2018.04.19

글로벌 칼럼 | 공황상태에 빠지기 전, 반드시 기억해야 할 안드로이드 보안 관련 6가지 ‘팩트’

JR Raphael | Computerworld
안드로이드 보안은 ‘공포’를 불러오는 주제다.

몇 주 간격으로 머리카락이 곤두설 만큼 무서운 뉴스들이 인터넷에 넘쳐난다. 악마 같은 해커가 우리 스마트폰을 해킹해 데이터를 훔치고, 신경을 긁고, 때로는 믿기지 않아 자신의 살을 꼬집을 수밖에 없는 그런 악행을 자행하게 될 것이라는 뉴스들이다.

이번 주도 다르지 않다. 바이퍼랫(ViperRat)과 데저트 스콜피온(Desrt Scorpion)이라는 끔직한 안드로이드 악성코드에 대한 뉴스가 전세계 스마트폰 사용자들을 무서움에 들게 했다. 지난 주도 마찬가지다. 안드로이드 디바이스 제조사의 보안 업데이트를 건너 뛸 수도 있다는 뉴스가 사람들을 겁에 질리게 만들었다.

확실히 불안과 걱정을 야기하는 소식들이다. 특히, 일반적인 악성코드와 관련 없는 지난 주 뉴스는 더하다. 제조사가 사용자를 기만할 수도 있음을 경고하는 뉴스다. 그러나 유념할 부분이 있다. 가정법을 사용했다는 것이다. 그런데 보통 사용자의 관점에서 보면, 이런 겁나는 이야기들에 진짜 겁을 내야 하는 경우는 거의 없다.

앞으로도 안드로이드 보안과 관련된 겁나는 뉴스가 또 등장할 것이다. 이때 마음을 조금 편안하게 만들어주는, 그래서 진짜 걱정해야 할 일만 걱정하도록 도와주는 안드로이드 보안에 대한 ‘팩트’ 6가지를 소개한다.

1. 안드로이드 악성코드가 ‘마법 같이’ 사용자 스마트폰에 자동 설치되는 경우는 없다
대부분의 사람들은 악성코드를 전염병 같은 무엇으로 생각한다. 아무런 일도 하지 않았는데 몰래 침입해 은밀하게 피해를 초래하는 무엇으로 생각한다는 이야기다. 분명히 말하지만 그렇지 않다. 최악의 시나리오에도 이런 식으로 자동 침입해 피해를 초래하는 경우는 없다.

악성코드는 사용자가 수동으로 설치하고 관련된 접근 권한을 승인해야 스마트폰을 탈취해 악생을 저지를 수 있다. 안드로이드 보안에 대한 정보와 뉴스 대부분은 사용자가 의도적이든, 교모한 속임수에 넘어갔든 두 가지 행위를 했다고 가정한다. 그런데 이 두 가지는 꽤 가정이라고 하기엔 꽤 큰 것이다.

2. 안드로이드 악성코드가 설치된 경우에도 요주의 데이터에 액세스할 수 있는 상태가 될 확률은 아주 낮다.
안드로이드에는 각 앱을 장치의 다른 부분과 분리하고, 이 분리된 경게선 밖으로 나가지 못하도록 만드는 샌드박싱 기술이 도입되어 있다. 기업용 디바이스에는 이런 장벽이 하나 더 있다. 개인 데이터와 기업 데이터를 분리하는 장벽이다.

필자는 지난 해 최근 구글을 그만 둔 안드로이드 보안 책임자를 인터뷰했다. 이 안드로이드 보안 전문가에 따르면, 현재 활성 안드로이드 악성코드 중에는 광고 악용, 봇넷과 같은 동작과 부정 클릭 유발, SMS 스푸핑 등으로 부당 이익을 추구하는 악성코드가 절대 다수를 차지하고 있다. 구글이 지난 달 발표한 안드로이드 보안 평가 보고서(Android Security Year In Review)도 지난 해 구글 내부 데이터를 근거로 비슷한 결론을 내리고 있다.

더 간단히 설명하면, 안드로이드 악성코드는 피해자의 일상에 침입하려는 ‘고급’ ID 도둑이 아닌, 통상 간접적으로 손쉬운 부당 이익 기회를 노리는 ‘저급’ 소매치기들의 영역이다.

3. 안드로이드 보안은 여러 계층으로 구성되어 있다
사용하는 스마트폰에 최신 안드로이드 보안 패치가 적용되지 않을 수도 있다는 뉴스는 분명 걱정이 될 만하다. 매달 배포되는 안드로이드 보안 패치는 보안에 아주 중요한 역할을 하기 때문이다. 그러나 동시에 보안 패치는 안드로이드 보안의 일부에 불과하다. 그리고 단 하나의 계층만으로는 위급한 상황이 초래되지 않는 시스템이 안드로이드 시스템이다.

