2019.07.29

“안드로이드는 보안에 취약해?” 잘못된 상식을 깨뜨릴 5가지 보안 점검 질문

JR Raphael | Computerworld
요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다.

그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다! 

굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.)

현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다. 

하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다.

다행히도, 단 한 가지 믿을 수 없는 보호 방식이 있다. 그것은 바로 정보다. 갖가지 위험이 도사린 인터넷에서 마주치는 안드로이드 보안 위협에 대한 간단한 5가지 질문 테스트를 준비했다. 테스트를 거치면 여러분의 모바일 생활이 한동안 과도한 걱정에서 자유로워질 것이다.

그러니 이 질문을 읽고, 노래로 만들어서 샤워할 때 큰 소리로 부르고, 가슴에 잘 새겨 두면서 어떤 식으로 내면화하고 기억하도록 하자. 그러면 별반 아는 것이 없는 사람들, 즉 친구, 가족, 직장동료, 그리고 심지어는 새끼 고양이 사이에서 이성적인 의견을 낼 수 있다.

준비되었는가?
 

1. 공포를 몰고 다니는 '연구'의 배후는 누구고, 이들의 동기는 무엇일까?

어떤 종류의 연구에서든 중요한 질문이다. 하지만 특히 안드로이드 보안이 우려되는 영역에서 답은 대부분 안드로이드 휴대폰의 보안 소프트웨어를 판매하는 사기업으로 귀결된다. 무슨 말인지 알겠는가? 서드파티 보안 소프트웨어는 거의 언제나 안드로이드에서는 불필요하다는 것을 말이다. 모바일 기술 세계에서 그것은 사기에 불과하다. 개발업체가 자사 제품의 필요성을 납득시키기 위해 지나친 공포 캠페인에 의존해야 하는 이유이기도 하다. 

자 이제, 보안 소프트웨어를 판매하는 회사가 보안 위협의 배후에 있다고 해서, 보안회사가 찾아낸 위협을 자동적으로 무시해야만 할까? 물론 그렇지는 않다. 하지만 당연히 그 회사의 동기를 맥락의 일부로 고려해야 한다.

이러한 회사는 아직 다뤄지지 않은 보안 상황을 검색해서 관련 마케팅 캠페인을 만드는 데 상당한 양의 자원을 투입한다. 누구든지 구글에 취약점을 보고할 수 있다는 점을 잊지 말자. 이들은 그것이 무엇이든 간에, 기억하기 쉽고 무시무시하게 들리는 이름을 일부러 지어내고, 가능한 한 많은 곳에 찾아낸 것을 발표하기 위해 본격적인 홍보 활동을 한다. 그리고 그들이 밀어붙이는 이야기는 자사가 개발한 소프트웨어만으로도 사악한 멀웨어 괴물로부터 모두를 보호할 수 있다는 내용을 꼭 포함한다. 동시에 이미 겹겹이 존재하는 보호 수단을 과소평가하면서 현실세계에서 거의, 또는 전혀 영향이 없는 위협을 가지고 겁을 준다.  

이렇게 되면 두 번째 질문을 던지지 않을 수 없다.
 

2. 보안 위협은 다운로드와 설치 단계에서 항상 주의해야 하는 것인가? 아니면 보통 사람이 접할 수 없는 이상한 무작위 앱과 관련이 있나?

무조건 다운로드할 생각을 잠시 접어두고 안드로이드 멀웨어 보고서를 읽어보면, 그 중 상당 부분이 어떤 불명확한 러시아 포르노 포럼에 로그인해서 앱을 설치하는 이야기라는 점을 알게 될 것이다. 그 다음에는 그 앱을 설치하기 위해서 휴대폰으로 인증을 요구한다. 이것은 안드로이드 기본설정 상 허락되지 않으며 어떤 상황에서도 기업 보안 정책상 허용되지 않을 가능성이 크다.

