2017.11.08

글로벌 칼럼 | 서드파티 안드로이드 보안 앱이 전혀 의미 없는 3가지 이유

JR Raphael | CSO
“아주 무서운 새로운 안드로이드 악성코드가 잠복해 있다. 이를 의심하지 않아 위험에 노출된 사용자가 수백 만 명에 달한다. 지금 당장이라도 기업 데이터가 유출될 수 있다. 이런 위험으로부터 스스로를 보호하는 유일한 방법은 ‘이런저런 안드로이드 보안 앱’을 구매하는 것 뿐이다.”

이런 이야기를 들어 본 적이 있을 것이다. 분명하다. 거의 매달, 때로는 더 자주 이런 ‘경보’가 발령된다. 20미터 반경에 위치한 모든 안드로이드 디바이스를 수거, 신호가 도달하지 않는 벙커에 묻어버리고 싶을 만큼 무서운 경보다. 그러나 사실 이렇게 두려움을 유발하는 경보를 뒷받침할 근거가 없다. 다시 말해, 사람들을 오도하는 메시지다.

필자는 안드로이드 플랫폼이 등장한 후 지금까지 안드로이드를 다뤘다. 그런데 현재 기술 분야에서 가장 ‘센세이션’하고 오해가 많은 분야 중 하나가 안드로이드 보안이다. 이런 경보들이 남발되는 이유가 있다. 아주 단순하게도, 모바일 보안이 아주 큰 시장이기 때문이다. 수 많은 회사들이 지속적으로 불합리한 공포를 과장해 주입하고 이익을 챙기려 한다.

이 정도면 충분하다. 지금부터 안드로이드 보안의 현실, 즉, 서드파티 보안 소프트웨어가 해결책이 되기 힘든 이유를 설명하겠다.

1. 지금까지 알려진 안드로이드 악성코드 위협의 절대 다수는 이론에 불과하다
과장된 공포의 거품을 터뜨려 유감이지만, 지금까지 알려진 안드로이드 악성코드 위협이 실제 미국 기업이 운용하는 디바이스에 영향을 미칠 확률은 사실상 ‘0’에 가깝다. 공포를 유발하는 주장 속에 숨겨져 있는 자세한 정보를 살펴보면 그 이유를 알 수 있다.

꽤 오래 전, 9억 대의 안드로이드를 위험에 노출시킨다는 취약점인 ‘쿼드루터(Quadrooter)’를 기억하는가? 이 공격의 희생양이 되는 기업은 모든 비즈니스 활동을 멈출 수 밖에 없다는 주장이었다.

당시 이러한 위험을 ‘공표’한 체크포인트(Check Point)의 유이한 대응책은 ‘첨단 모바일 위협 탐지 및 경감 솔루션’밖에 없다고 단언했다. 이 회사가 기업 고객들에게 판매하고 있는 제품을 의미한다.

그러나 중요한 사실을 숨긴채 이런 공포 팔이 행동을 했다. 앞서 언급한 9억 대의 안드로이드 디바이스에 ‘첨단 모바일 위협 감지 및 경감 솔루션’이 이미 탑재되어 있다는 점이다. 당시 안드로이드 플랫폼에는 디바이스를 지속적으로 스캔해서 악성 앱 설치를 막고, 갑자기 의심스러운 동작을 하는 앱을 탐재하는 베리파이 앱(Verify app)이 탑재되어 있었다. 지금은 구글 플레이 프로텍트(Google Play Protect)로 통합되어 이름이 바뀐 도구다.

2010년 안드로이드 2.3 이후 버전이 설치된 디바이스에는 베리파이 앱이 기본으로 설치되어 있다. 사실상 모든 안드로이드 디바이스라고 봐도 된다. 체크 포인트가 홍보를 시작했던 시점, 구글은 안드로이드 시스템이 이미 능동적으로 쿼드루터 관련 동작으로부터 사용자를 보호하고 있다고 발표했었다. 게다가 실제로 쿼드루터가 관찰된 사례가 없었다.

이후에도 매번 같은 일이 반복되고 있다. 안드로이드 악성코드에 대한 보도 가운데에는 불필요한 소프트웨어에 대한 마케팅이 관련되어 있는 경우가 부지기수다. 구글이 최근 발표한 ‘안드로이드 보안 평가’ 보고서에 따르면, 2016년 4분기를 기준으로, 플레이 스토어에서 앱을 다운로드 받아 유해한 앱에 노출된 디바이스의 비율은 0.05%에 불과하다.