대부분의 안드로이드 디바이스 보안은 앞서 설명한 샌드박싱, 플랫폼의 승인 시스템, 암호화 시스템, 베리파이드 부트(Verified Boot 시스템으로 구성되어 있다. 매년 운영체제 업데이트로 개선되는 보안 계층들이다. 2017년의 오레오와 현재의 안드로이드 P가 완벽한 사례다. 운영체제 업데이트가 정말 중요한 이유는 여기에 있다. 이들 보안 계층은 심각한 피해를 초래하는 대부분의 악성코드가 침입해 시스템을 감염시키기 어렵게 만든다.

여기에 플레이스토어와 디바이스에서 의심스러운 동작에 대한 신호를 찾는 구글 플레이 프로텍트(Google Play Protect)까지 가세한다. 제조사나 통신사를 통하지 않고, 독립적으로 업데이트되고 계속 작동하는 것이다. 물론, 구글 플레이 프로텍트에 아주 간헐적으로 문제가 발생하는 것은 사실이다. 그러나 언론 보도보다 빈도가 훨씬 낮고, 잠시 동안이다. 어떤 보안 시스템이든 이런 식의 문제에 직면하고 여기에 맞춰 조정한다. 이는 보안 시스템에 불가피한 부분이다.

이것이 다가 아니다. 안드로이드용 크롬 웹사이트 기반 위협을 감시한다. 또 안드로이드 자체가 SMS 기반 사기에 대한 신호를 감시하고, 이를 감지한 경우 경고를 한다.

이 모든 점을 종합하면, 다음과 같은 결론을 내릴 수 있다.

4. 사용자가 실제 안드로이드 악성코드를 만날 확률은 우스울 정도로 낮다
필자는 안드로이드 악성코드는 실제하는 것이 아닌 이론적인 것에 가깝다고 자주 주장했다. 이런 주장은 사실이다. 안드로이드 보안을 다룬 대부분의 뉴스는 위에서 설명한 다양한 보안 계층들, 보통 사람이 새로운 위협이 발생했을 때 실제 이에 직면하는 경우는 극소수에 불과하다는 점을 감안하지 않는다.

그러나 매년 여러 보안 사고 사례가 등장한다. 여기에는 이유가 있다.

먼저 통계부터 보자. 구글의 2017년 데이터에 따르면 플레이 스토어에서 ‘위험을 초래할 수 있는 앱’을 다운로드 할 확률은 약 0.02%에 불과하다. 지난해 전세계 안드로이드 디바이스 중 이런 상황에 직면한 비율은 10분의 1도 안된다. 플레이 스토어가 아닌 다른 소스에서 앱을 다운로드 한 전세계의 소수의 사람들 중, 지난 해 이런 ‘위험을 초래할 수 있는 앱’에 실제 영향을 받는 디바이스는 전체의 0.82%에 불과하다.

여기에 더해 이런 ‘위험을 초래할 수 있는 앱’이 어떤 앱인지도 살펴봐야 한다. 구글의 2017년 보고서에서 ‘위험을 초래할 수 있는 앱’ 가운데 절반 이상을 차지한 가자피시(Gajaphish) 악성코드의 예를 들자. 가자피시는 어떤 악성코드의 변종일까? 안드로이드 디바이스의 구글 계정 인증 토큰을 악용, 구글 플레이의 별점이나 댓글을 조작하려 시도하는 악성코드의 변종이다.

5. 비즈니스 때문에 안드로이드 악성코드에 대한 공포를 확산시킨다
새로운 안드로이드 보안 위협에 대한 뉴스나 정보를 접하면, 해당 위협에 대해 조사한 회사에 대해 검색해보기 바란다. 극히 예외적인 경우를 제외하고, 안드로이드용 보안 소프트웨어를 판매해 수익을 올리는 회사들이 대부분이다.

물론 이런 회사들의 주장은 모두 믿지 말라고 이야기 하는 것은 아니다. 맥락 뒤에 숨겨진 의도와 동기를 생각해 보라는 이야기이다. 이런 회사들은 안드로이드 보안에 대한 공포를 시장화하기 위해 노력한다. 사람들이 안드로이드 보안을 걱정해야 사업을 유지할 수 있기 때문이다.

