융 산업에서 일하는 많은 직원들이 모바일 기기를 패치하지 않고 돌아다니고 있다는 보고서가 나왔다. 이는 자신뿐만 아니라 회사와 고객들까지도 위험하게 하는 일이지만, 금융업 종사자들은 이를 잘 인지하지 못하고 있다.


시만텍이 발표한 ‘2017년 2사분기 모바일 위협 첩보 보고서(Q2 2017 Mobile Threat Intelligence Report)’에 의하면 패치되지 않은 모바일 기기 보유량이 전체 25%다. 1/4이나 된다는 소리다. 게다가 금융 업계 종사자들 중 악성 네트워크에 모바일 기기로 접속하거나 노출된 적 있는 인원이 15%에 달한다는 결과와 천 대 중 세 대는 멀웨어에 감염된 적이 있다는 결과도 함께 드러났다.

시만텍의 수석 책임자인 바룬 콜리(Varun Kohli)는 “내가 만약 금융 업계 책임자였다면 이번 보고서를 보고 임원 회의를 소집했을 것 같다”고 말한다. “그리고 보안 담당자들을 죄다 불러서 우리의 와이파이 네트워크 상태, 직원들의 모바일 관리 실태, 멀웨어 공격 현황 등을 물었을 겁니다. 이번 보고서가 하는 말은 결국 ‘우리 은행의 데이터가 위험에 처해있다’는 뜻이 되거든요.”

또한 바룬 콜리는 “고객으로서도 이번 보고서를 심각하게 받아들여야 한다”고 주장한다. “물론 고객이 은행의 보안 상태에 대해 할 수 있는 일이 거의 없는 게 맞습니다. 하지만 아예 없는 건 아닙니다. 자꾸만 문제를 제기하고 불만을 표현하면 은행은 움직일 수밖에 없습니다. 은행이 움직이면 보안 업계 전체가 움직이기 시작하고요. 은행이야 말로 보안의 가장 큰 고객이거든요.”

모바일 생태계의 두 거인인 애플과 구글은 패치를 주기적으로 배포한다. 하지만 사용자가 무시하면 노력이 수포로 돌아간다. 금융 업계의 종사자들이 구글이나 애플에서부터 오는 패치 통보를 못 받는 것일 수도 있고, 패치라는 것에 대한 개념이 없을 수도 있다. 그나마 소프트웨어와 하드웨어 모두를 통제하는 애플은 환경 자체가 패치를 배포하고 적용하는 게 간단 명료한 편인데 구글은 그렇지 않다. 구글이 패치를 한다 해도 각 하드웨어 업체는 물론 때론 통신사들까지 배포에 참여해야 한다.

시만텍의 이번 보고서를 통해 자잘한 업데이트는 둘째 치더라도 아예 OS 버전 자체가 이전 버전인 경우도 13%나 된다는 사실이 드러났다. 이런 경우 자잘한 업데이트가 충실히 된 경우는 1%에 불과했다. OS 브랜드별로 나눠보자면 최신 OS가 아닌 애플 모바일 기기 사용자는 4.6%, 안드로이드 기기 사용자는 47.8%였다.

이것이 금융 업계의 보안 현황이지만, 다른 산업과 비교해보면 양호하다는 것이 더 큰 문제다. 금융 업계는 보안이 삼엄하기로 유명하다. 콜리는 “금융 업계는 잦은 공격에 노출되어 있습니다. 그러니 다른 산업에 비해 단단할 수밖에 없어요. 하지만 그 ‘단단하다’는 명성도 자세히 들여다보면 1/4의 모바일 기기가 업데이트 되지 않은 채 사용되고 있다는 것이죠. 즉 모든 산업의 평균 보안 점수가 매우 낮다는 뜻입니다.”

콜리는 “이번 연구 결과에 놀랐다”고 말한다. “금융 업계라면 좀 다를 줄 알았어요. 하지만 기대치에 훨씬 못 미친 결과가 나왔습니다. 어느 특정 산업 한두 군데에서 인식 전환이 일어나봐야 보안은 개선되지 않습니다. 모든 산업들이 함께 움직여야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>