2. 서드파티 안드로이드 보안 소프트웨어는 기껏해야 안드로이드가 기본 제공하는 보안 기능과 중복된 기능을 제공한다
이렇게 과장된 가짜 위협이 넘치는 가운데, 간헐적으로 진짜 악성코드도 등장하고 있기는 하다. 올 여름 와이어엑스(WireX) 봇넷 공격이 좋은 사례다. 사이버 범죄자들이 의심스러운 구석이 많은 음성 앱을 수백 종 구글 플레이 스토어에 침입 시켰다. 미디어 플레이어와 벨소리 관련 도구를 가장한 앱들로, 실제로는 광범위한 DDoS 공격에 앱이 설치된 디바이스를 악용했다.

그러나 기억해야 할 내용이 있다. 와이어엑스 공격이 공개되기 전, 구글은 이미 플레이 스토어는 물론, 디바이스에서 이상 동작을 하는 악성 앱을 모두 제거한 상태였다.

구글의 안드로이드 보안 책임자인 애드리언 루드히는 “이런 종류의 침해를 발견하면 통상 ‘몇 시간’ 이내에 조치를 취한다”고 강조했다. 아예 대중에게 공개되지 않는 경우가 더 많다.

루드히는 “조치를 취한 앱 가운데 80~90%는 노출이 되지 않은 앱들이다. 구글 플레이에 업로드됐지만 발행하기 전에 차단했거나, 노출이 된 경우에도 극소수만 다운로드 받은 앱들이다”라고 설명했다.

서드파티 보안 앱들은 기껏해야 동일한 보호 기능과 수준을 제공한다. 기능 중복이 해가 되는 것은 아니지만, 유의미하지도 않다. 또한, 불필요하게 자원을 낭비한다. 무료가 아니기 때문에 돈이 낭비되고, 장치 성능이 저하된다. 특히, 메모리 최적화 등 생산성을 방해하는 요소들이 포함된 앱이 많기 때문이다.

주변에 물어보면 쉽게 알 수 있을 것이다. 안드로이드에 대해 잘 알고 있는 구글러, 개발자, 기술 분야 언론인 가운데 이런 도구를 사용하거나, 권장하는 사람이 단 한명도 없는 이유가 있다.

3. 안드로이드 악성코드를 접하더라도 기업 데이터가 감염될 확률은 아주 낮다
모바일 운영체제용 악성코드는 데스크톱용 악성코드와 크게 다르다. 2017년 윈도우 디바이스를 대상으로 한 워너크라이(WannaCry) 감염 사고를 예로 들자. 악성코드가 시스템에 몰래 침입, 그 안의 모든 것에 대한 액세스 권한을 탈취했다.

안드로이드 디바이스, 특히, 기업용으로 구성된 디바이스는 이런 정도의 보안 침해가 사실상 불가능하다. 첫째, 애플리케이션이 샌드박스 처리된다. 시스템 내부가 분리되어 있어 ‘가장 장벽’을 넘는 데 한계가 있다는 의미다. 둘째, 기업용으로 구성된 디바이스에는 개인 데이터와 회사 데이터를 분리시키는 또 다른 장벽이 존재한다.

루드히는 “지금까지 확인된 악성코드 중 샌드박스를 넘는 데 성공한 악성코드는 단 하나도 없다. 아니, 이런 시도조차 하지 않는다”고 설명했다.

기존 컴퓨터 바이러스는 이런 파라미터 안에서 동작하지 않는다. 사용자가 웹사이트를 방문하거나, 악성 메시지를 열었다는 이유만으로 자동 설치되는 안드로이드 악성코드는 존재하지 않는다. 명시적으로 설치해야만 한다. 교묘하게 제어하는 경우는 있지만, 이런 경우에도 명시적 설치가 필요하다. 설치가 된 후에도 사용자가 승인한 부분에만 액세스할 수 있다.

모바일 보안에 대한 교훈
보안 소프트웨어는 해결책이 될 수 없다. 그렇다면 해결책은 무엇일까? 첫째, 모바일 디바이스 침해와 이에 대한 대응책을 현실적으로 인식하는 것이 중요하다. SANS 인스티튜트의 ‘2017 엔드포인트 보안 조사’ 보고서에 따르면, 현재 기업 보안에 가장 큰 위험은 브라우저 기반 공격과 소셜 엔지니어링이다. 포네몬 인스티튜트(Ponemon Institute)의 조사 결과를 비롯, 직원들의 부주의가 데이터 침해 사고를 초리했음을 보여주는 조사 결과가 많다.