마케팅을 하면서 위협과 관련된 위험을 끊임없이 과장하는 이유도 여기에 있다. 반면 이런 위협에 맞서는 보안 계층의 역할은 경시한다. 그러나 실제로는 이런 보안 계층들은 절대 다수의 사용자가 이런 위협을 걱정할 필요가 없도록 만든다.

6. ‘상식’이 안드로이드 보안에 아주 큰 도움을 준다
안드로이드 보안에 정말 큰 도움을 주는 것은 기본적인 ‘보안 위생’이다.

들어보지 못한 앱과 평판이 확실하지 않은 소스의 앱을 중심으로 앱을 다운로드 받기 전 앱에 대해 조사를 한다. 또 리뷰를 읽어본다. 앱이 요청하는 권한, 이런 권한이 타당한지 생각한다. 개발한 앱들이 어떤 앱들인지 알아보기 위해 개발자(개발사) 이름을 클릭한다.

확신이 없는 상태에서, 아무 웹사이트에서나 앱을 다운로드 받지 않는다. 알려지지 않은 외부 소스도 마찬가지이다. 권한 요청의 경우, 대상과 목적을 이해한 후 승인한다. 모르는 ‘무엇’에 대한 설치를 요청하는 경우 승인하지 않는다.

다시 한 번 강조한다. 신뢰할 수 있는 앱만 다운로드 받아 사용하고, 의심이 드는 앱은 피한다. 신뢰할 수 있는 앱이 어떤 앱인지 누구나 알 수 있을 것이다.

보너스: 안드로이드 보안과 관련된 뉴스를 접할 때마다 물어야 할 4가지 질문
필자가 안드로이드 보안에 대한 뉴스를 평가할 때 적용하는 4가지 질문들을 소개한다. 아주 효과적인 질문들이다. 불필요한 스트레스를 없애 줄 것이다.

1. 뉴스나 정보의 소스, 즉 해당 위협을 조사한 사람이나 회사가 누구인가? 의도와 동기가 무엇인가?

2. 자신이 다운로드 받아 설치할 앱과 관련된 위협인가? 아니면 보통 사람들은 접할 일이 없는 이상한 앱과 관련된 위협인가?

3. 가능성은 희박하지만, 위험을 초래할 수 있는 앱을 다운로드 받았다고 가정하자, 내 스마트폰이 자동으로 위협과 위험을 방어할까?

4. 실제 보통 사용자가 영향을 받은 사례가 있는가?

이런 질문들을 곰곰이 생각하고, 항상 안드로이드 ‘보안 위생’을 철저히 지킨다. 그러면 최신 안드로이드 멀웨어가 제아무리 위험하게 들려도, 이에 대해 지나치게 걱정할 이유가 없다. editor@itworld.co.kr
 


2018.04.19

글로벌 칼럼 | 공황상태에 빠지기 전, 반드시 기억해야 할 안드로이드 보안 관련 6가지 ‘팩트’

JR Raphael | Computerworld
안드로이드 보안은 ‘공포’를 불러오는 주제다.

몇 주 간격으로 머리카락이 곤두설 만큼 무서운 뉴스들이 인터넷에 넘쳐난다. 악마 같은 해커가 우리 스마트폰을 해킹해 데이터를 훔치고, 신경을 긁고, 때로는 믿기지 않아 자신의 살을 꼬집을 수밖에 없는 그런 악행을 자행하게 될 것이라는 뉴스들이다.

이번 주도 다르지 않다. 바이퍼랫(ViperRat)과 데저트 스콜피온(Desrt Scorpion)이라는 끔직한 안드로이드 악성코드에 대한 뉴스가 전세계 스마트폰 사용자들을 무서움에 들게 했다. 지난 주도 마찬가지다. 안드로이드 디바이스 제조사의 보안 업데이트를 건너 뛸 수도 있다는 뉴스가 사람들을 겁에 질리게 만들었다.

확실히 불안과 걱정을 야기하는 소식들이다. 특히, 일반적인 악성코드와 관련 없는 지난 주 뉴스는 더하다. 제조사가 사용자를 기만할 수도 있음을 경고하는 뉴스다. 그러나 유념할 부분이 있다. 가정법을 사용했다는 것이다. 그런데 보통 사용자의 관점에서 보면, 이런 겁나는 이야기들에 진짜 겁을 내야 하는 경우는 거의 없다.

앞으로도 안드로이드 보안과 관련된 겁나는 뉴스가 또 등장할 것이다. 이때 마음을 조금 편안하게 만들어주는, 그래서 진짜 걱정해야 할 일만 걱정하도록 도와주는 안드로이드 보안에 대한 ‘팩트’ 6가지를 소개한다.