어떤 이유로든 플레이스토어가 아닌 곳에서 자주 앱을 설치한다고 해도, 정말로 위험한 앱을 만날 확률은 여전히 믿을 수 없을 정도로 낮다. 구글이 최근 발표한 플랫폼 전반에 관한 통계에 따르면, 2018년 내내 구글이 “해로울 가능성이 있는 애플리케이션”이라고 부르는 앱에 의해 영향을 받은 기기는 0.68%에 불과하며, 이들은 구글플레이가 아닌 곳에서 앱을 다운받아 설치한 것들이다. 즉, 전 세계적으로 1%도 안된다.

더욱이 대다수 일반 안드로이드 사용자나 기업 사용자들처럼 플레이스토어에서만 앱을 다운로드받아온 스마트폰을 대상으로 하면 이 숫자는 0.08%로 줄어든다.
 

3. 어쩌다가 악성 앱을 설치했을 때, 자동으로 보호가 될까? 

이상한 나라로 통하는 토끼 굴 속으로 조금 더 내려가보도록 하자. 무섭게 보이는 앱을 설치해 앱 괴물과 우연히 만났다고 가정해보자. 그렇게 되면 이미 엄청나게 큰 끔찍한 가능성을 넘어서 꽤 가설적인 영역으로 뛰어든 셈이다. 하지만 그런 경우에도 앱이 어떤 침해를 가져오기 전에 스마트폰이 앱을 정지시킬 가능성은 여전히 있다.

안드로이드에는 여러 층의 보안 장치가 있다는 점을 잊지 말자. 우선 모든 앱을 기기의 다른 영역과 분리하고 이러한 벽을 넘어설 수 있는 방법을 제한하는 샌드박스 시스템을 사용하는 운영체제 그 자체가 보안장치다. 또한, 어떤 앱이 사용자의 명시적 승인 없이 액세스할 수 있는 데이터 및 시스템 기능의 유형을 제한하는 허가 시스템도 있다. 휴대폰을 켤 때마다 시스템 소프트웨어의 완전성을 검증하는 검증 부팅 시스템도 있다. 끝으로 플레이스토어와 기기의 의심스러운 징후를(그리고 제조업체 또는 통신사가 제공한 업데이트 없이도 독자적으로 활성 상태를 최신 상태로 유지하는지도) 계속해서 스캔하는 구글 플레이 프로텍트도 있다. 

크롬 안드로이드 브라우저도 웹 사이트 기반의 위협을 주시하며, 안드로이드 자체는 SMS 기반의 사기 징후를 예의 감시한다.

다른 보안 설정과 마찬가지로 이러한 시스템도 결함이 없는 것은 아니다. 그렇지만 보안 소프트웨어 공급업체의 마케팅보다는 훨씬 더 믿을 만하다. 종종 위험한 것을 마주칠 가능성이 매우 낮기는 하지만, 그 보안장치들 중 적어도 하나는 위험한 앱이 아무것도 하지 못하게 막아줄 것이다. 
만일 그렇지 않을 경우에는 4번을 참고하자.
 



2019.07.29

“안드로이드는 보안에 취약해?” 잘못된 상식을 깨뜨릴 5가지 보안 점검 질문

JR Raphael | Computerworld
요즘 IT 뉴스를 아주 자세히 들여다보지는 않았지만, 필자는 어떤 사악한 소리를 내는 가상의 그렘린이나 괴물들이 내 스마트폰에 침입해서 개인정보를 훔치고, 평생 두려움과 절망에 빠지게 만들 것 같은 의심을 남몰래 하고 있다.

그 괴물은 심지어 바로 지금 우리 집 부엌에서 과자를 훔쳐 먹고 있을 지도 모른다. 그 맛있는 과자를 전부 말이다! 

굳이 신문의 헤드라인을 아주 세심하게 훑어보지 않아도 이런 사고가 일어날 수 있는 가능성이 꽤 크다는 것은 누구나 안다. 격주로 여기 안드로이드 세계에서 발생하는 사고이기 때문이다. 한 달에 확실히 몇 번은 우스꽝스러운 이름을 한, 끔찍해 보이는 새로운 악성코드가 우리의 휴대폰과 삶으로 진격해오고는 한다. (독사와 쥐를 의미하는 바이퍼랫(ViperRat)! 사막 전갈을 말하는 데저트 스콜피온! 공포영화 제목에서 따온 우가-부가-미니-몬스터(Ooga-Booga-Meanie-Monster)!) 그렇지는 않더라도 설득력 있게 들리는 이러한 이야기들을 여러 번 들어는 봤을 것이다. (맞다. 우가-부가-미니-몬스터는 내가 방금 만든 말일지 모르지만, 흔한 명칭이다. 우리가 그 이름을 사용하는 것을 보는 것은 시간 문제에 불과할 것이다.)