다시 말해, 기술이 아닌 사람이 가장 최약한 연결 고리다. 이는 안드로이드에도 적용된다. 즉, 합리적인 판단과 상식이 해결책의 절반을 차지한다. 의심스러운 앱을 다운로드하지 않고, 권한을 승인하지 않으면 된다. 그러면 이런 앱들이 갑자기 디바이스에 출현할 일이 없다.

기업 환경에서는 이런 책임을 사용자에게만 전가할 수 없다. 제조업체가 지속적으로 제때 운영체제 업데이트와 보안 패치 등 소프트웨어 업데이트를 제공하는지 면밀히 평가해야 하는 이유가 여기에 있다. 또, 신뢰할 수 있는 업체의 디바이스만을 제공해야 한다. 물론, 상시 구글 플레이 프로텍트가 작동하고 업데이트된다. 하지만 소프트웨어 토대를 주변에 둘러산 장벽만큼 튼튼하게 만드는 것이 좋다.

루드히는 BYOD 정책을 운영하고 있다면, 계층화된 접근법을 만드는 것이 좋다고 충고했다. 소프트웨어와 보안 업데이트가 최신 상태인 디바이스에 기업 데이터에 대한 격상된 액세스 권한을 주고, 위험한 디바이스는 액세스 권한을 제한하거나 없애는 방법이다.

또한, 보안의 기초를 잊지 말아야 한다. 보안 기준이 적절한 수준으로 유지되도록 모바일 장치 관리 도구를 사용한다. 직원들이 디바이스 암호화, 강력한 비밀번호, 생체 보호 기능, VPN 등을 사용하도록 만들어야 한다. 플레이 스토어 앱 다운로드를 제한하고, 리뷰 점수가 우수한 평판 높은 앱만 다운로드하는 것이 중요하다고 확실히 알려 주어야 한다. editor@itworld.co.kr
 

2017.11.08

글로벌 칼럼 | 서드파티 안드로이드 보안 앱이 전혀 의미 없는 3가지 이유

JR Raphael | CSO
“아주 무서운 새로운 안드로이드 악성코드가 잠복해 있다. 이를 의심하지 않아 위험에 노출된 사용자가 수백 만 명에 달한다. 지금 당장이라도 기업 데이터가 유출될 수 있다. 이런 위험으로부터 스스로를 보호하는 유일한 방법은 ‘이런저런 안드로이드 보안 앱’을 구매하는 것 뿐이다.”

이런 이야기를 들어 본 적이 있을 것이다. 분명하다. 거의 매달, 때로는 더 자주 이런 ‘경보’가 발령된다. 20미터 반경에 위치한 모든 안드로이드 디바이스를 수거, 신호가 도달하지 않는 벙커에 묻어버리고 싶을 만큼 무서운 경보다. 그러나 사실 이렇게 두려움을 유발하는 경보를 뒷받침할 근거가 없다. 다시 말해, 사람들을 오도하는 메시지다.

필자는 안드로이드 플랫폼이 등장한 후 지금까지 안드로이드를 다뤘다. 그런데 현재 기술 분야에서 가장 ‘센세이션’하고 오해가 많은 분야 중 하나가 안드로이드 보안이다. 이런 경보들이 남발되는 이유가 있다. 아주 단순하게도, 모바일 보안이 아주 큰 시장이기 때문이다. 수 많은 회사들이 지속적으로 불합리한 공포를 과장해 주입하고 이익을 챙기려 한다.

이 정도면 충분하다. 지금부터 안드로이드 보안의 현실, 즉, 서드파티 보안 소프트웨어가 해결책이 되기 힘든 이유를 설명하겠다.

1. 지금까지 알려진 안드로이드 악성코드 위협의 절대 다수는 이론에 불과하다
과장된 공포의 거품을 터뜨려 유감이지만, 지금까지 알려진 안드로이드 악성코드 위협이 실제 미국 기업이 운용하는 디바이스에 영향을 미칠 확률은 사실상 ‘0’에 가깝다. 공포를 유발하는 주장 속에 숨겨져 있는 자세한 정보를 살펴보면 그 이유를 알 수 있다.