1. 안드로이드 악성코드가 ‘마법 같이’ 사용자 스마트폰에 자동 설치되는 경우는 없다
대부분의 사람들은 악성코드를 전염병 같은 무엇으로 생각한다. 아무런 일도 하지 않았는데 몰래 침입해 은밀하게 피해를 초래하는 무엇으로 생각한다는 이야기다. 분명히 말하지만 그렇지 않다. 최악의 시나리오에도 이런 식으로 자동 침입해 피해를 초래하는 경우는 없다.

악성코드는 사용자가 수동으로 설치하고 관련된 접근 권한을 승인해야 스마트폰을 탈취해 악생을 저지를 수 있다. 안드로이드 보안에 대한 정보와 뉴스 대부분은 사용자가 의도적이든, 교모한 속임수에 넘어갔든 두 가지 행위를 했다고 가정한다. 그런데 이 두 가지는 꽤 가정이라고 하기엔 꽤 큰 것이다.

2. 안드로이드 악성코드가 설치된 경우에도 요주의 데이터에 액세스할 수 있는 상태가 될 확률은 아주 낮다.
안드로이드에는 각 앱을 장치의 다른 부분과 분리하고, 이 분리된 경게선 밖으로 나가지 못하도록 만드는 샌드박싱 기술이 도입되어 있다. 기업용 디바이스에는 이런 장벽이 하나 더 있다. 개인 데이터와 기업 데이터를 분리하는 장벽이다.

필자는 지난 해 최근 구글을 그만 둔 안드로이드 보안 책임자를 인터뷰했다. 이 안드로이드 보안 전문가에 따르면, 현재 활성 안드로이드 악성코드 중에는 광고 악용, 봇넷과 같은 동작과 부정 클릭 유발, SMS 스푸핑 등으로 부당 이익을 추구하는 악성코드가 절대 다수를 차지하고 있다. 구글이 지난 달 발표한 안드로이드 보안 평가 보고서(Android Security Year In Review)도 지난 해 구글 내부 데이터를 근거로 비슷한 결론을 내리고 있다.

더 간단히 설명하면, 안드로이드 악성코드는 피해자의 일상에 침입하려는 ‘고급’ ID 도둑이 아닌, 통상 간접적으로 손쉬운 부당 이익 기회를 노리는 ‘저급’ 소매치기들의 영역이다.

3. 안드로이드 보안은 여러 계층으로 구성되어 있다
사용하는 스마트폰에 최신 안드로이드 보안 패치가 적용되지 않을 수도 있다는 뉴스는 분명 걱정이 될 만하다. 매달 배포되는 안드로이드 보안 패치는 보안에 아주 중요한 역할을 하기 때문이다. 그러나 동시에 보안 패치는 안드로이드 보안의 일부에 불과하다. 그리고 단 하나의 계층만으로는 위급한 상황이 초래되지 않는 시스템이 안드로이드 시스템이다.

대부분의 안드로이드 디바이스 보안은 앞서 설명한 샌드박싱, 플랫폼의 승인 시스템, 암호화 시스템, 베리파이드 부트(Verified Boot 시스템으로 구성되어 있다. 매년 운영체제 업데이트로 개선되는 보안 계층들이다. 2017년의 오레오와 현재의 안드로이드 P가 완벽한 사례다. 운영체제 업데이트가 정말 중요한 이유는 여기에 있다. 이들 보안 계층은 심각한 피해를 초래하는 대부분의 악성코드가 침입해 시스템을 감염시키기 어렵게 만든다.

여기에 플레이스토어와 디바이스에서 의심스러운 동작에 대한 신호를 찾는 구글 플레이 프로텍트(Google Play Protect)까지 가세한다. 제조사나 통신사를 통하지 않고, 독립적으로 업데이트되고 계속 작동하는 것이다. 물론, 구글 플레이 프로텍트에 아주 간헐적으로 문제가 발생하는 것은 사실이다. 그러나 언론 보도보다 빈도가 훨씬 낮고, 잠시 동안이다. 어떤 보안 시스템이든 이런 식의 문제에 직면하고 여기에 맞춰 조정한다. 이는 보안 시스템에 불가피한 부분이다.

이것이 다가 아니다. 안드로이드용 크롬 웹사이트 기반 위협을 감시한다. 또 안드로이드 자체가 SMS 기반 사기에 대한 신호를 감시하고, 이를 감지한 경우 경고를 한다.

이 모든 점을 종합하면, 다음과 같은 결론을 내릴 수 있다.

