“안드로이드는 보안에 취약해?” 잘못된 상식을 깨뜨릴 5가지 보안 점검 질문

Computerworld
요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다.

그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다! 

굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.)

현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다. 

하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다.

다행히도, 단 한 가지 믿을 수 없는 보호 방식이 있다. 그것은 바로 정보다. 갖가지 위험이 도사린 인터넷에서 마주치는 안드로이드 보안 위협에 대한 간단한 5가지 질문 테스트를 준비했다. 테스트를 거치면 여러분의 모바일 생활이 한동안 과도한 걱정에서 자유로워질 것이다.

그러니 이 질문을 읽고, 노래로 만들어서 샤워할 때 큰 소리로 부르고, 가슴에 잘 새겨 두면서 어떤 식으로 내면화하고 기억하도록 하자. 그러면 별반 아는 것이 없는 사람들, 즉 친구, 가족, 직장동료, 그리고 심지어는 새끼 고양이 사이에서 이성적인 의견을 낼 수 있다.

준비되었는가?
 

1. 공포를 몰고 다니는 '연구'의 배후는 누구고, 이들의 동기는 무엇일까?

어떤 종류의 연구에서든 중요한 질문이다. 하지만 특히 안드로이드 보안이 우려되는 영역에서 답은 대부분 안드로이드 휴대폰의 보안 소프트웨어를 판매하는 사기업으로 귀결된다. 무슨 말인지 알겠는가? 서드파티 보안 소프트웨어는 거의 언제나 안드로이드에서는 불필요하다는 것을 말이다. 모바일 기술 세계에서 그것은 사기에 불과하다. 개발업체가 자사 제품의 필요성을 납득시키기 위해 지나친 공포 캠페인에 의존해야 하는 이유이기도 하다. 

자 이제, 보안 소프트웨어를 판매하는 회사가 보안 위협의 배후에 있다고 해서, 보안회사가 찾아낸 위협을 자동적으로 무시해야만 할까? 물론 그렇지는 않다. 하지만 당연히 그 회사의 동기를 맥락의 일부로 고려해야 한다.

이러한 회사는 아직 다뤄지지 않은 보안 상황을 검색해서 관련 마케팅 캠페인을 만드는 데 상당한 양의 자원을 투입한다. 누구든지 구글에 취약점을 보고할 수 있다는 점을 잊지 말자. 이들은 그것이 무엇이든 간에, 기억하기 쉽고 무시무시하게 들리는 이름을 일부러 지어내고, 가능한 한 많은 곳에 찾아낸 것을 발표하기 위해 본격적인 홍보 활동을 한다. 그리고 그들이 밀어붙이는 이야기는 자사가 개발한 소프트웨어만으로도 사악한 멀웨어 괴물로부터 모두를 보호할 수 있다는 내용을 꼭 포함한다. 동시에 이미 겹겹이 존재하는 보호 수단을 과소평가하면서 현실세계에서 거의, 또는 전혀 영향이 없는 위협을 가지고 겁을 준다.  

이렇게 되면 두 번째 질문을 던지지 않을 수 없다.
 

2. 보안 위협은 다운로드와 설치 단계에서 항상 주의해야 하는 것인가? 아니면 보통 사람이 접할 수 없는 이상한 무작위 앱과 관련이 있나?

무조건 다운로드할 생각을 잠시 접어두고 안드로이드 멀웨어 보고서를 읽어보면, 그 중 상당 부분이 어떤 불명확한 러시아 포르노 포럼에 로그인해서 앱을 설치하는 이야기라는 점을 알게 될 것이다. 그 다음에는 그 앱을 설치하기 위해서 휴대폰으로 인증을 요구한다. 이것은 안드로이드 기본설정 상 허락되지 않으며 어떤 상황에서도 기업 보안 정책상 허용되지 않을 가능성이 크다.

어떤 이유로든 플레이스토어가 아닌 곳에서 자주 앱을 설치한다고 해도, 정말로 위험한 앱을 만날 확률은 여전히 믿을 수 없을 정도로 낮다. 구글이 최근 발표한 플랫폼 전반에 관한 통계에 따르면, 2018년 내내 구글이 “해로울 가능성이 있는 애플리케이션”이라고 부르는 앱에 의해 영향을 받은 기기는 0.68%에 불과하며, 이들은 구글플레이가 아닌 곳에서 앱을 다운받아 설치한 것들이다. 즉, 전 세계적으로 1%도 안된다.