현실에서는 기업의 마케팅 부서가 이 괴물들을 거의 매번 찾아내서, 신중하게 이름을 붙이고 고의적으로 다시 풀어준다. 이 부서의 수익은 사용자의 휴대폰이 항상 공격을 받고 있다는 생각을 심어주는 데서 나온다. 공포는 야단스러운 홍보의 수단이다. 평이하고 단순하지만 꽤 뻔뻔스러운 홍보인 셈이다. 

하지만 이 글을 읽는 당신은 아무것도 모른 채 순진하게 스마트폰을 들고 다니는 대중보다는 한 발 앞서 있는 셈이다. 안드로이드 전화기를 사용하면서 가장 높은 위험에 처해있는 사람들, 그리고 포켓몬을 하는 사람들보다는 말이다. 우리는 어떤 악랄한 안드로이드 악성코드에 감염되는 것이 아니라, 두려움에서 이익을 얻어내려는 기업들이 만들어내는 선정적인 공포 캠페인에 속아넘어가는 것이다.

다행히도, 단 한 가지 믿을 수 없는 보호 방식이 있다. 그것은 바로 정보다. 갖가지 위험이 도사린 인터넷에서 마주치는 안드로이드 보안 위협에 대한 간단한 5가지 질문 테스트를 준비했다. 테스트를 거치면 여러분의 모바일 생활이 한동안 과도한 걱정에서 자유로워질 것이다.

그러니 이 질문을 읽고, 노래로 만들어서 샤워할 때 큰 소리로 부르고, 가슴에 잘 새겨 두면서 어떤 식으로 내면화하고 기억하도록 하자. 그러면 별반 아는 것이 없는 사람들, 즉 친구, 가족, 직장동료, 그리고 심지어는 새끼 고양이 사이에서 이성적인 의견을 낼 수 있다.

준비되었는가?
 

1. 공포를 몰고 다니는 '연구'의 배후는 누구고, 이들의 동기는 무엇일까?

어떤 종류의 연구에서든 중요한 질문이다. 하지만 특히 안드로이드 보안이 우려되는 영역에서 답은 대부분 안드로이드 휴대폰의 보안 소프트웨어를 판매하는 사기업으로 귀결된다. 무슨 말인지 알겠는가? 서드파티 보안 소프트웨어는 거의 언제나 안드로이드에서는 불필요하다는 것을 말이다. 모바일 기술 세계에서 그것은 사기에 불과하다. 개발업체가 자사 제품의 필요성을 납득시키기 위해 지나친 공포 캠페인에 의존해야 하는 이유이기도 하다. 

자 이제, 보안 소프트웨어를 판매하는 회사가 보안 위협의 배후에 있다고 해서, 보안회사가 찾아낸 위협을 자동적으로 무시해야만 할까? 물론 그렇지는 않다. 하지만 당연히 그 회사의 동기를 맥락의 일부로 고려해야 한다.

이러한 회사는 아직 다뤄지지 않은 보안 상황을 검색해서 관련 마케팅 캠페인을 만드는 데 상당한 양의 자원을 투입한다. 누구든지 구글에 취약점을 보고할 수 있다는 점을 잊지 말자. 이들은 그것이 무엇이든 간에, 기억하기 쉽고 무시무시하게 들리는 이름을 일부러 지어내고, 가능한 한 많은 곳에 찾아낸 것을 발표하기 위해 본격적인 홍보 활동을 한다. 그리고 그들이 밀어붙이는 이야기는 자사가 개발한 소프트웨어만으로도 사악한 멀웨어 괴물로부터 모두를 보호할 수 있다는 내용을 꼭 포함한다. 동시에 이미 겹겹이 존재하는 보호 수단을 과소평가하면서 현실세계에서 거의, 또는 전혀 영향이 없는 위협을 가지고 겁을 준다.  