꽤 오래 전, 9억 대의 안드로이드를 위험에 노출시킨다는 취약점인 ‘쿼드루터(Quadrooter)’를 기억하는가? 이 공격의 희생양이 되는 기업은 모든 비즈니스 활동을 멈출 수 밖에 없다는 주장이었다.

당시 이러한 위험을 ‘공표’한 체크포인트(Check Point)의 유이한 대응책은 ‘첨단 모바일 위협 탐지 및 경감 솔루션’밖에 없다고 단언했다. 이 회사가 기업 고객들에게 판매하고 있는 제품을 의미한다.

그러나 중요한 사실을 숨긴채 이런 공포 팔이 행동을 했다. 앞서 언급한 9억 대의 안드로이드 디바이스에 ‘첨단 모바일 위협 감지 및 경감 솔루션’이 이미 탑재되어 있다는 점이다. 당시 안드로이드 플랫폼에는 디바이스를 지속적으로 스캔해서 악성 앱 설치를 막고, 갑자기 의심스러운 동작을 하는 앱을 탐재하는 베리파이 앱(Verify app)이 탑재되어 있었다. 지금은 구글 플레이 프로텍트(Google Play Protect)로 통합되어 이름이 바뀐 도구다.

2010년 안드로이드 2.3 이후 버전이 설치된 디바이스에는 베리파이 앱이 기본으로 설치되어 있다. 사실상 모든 안드로이드 디바이스라고 봐도 된다. 체크 포인트가 홍보를 시작했던 시점, 구글은 안드로이드 시스템이 이미 능동적으로 쿼드루터 관련 동작으로부터 사용자를 보호하고 있다고 발표했었다. 게다가 실제로 쿼드루터가 관찰된 사례가 없었다.

이후에도 매번 같은 일이 반복되고 있다. 안드로이드 악성코드에 대한 보도 가운데에는 불필요한 소프트웨어에 대한 마케팅이 관련되어 있는 경우가 부지기수다. 구글이 최근 발표한 ‘안드로이드 보안 평가’ 보고서에 따르면, 2016년 4분기를 기준으로, 플레이 스토어에서 앱을 다운로드 받아 유해한 앱에 노출된 디바이스의 비율은 0.05%에 불과하다.

2. 서드파티 안드로이드 보안 소프트웨어는 기껏해야 안드로이드가 기본 제공하는 보안 기능과 중복된 기능을 제공한다
이렇게 과장된 가짜 위협이 넘치는 가운데, 간헐적으로 진짜 악성코드도 등장하고 있기는 하다. 올 여름 와이어엑스(WireX) 봇넷 공격이 좋은 사례다. 사이버 범죄자들이 의심스러운 구석이 많은 음성 앱을 수백 종 구글 플레이 스토어에 침입 시켰다. 미디어 플레이어와 벨소리 관련 도구를 가장한 앱들로, 실제로는 광범위한 DDoS 공격에 앱이 설치된 디바이스를 악용했다.

그러나 기억해야 할 내용이 있다. 와이어엑스 공격이 공개되기 전, 구글은 이미 플레이 스토어는 물론, 디바이스에서 이상 동작을 하는 악성 앱을 모두 제거한 상태였다.

구글의 안드로이드 보안 책임자인 애드리언 루드히는 “이런 종류의 침해를 발견하면 통상 ‘몇 시간’ 이내에 조치를 취한다”고 강조했다. 아예 대중에게 공개되지 않는 경우가 더 많다.

루드히는 “조치를 취한 앱 가운데 80~90%는 노출이 되지 않은 앱들이다. 구글 플레이에 업로드됐지만 발행하기 전에 차단했거나, 노출이 된 경우에도 극소수만 다운로드 받은 앱들이다”라고 설명했다.

서드파티 보안 앱들은 기껏해야 동일한 보호 기능과 수준을 제공한다. 기능 중복이 해가 되는 것은 아니지만, 유의미하지도 않다. 또한, 불필요하게 자원을 낭비한다. 무료가 아니기 때문에 돈이 낭비되고, 장치 성능이 저하된다. 특히, 메모리 최적화 등 생산성을 방해하는 요소들이 포함된 앱이 많기 때문이다.