더욱이 대다수 일반 안드로이드 사용자나 기업 사용자들처럼 플레이스토어에서만 앱을 다운로드받아온 스마트폰을 대상으로 하면 이 숫자는 0.08%로 줄어든다.
 

3. 어쩌다가 악성 앱을 설치했을 때, 자동으로 보호가 될까? 

이상한 나라로 통하는 토끼 굴 속으로 조금 더 내려가보도록 하자. 무섭게 보이는 앱을 설치해 앱 괴물과 우연히 만났다고 가정해보자. 그렇게 되면 이미 엄청나게 큰 끔찍한 가능성을 넘어서 꽤 가설적인 영역으로 뛰어든 셈이다. 하지만 그런 경우에도 앱이 어떤 침해를 가져오기 전에 스마트폰이 앱을 정지시킬 가능성은 여전히 있다.

안드로이드에는 여러 층의 보안 장치가 있다는 점을 잊지 말자. 우선 모든 앱을 기기의 다른 영역과 분리하고 이러한 벽을 넘어설 수 있는 방법을 제한하는 샌드박스 시스템을 사용하는 운영체제 그 자체가 보안장치다. 또한, 어떤 앱이 사용자의 명시적 승인 없이 액세스할 수 있는 데이터 및 시스템 기능의 유형을 제한하는 허가 시스템도 있다. 휴대폰을 켤 때마다 시스템 소프트웨어의 완전성을 검증하는 검증 부팅 시스템도 있다. 끝으로 플레이스토어와 기기의 의심스러운 징후를(그리고 제조업체 또는 통신사가 제공한 업데이트 없이도 독자적으로 활성 상태를 최신 상태로 유지하는지도) 계속해서 스캔하는 구글 플레이 프로텍트도 있다. 

크롬 안드로이드 브라우저도 웹 사이트 기반의 위협을 주시하며, 안드로이드 자체는 SMS 기반의 사기 징후를 예의 감시한다.

다른 보안 설정과 마찬가지로 이러한 시스템도 결함이 없는 것은 아니다. 그렇지만 보안 소프트웨어 공급업체의 마케팅보다는 훨씬 더 믿을 만하다. 종종 위험한 것을 마주칠 가능성이 매우 낮기는 하지만, 그 보안장치들 중 적어도 하나는 위험한 앱이 아무것도 하지 못하게 막아줄 것이다. 
만일 그렇지 않을 경우에는 4번을 참고하자.
 

4. 모든 시스템이 작동하지 않은 상태에서 안드로이드 멀웨어를 찾아내서 설치하고 실행할 때는 어떤 일이 일어날까?

구글의 내부 통계에 따르면, 문제가 있는 앱이 플레이 스토어에 들어올 경우 그 앱은 개발자에게 부가 수익을 올려주는, 뭔가 음흉한 일을 하는 프로그램이다. 즉, 플레이 스토어에서 발생가능한 모든 잠재적인 악성 앱 설치의 절반 이상을 차지했던 2018년 클릭 사기 같은 것이다.

클릭 사기는 기록을 늘리기 위해 백그라운드에서 광고를 클릭한다는 앱을 말한다. 클릭 사기를 옹호하려는 것은 절대로 아니지만, 그렇다고 신분 도용, 데이터 손상, 보안 위협 마케팅이 지나치게 강조하는 것처럼 인생을 바꿀 위협을 주는 정도는 아니다.

예를 들어, 지난 주에 화제가 된 "에이전트 스미스" 악성코드를 예로 들어보자. (물론 이번 주 헤드라인을 방금 확인한 결과 이것 말고도 사례는 차고 넘친다.) 모바일 보안 소프트웨어 공급업체인 체크포인트가 발견해서 공개한 이 멀웨어는 "알려진 안드로이드 취약점을 이용해서 사용자의 지식이나 상호 작용 없이도 설치된 앱을 악성 버전으로 자동 대체한다"고 한다.

맙소사! 무서워서 의자 밑으로 몸을 숨겨야겠다. 

하지만, 잠깐만. 지금 무슨 말을 했나? (의자 밑에서는 잘 안들린다.) 이 무시무시한 맹수가 실제로 무슨 일을 저지른 것인가?

"이 악성코드는 금융 이익을 얻기 위한 사기성 광고를 보여주는데, 기기의 리소스에 광범위하게 액세스한다."라니?

맞다. 그게 전부다. 