이렇게 되면 두 번째 질문을 던지지 않을 수 없다.
 

2. 보안 위협은 다운로드와 설치 단계에서 항상 주의해야 하는 것인가? 아니면 보통 사람이 접할 수 없는 이상한 무작위 앱과 관련이 있나?

무조건 다운로드할 생각을 잠시 접어두고 안드로이드 멀웨어 보고서를 읽어보면, 그 중 상당 부분이 어떤 불명확한 러시아 포르노 포럼에 로그인해서 앱을 설치하는 이야기라는 점을 알게 될 것이다. 그 다음에는 그 앱을 설치하기 위해서 휴대폰으로 인증을 요구한다. 이것은 안드로이드 기본설정 상 허락되지 않으며 어떤 상황에서도 기업 보안 정책상 허용되지 않을 가능성이 크다.

어떤 이유로든 플레이스토어가 아닌 곳에서 자주 앱을 설치한다고 해도, 정말로 위험한 앱을 만날 확률은 여전히 믿을 수 없을 정도로 낮다. 구글이 최근 발표한 플랫폼 전반에 관한 통계에 따르면, 2018년 내내 구글이 “해로울 가능성이 있는 애플리케이션”이라고 부르는 앱에 의해 영향을 받은 기기는 0.68%에 불과하며, 이들은 구글플레이가 아닌 곳에서 앱을 다운받아 설치한 것들이다. 즉, 전 세계적으로 1%도 안된다.

더욱이 대다수 일반 안드로이드 사용자나 기업 사용자들처럼 플레이스토어에서만 앱을 다운로드받아온 스마트폰을 대상으로 하면 이 숫자는 0.08%로 줄어든다.
 

3. 어쩌다가 악성 앱을 설치했을 때, 자동으로 보호가 될까? 

이상한 나라로 통하는 토끼 굴 속으로 조금 더 내려가보도록 하자. 무섭게 보이는 앱을 설치해 앱 괴물과 우연히 만났다고 가정해보자. 그렇게 되면 이미 엄청나게 큰 끔찍한 가능성을 넘어서 꽤 가설적인 영역으로 뛰어든 셈이다. 하지만 그런 경우에도 앱이 어떤 침해를 가져오기 전에 스마트폰이 앱을 정지시킬 가능성은 여전히 있다.

안드로이드에는 여러 층의 보안 장치가 있다는 점을 잊지 말자. 우선 모든 앱을 기기의 다른 영역과 분리하고 이러한 벽을 넘어설 수 있는 방법을 제한하는 샌드박스 시스템을 사용하는 운영체제 그 자체가 보안장치다. 또한, 어떤 앱이 사용자의 명시적 승인 없이 액세스할 수 있는 데이터 및 시스템 기능의 유형을 제한하는 허가 시스템도 있다. 휴대폰을 켤 때마다 시스템 소프트웨어의 완전성을 검증하는 검증 부팅 시스템도 있다. 끝으로 플레이스토어와 기기의 의심스러운 징후를(그리고 제조업체 또는 통신사가 제공한 업데이트 없이도 독자적으로 활성 상태를 최신 상태로 유지하는지도) 계속해서 스캔하는 구글 플레이 프로텍트도 있다. 

크롬 안드로이드 브라우저도 웹 사이트 기반의 위협을 주시하며, 안드로이드 자체는 SMS 기반의 사기 징후를 예의 감시한다.

다른 보안 설정과 마찬가지로 이러한 시스템도 결함이 없는 것은 아니다. 그렇지만 보안 소프트웨어 공급업체의 마케팅보다는 훨씬 더 믿을 만하다. 종종 위험한 것을 마주칠 가능성이 매우 낮기는 하지만, 그 보안장치들 중 적어도 하나는 위험한 앱이 아무것도 하지 못하게 막아줄 것이다. 
만일 그렇지 않을 경우에는 4번을 참고하자.
 



X