• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

“개인정보 집약된 휴대폰, 보안대책 절실” 2007.05.03

“모바일 포렌식과 악용 방지위한 대책 병행돼야”


휴대전화를 이용한 배우자의 사생활 감시가 도를 넘어서고 있다는 보도를 종종 접하게 된다.


배우자 휴대전화의 암호를 알아내 통화내역, 문자메시지 등을 훔쳐보는 것은 ‘애교’에 속한다. 메신저 등의 인터넷을 통한 문자메시지 열람서비스에 몰래 가입하거나 휴대전화 통화내역과 문자메시지를 컴퓨터로 엿보기도 하고, 자신의 명의로 위치추적 서비스를 신청한 휴대전화를 배우자의 차량에 몰래 숨겨놓기도 한다.


휴대전화의 보안 취약성 문제는 애인이나 부부간에만 해당하는 것이 아니다. 휴대전화의 암호를 해킹하거나 모바일 인터넷을 사용할 때 네트워크 취약성을 이용해 개인정보를 빼낼 수도 있다.


휴대전화의 보안 취약성은 한두 가지가 아니며, 이 같은 문제는 하루 이틀 제기된 것도 아니다. 아리랑치기 수법으로 휴대전화와 지갑을 훔쳐 휴대전화의 개인정보를 탈취하는 것은 기본이며, 인터넷에 떠돌아다니는 해킹툴로 휴대전화 암호를 간단히 알아내 금전적인 이익을 취하는 수법도 이미 수 년 전부터 지적된 바 있다.


지난달 17일 고려대학교 정보보호기술연구센터에서 발표한 <휴대전화 패스워드의 취약점 및 대응방안>에서도 휴대전화의 비밀번호 인증방식이나 관리에 있어서 취약점이 그대로 나타난다.


이 연구를 이끌었던 이상진 교수는 “한 두 해 동안 제기됐던 문제가 아니지만, 휴대전화의 보안 취약성에 누구도 관심을 기울이지 않기 때문에 해결되지 않고 있다”고 설명했다.


이상진 교수는 “제조회사는 휴대전화를 많이 팔면 되고, 이동통신회사는 통화료만 벌어들이면 된다는 생각뿐”이라며 “정부에서 먼저 나서서 이와 관련한 대책을 마련하는 것이 필요하다”고 강조했다.


정부에서 완전히 손을 놓고 있는 것은 아니다. 사실 이 논문은 과학기술부의 <디지털증거 획득기반 기술연구> 1차년도 결과물이며, 논문에서 밝힌 휴대전화 해킹 가능성에 대해서는 조만간 한국정보보호진흥원에서 시연한 후 휴대폰 제조사와 함께 대책을 마련할 계획을 갖고 있다.


이상진 교수는 “이보다 더 큰 문제는 모바일 포렌식”이라고 강조했다. 모바일 포렌식이란 범죄에 사용한 휴대폰의 각종 정보를 분석해 결정적인 단서를 찾아내는 것을 말한다.


휴대폰은 PC와 달리 개인이 임의로 프로그램을 내려 받거나 지우기가 어려워 범죄 수사에서 매우 중요한 단서가 된다. 그러나 포렌식 기술이 범죄수사가 아닌 부분에서 사용된다면 큰 문제가될 수 있다.


배우자나 애인의 통화기록·메시지 기록을 분석해 사생활을 침해하는 것은 물론이고, 스토킹·개인정보 도용 등 각종 범죄에 악용될 수도 있다. 이 때문에 모바일 포렌식이 일반화되기 전에 이같은 문제를 방지할 대책을 마련하는 것이 시급하다.


이상진 교수는 “아직 모바일 포렌식은 초보단계에 지나지 않는다. 휴대전화 제조사와 모델마다 다르기 때문에 암호화된 데이터를 복구하는데 한계가 있다. 이제 막 연구를 시작하는 단계”라며 “그러나 범죄수사를 위해 모바일 포렌식은 피할 수 없는 순서이고, 본격적으로 시행되기 전에 악용을 막는 장치가 반드시 필요하다”고 말했다.


“휴대폰 비밀번호 체계 변경이나 모바일 포렌식은 기술의 발달을 전제로 이뤄지지만, 악용을 막는 장치는 제도의 변경으로 가능하다. 보안성을 강화하면 기술발달이 더디다는 것은 논리에 맞지 않다.”


이 교수는 이같이 주장하며 “휴대폰에 저장된 각종 개인정보는 본인과 수사기관 등 아주 제한적인 목적에서만 사용될 수 있도록 강력한 규정을 마련해야 한다”고 말했다.


모바일 포렌식을 위해 가장 먼저 필요한 것이 휴대전화의 표준화이다. 암호를 규정하고 보안관련 규정을 만들기 위해서는 반드시 표준화가 필요하지만 제조사 간의 의견일치을 이루기 어렵다는 한계도 있다.


이 교수는 “휴대전화에 스팸차단 기능 하나 추가하는 데에도 엄청나게 많은 노력을 기울여야 했다”며 “이통사는 이용자들이 스팸으로 인해 피해를 보든지 말든지 통화료만 많이 나오면 된다고 생각하는 모양”이라고 비판했다.


그는 이용자 스스로의 개인정보 유출 방지 노력도 필요하다고 덧붙였다. 휴대폰 자체에 개인이 할 수 있는 일은 거의 없다. 그러나 온·오프라인을 통해 진행되는 각종 이벤트나 회원가입 등을 통해 개인정보가 유출되는 경우가 많으므로 스스로가 개인정보 공개에 대해 주의를 기울여야 한다는 것이다.


“기업에게 제공하는 개인정보 수준을 어디까지로 할 것인지에 대한 기준이 스스로 마련돼 있어야 한다. 특히 어린아이나 청소년의 경우, 작은 선물에 개인정보를 남발해 피해를 입는 일이 있으므로, 개인정보 보호에 대한 교육이 반드시 필요하다.”

[김선애 기자(boan1@boannews.co.kr)]


<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>