그 외에도 이 앱은 주로 타사 앱 스토어에서 발견되었는데, 이 글을 읽고 있는 당신이라면 아마 한번도 사용해 본 적이 없을 것이다. 체크 포인트의 자료에 있는 일부 작은 글씨에 따르면, 심지어 이들 앱 스토어에서도 일반적으로 "겨우 작동하는 사진 [유틸리티], 게임 또는 섹스 관련 앱들"에 들어가 있다(편리하게도 잘 알려진 블로그나 보도 자료에는 이러한 작은 글씨의 내용이 포함되지 않았다.)

앞에서 말했듯이, 안드로이드 악성코드는 대부분 달러를 가로챌 수 있는 쉬운 기회를 엿보는 낮은 수준의 소매치기에 불과하며, 이마저도 직접적이지 않다. 즉, 희생자들의 삶에 침투해서 신분을 도용하는 도둑도 못 된다. 

그래서 마지막으로 다음과 같은 질문이 생긴다. 
 

5. 현실 세계에서 정상적인 사용자가 악성 앱에 실제로 영향을 받은 적이 있는가?

다음과 같은 질문을 던져보려고 한다. 안드로이드를 사용하는 모든 사용자 중 모바일 기기에서 합법적인 악성코드로 실제 피해를 받은 사례는 어느 정도인가? 우리가 방금 논의한 모든 주의사항을 고려한다면, 대답은 일반 적으로 "0"과 "없음" 사이 어디쯤 위치할 것이다. 

그리고 어떤 소프트웨어가 악명을 떨칠 수록, 일반 사용자의 삶과 관계가 있을 가능성은 더 줄어든다. 예를 들어, 이번 주에 신경 쓴 이름을 붙인 "모노클(Monokle)" 악성코드를 생각해보자. ("모노클"의 철자로 "k"를 써서 이름을 특이하고 위협적으로 보이게 하며, 검색어로 사용하기에 쉽다는 장점도 가진다. 모노클이 무슨 영향을 끼쳤는지 보도록 하자.)

"모노클"은 안드로이드에서 가장 오랫동안 보안 위협 캠페인을 만들어 온 업체인 룩아웃(Lookout)이 발견했다. 룩아웃에 따르면, 모노클은 "원격 액세스 트로이 목마 기능이 있고, 고급 데이터 유출 기술을 사용하고, 감염 장치에서 중간자 공격을 용이하게 하고, 신뢰할 수 있는 인증서 저장소에 공격자가 지정한 인증서를 설치한다."

정말 무서워서 오금이 저릴 지경이다. 하지만 잠시만 생각해보자. 정확히 언제 이 멀웨어가 튀어나와 날 공격할까? 아무도 현실에서 이 무서운 괴물을 실제로 본 적이 없다. 그렇지 않은가? 아무도 그것이 어떻게 분포되어 있는지 모르지 않는가? 아니면, 평범한 사용자가 어떤 방식으로든 저 악성 코드와 마주칠 것이라고 믿을 만한 어떤 이유라도 가지고 있는가? 

이 질문이 사실이라고 치더라도 용기를 잃을 필요가 없다. “룩아웃 사용자라면 이미 2018년 초부터 모노클로부터 보호되어” 왔으니까 말이다. 

자, 여러분, 이것이 현실이다. 안드로이드는 확실히 보안 분야에서 골머리를 썩일 만한 가능성을 지닌 운영체제다. 보안 업체는 바로 이 점을 붙들고 수익에 도움이 되는 공포를 조성하기 위해 평범한 휴대폰 사용자의 순진함을 이용한다. 그러한 두려움이 없다면, 이 업체들은 소프트웨어를 팔 수 없을 것이다. 그리고 소프트웨어를 팔지 못하면, 사업을 접어야 한다.

결국 도움이 되는 것은 약간의 안드로이드에 관한 지식, 그리고 건전한 상식이다. 악한 거대 보안 소프트웨어 업체 외에, 소프트웨어 공급업체도 자기 업체가 관련된 선정적인 이야기를 과장하고 싶어하므로, 과장된 위협이 확산되는 일은 앞으로도 계속될 것이다.

안드로이드 보안에 대해 두려워하기 전에 항상 앞선 5가지 질문을 항상 생각하면서 안드로이드 보안 위생을 스스로 유지해보자. 그러면 최신 안드로이드 멀웨어라는 괴물이 아무리 과장된 모습으로 겁을 줘도 두려워하거나 떨 이유가 없다는 것을 알게 될 것이다. editor@itworld.co.kr