주변에 물어보면 쉽게 알 수 있을 것이다. 안드로이드에 대해 잘 알고 있는 구글러, 개발자, 기술 분야 언론인 가운데 이런 도구를 사용하거나, 권장하는 사람이 단 한명도 없는 이유가 있다.

3. 안드로이드 악성코드를 접하더라도 기업 데이터가 감염될 확률은 아주 낮다
모바일 운영체제용 악성코드는 데스크톱용 악성코드와 크게 다르다. 2017년 윈도우 디바이스를 대상으로 한 워너크라이(WannaCry) 감염 사고를 예로 들자. 악성코드가 시스템에 몰래 침입, 그 안의 모든 것에 대한 액세스 권한을 탈취했다.

안드로이드 디바이스, 특히, 기업용으로 구성된 디바이스는 이런 정도의 보안 침해가 사실상 불가능하다. 첫째, 애플리케이션이 샌드박스 처리된다. 시스템 내부가 분리되어 있어 ‘가장 장벽’을 넘는 데 한계가 있다는 의미다. 둘째, 기업용으로 구성된 디바이스에는 개인 데이터와 회사 데이터를 분리시키는 또 다른 장벽이 존재한다.

루드히는 “지금까지 확인된 악성코드 중 샌드박스를 넘는 데 성공한 악성코드는 단 하나도 없다. 아니, 이런 시도조차 하지 않는다”고 설명했다.

기존 컴퓨터 바이러스는 이런 파라미터 안에서 동작하지 않는다. 사용자가 웹사이트를 방문하거나, 악성 메시지를 열었다는 이유만으로 자동 설치되는 안드로이드 악성코드는 존재하지 않는다. 명시적으로 설치해야만 한다. 교묘하게 제어하는 경우는 있지만, 이런 경우에도 명시적 설치가 필요하다. 설치가 된 후에도 사용자가 승인한 부분에만 액세스할 수 있다.

모바일 보안에 대한 교훈
보안 소프트웨어는 해결책이 될 수 없다. 그렇다면 해결책은 무엇일까? 첫째, 모바일 디바이스 침해와 이에 대한 대응책을 현실적으로 인식하는 것이 중요하다. SANS 인스티튜트의 ‘2017 엔드포인트 보안 조사’ 보고서에 따르면, 현재 기업 보안에 가장 큰 위험은 브라우저 기반 공격과 소셜 엔지니어링이다. 포네몬 인스티튜트(Ponemon Institute)의 조사 결과를 비롯, 직원들의 부주의가 데이터 침해 사고를 초리했음을 보여주는 조사 결과가 많다.

다시 말해, 기술이 아닌 사람이 가장 최약한 연결 고리다. 이는 안드로이드에도 적용된다. 즉, 합리적인 판단과 상식이 해결책의 절반을 차지한다. 의심스러운 앱을 다운로드하지 않고, 권한을 승인하지 않으면 된다. 그러면 이런 앱들이 갑자기 디바이스에 출현할 일이 없다.

기업 환경에서는 이런 책임을 사용자에게만 전가할 수 없다. 제조업체가 지속적으로 제때 운영체제 업데이트와 보안 패치 등 소프트웨어 업데이트를 제공하는지 면밀히 평가해야 하는 이유가 여기에 있다. 또, 신뢰할 수 있는 업체의 디바이스만을 제공해야 한다. 물론, 상시 구글 플레이 프로텍트가 작동하고 업데이트된다. 하지만 소프트웨어 토대를 주변에 둘러산 장벽만큼 튼튼하게 만드는 것이 좋다.

루드히는 BYOD 정책을 운영하고 있다면, 계층화된 접근법을 만드는 것이 좋다고 충고했다. 소프트웨어와 보안 업데이트가 최신 상태인 디바이스에 기업 데이터에 대한 격상된 액세스 권한을 주고, 위험한 디바이스는 액세스 권한을 제한하거나 없애는 방법이다.

또한, 보안의 기초를 잊지 말아야 한다. 보안 기준이 적절한 수준으로 유지되도록 모바일 장치 관리 도구를 사용한다. 직원들이 디바이스 암호화, 강력한 비밀번호, 생체 보호 기능, VPN 등을 사용하도록 만들어야 한다. 플레이 스토어 앱 다운로드를 제한하고, 리뷰 점수가 우수한 평판 높은 앱만 다운로드하는 것이 중요하다고 확실히 알려 주어야 한다. editor@itworld.co.kr
 

X