• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

끝나지 않은 멜트다운과 스펙터, 모바일 환경에서는 어떤 의미? 2018.05.10

멜트다운과 스펙터에 대한 이해도는 올라가고 있으나, 위험성은 그대로
모바일 OS는 기존 패치 방식 적용할 수 없고 사용자가 통제권 가지고 있어

[보안뉴스 문가용 기자] 구글은 오늘 1월에 드러난 멜트다운(Meltdown) 취약점에 대한 추가 조치를 발표했다. 시간이 좀 지나서 잊어버렸을 수 있지만 멜트다운과 스펙터(Spectre) 사태는 아직 종료된 것이 아니라는 걸 알 수 있다. 멜트다운과 스펙터에 대한 걱정이 완전히 사라져도 될 때까지는 아직 가야할 길, 해야 할 패치가 남아있다. 그리고 하나 더 생각해야 할 것이 있는데, 바로 모바일이다.

[이미지 = iclickart]


모바일 OS의 차이점
현재 멜트다운과 스펙터 취약점을 모바일과 연결해서 이야기하는 사람은 많지 않다. 처음의 패닉 상태가 진정될 수 있었던 것은 그때보다 많은 사람들이 멜트다운과 스펙터에 대해 이해하기 시작했기 때문이다. 그러나 이해도가 올라갔다고 해서 위험도가 내려가는 건 아니다. 게다가 모바일 환경에서 멜트다운과 스펙터가 가지고 있는 의미는 이해조차 되지 않고 있는 게 현실이다. 이 단계를 먼저 해결해야 한다.

일단 모바일 기기와 전통적인 엔드포인트 기기들에는 중대한 차이가 있다. 패치와 관련된 것인데, 모바일 OS에는 기존 엔드포인트에 있던 푸시-풀(push-pull) 유형의 패치 환경이 조성되지 않는다는 것이다. 그러므로 “취약점이 발견되면 패치를 내라(push)”든가 “패치 이전 상태로 되돌려라(pull)”라는 조치가 성립되지 않는다. 멜트다운과 스펙터 취약점 패치가 어떤 형태로 배포되고, 어떤 해프닝들이 있었는지 기억해보라.

그렇다면 모바일에서 멜트다운과 스펙터는 어떻게 패치하나?
먼저 iOS를 살펴보자. 애플은 멜트다운과 스펙터 사태가 터졌을 때 이에 대한 패치를 만들어 배포했다. 하지만 위에서 말했지만 모바일 OS는 푸시된 업데이트를 받지 못한다. 어떻게 했을까? 애플은 사파리 브라우저를 사용했다. 그러자 구글도 안드로이드를 위해 비슷한 전략을 사용했다.

안드로이드 말이 나와서 말인데, 안드로이드는 안드로이드 대로 업데이트 등의 변경 사항을 각 모바일로 전달하는 데에 고충이 있다. 이를 한 마디로 표현하면 구글이 애써 발표한 업데이트가 최종 사용자들에게 전달되지 않는다는 것이다. 시기별로 다르기도 하지만, 안드로이드 기기들의 경우 오래된 버전을 사용하는 사람이 80%에 이르기도 한다. 애플의 경우 이 수치는 25-33% 정도다. 멜트다운과 스펙터에 대한 완결형 패치가 나온다 한들, 사용자에게 전달되지 않는다는 것이다.

결국 누군가 중간자 역할을 해야 한다. 각 벤더들이 패치를 배포하면 생태계 가장 마지막 단계에 있는 사용자에게 이것이 전달되도록 해야 한다는 것이다. 그리고 이 책임은 현재 직원들을 관리해야 하고, 중요한 데이터를 많이 보관하고 있는 기업들에게로 넘어가고 있는 분위기다. 기업들만이 직원들에게 패치와 업데이트를 교육시킬 수 있기도 하다.

좋은 면에서건 나쁜 면에서건, 사용자가 주인이 됐다
기존 엔드포인트 기기들과 모바일 기기들의 가장 큰 차이점은, 모바일에는 패치 관리 시스템이란 것이 존재하지 않는다는 것이다. 친한 보안 담당자에게 물어보라. 보안의 가장 큰 적은 무엇이냐고. 딱 하나만 꼽아보라고. 대부분 “사람”이라고 대답할 것이다. 기존 엔드포인트들의 경우 중앙에서 누군가 혹은 뭔가가 패치를 일률적으로 관리하는 게 가능했다. 회사가 중앙에서 백신을 설치하고 모니터링 및 관리할 수 있었고 패치도 할 수 있었다. 방화벽도, 누군가 혹은 뭔가가 중앙에서 이걸 조정하고 관리했다. 통제권이 개개인에게보다 보안 담당자에게 있을 수 있었다.

그런데 모바일 환경에서는 이 상황이 정 반대로 뒤집힌다. 사용자들은 엔드포인트에서 보안 담당자에게 관리를 받던 그 수준에 머물러 있는데, 갑자기 통제권이 사용자들로 넘어간 것이다. 모두가 자기 스스로의 보안 담당자이자 IT 관리자가 된 것인데, 이게 말이 좋지 실상은 전혀 그렇지 않다.

그렇다면...
다시 한 번 말하지만 멜트다운과 스펙터의 위험은 아직 끝나지 않았다. 그리고 그 위험성은 모바일 기기들에도 동일하게 적용된다. 그러나 모바일 기기들은 기존 엔드포인트 기기들에 비해 패치 방식도 다르고, 보안 환경도 다르며, 사용자 개입 비율도 다르다. 그렇다면 어떻게 해야 할까? 다음 몇 가지를 제안한다.

1) 통제권을 가져간 사용자들이 새로운 패치가 나올 때마다 업그레이드 할 수 있도록 북돋는 방법을 고민해야 한다. 배포처에서 받아서 사용자들에게 일일이 제공해주는 것이(즉, 떠먹여주는 것이) 좋은 방법일 수도 있다.

2) 모든 기기들에 대한 전면 패치가 아무래도 무리라면 정말 중요한 모바일 자산들을 가려내어, 그 기기들만이라도 집중적으로 관리한다.

3) 익스플로잇 시도, 악성 와이파이 네트워크들, 악성 앱들을 탐지할 수 있는 솔루션들을 도입하는 것도 중요하다. 사람‘만’ 문제인 것은 아니다.

글 : JT Keating, Zimperium

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>