4. 사용자가 실제 안드로이드 악성코드를 만날 확률은 우스울 정도로 낮다
필자는 안드로이드 악성코드는 실제하는 것이 아닌 이론적인 것에 가깝다고 자주 주장했다. 이런 주장은 사실이다. 안드로이드 보안을 다룬 대부분의 뉴스는 위에서 설명한 다양한 보안 계층들, 보통 사람이 새로운 위협이 발생했을 때 실제 이에 직면하는 경우는 극소수에 불과하다는 점을 감안하지 않는다.

그러나 매년 여러 보안 사고 사례가 등장한다. 여기에는 이유가 있다.

먼저 통계부터 보자. 구글의 2017년 데이터에 따르면 플레이 스토어에서 ‘위험을 초래할 수 있는 앱’을 다운로드 할 확률은 약 0.02%에 불과하다. 지난해 전세계 안드로이드 디바이스 중 이런 상황에 직면한 비율은 10분의 1도 안된다. 플레이 스토어가 아닌 다른 소스에서 앱을 다운로드 한 전세계의 소수의 사람들 중, 지난 해 이런 ‘위험을 초래할 수 있는 앱’에 실제 영향을 받는 디바이스는 전체의 0.82%에 불과하다.

여기에 더해 이런 ‘위험을 초래할 수 있는 앱’이 어떤 앱인지도 살펴봐야 한다. 구글의 2017년 보고서에서 ‘위험을 초래할 수 있는 앱’ 가운데 절반 이상을 차지한 가자피시(Gajaphish) 악성코드의 예를 들자. 가자피시는 어떤 악성코드의 변종일까? 안드로이드 디바이스의 구글 계정 인증 토큰을 악용, 구글 플레이의 별점이나 댓글을 조작하려 시도하는 악성코드의 변종이다.

5. 비즈니스 때문에 안드로이드 악성코드에 대한 공포를 확산시킨다
새로운 안드로이드 보안 위협에 대한 뉴스나 정보를 접하면, 해당 위협에 대해 조사한 회사에 대해 검색해보기 바란다. 극히 예외적인 경우를 제외하고, 안드로이드용 보안 소프트웨어를 판매해 수익을 올리는 회사들이 대부분이다.

물론 이런 회사들의 주장은 모두 믿지 말라고 이야기 하는 것은 아니다. 맥락 뒤에 숨겨진 의도와 동기를 생각해 보라는 이야기이다. 이런 회사들은 안드로이드 보안에 대한 공포를 시장화하기 위해 노력한다. 사람들이 안드로이드 보안을 걱정해야 사업을 유지할 수 있기 때문이다.

마케팅을 하면서 위협과 관련된 위험을 끊임없이 과장하는 이유도 여기에 있다. 반면 이런 위협에 맞서는 보안 계층의 역할은 경시한다. 그러나 실제로는 이런 보안 계층들은 절대 다수의 사용자가 이런 위협을 걱정할 필요가 없도록 만든다.

6. ‘상식’이 안드로이드 보안에 아주 큰 도움을 준다
안드로이드 보안에 정말 큰 도움을 주는 것은 기본적인 ‘보안 위생’이다.

들어보지 못한 앱과 평판이 확실하지 않은 소스의 앱을 중심으로 앱을 다운로드 받기 전 앱에 대해 조사를 한다. 또 리뷰를 읽어본다. 앱이 요청하는 권한, 이런 권한이 타당한지 생각한다. 개발한 앱들이 어떤 앱들인지 알아보기 위해 개발자(개발사) 이름을 클릭한다.

확신이 없는 상태에서, 아무 웹사이트에서나 앱을 다운로드 받지 않는다. 알려지지 않은 외부 소스도 마찬가지이다. 권한 요청의 경우, 대상과 목적을 이해한 후 승인한다. 모르는 ‘무엇’에 대한 설치를 요청하는 경우 승인하지 않는다.

다시 한 번 강조한다. 신뢰할 수 있는 앱만 다운로드 받아 사용하고, 의심이 드는 앱은 피한다. 신뢰할 수 있는 앱이 어떤 앱인지 누구나 알 수 있을 것이다.

보너스: 안드로이드 보안과 관련된 뉴스를 접할 때마다 물어야 할 4가지 질문
필자가 안드로이드 보안에 대한 뉴스를 평가할 때 적용하는 4가지 질문들을 소개한다. 아주 효과적인 질문들이다. 불필요한 스트레스를 없애 줄 것이다.

1. 뉴스나 정보의 소스, 즉 해당 위협을 조사한 사람이나 회사가 누구인가? 의도와 동기가 무엇인가?

2. 자신이 다운로드 받아 설치할 앱과 관련된 위협인가? 아니면 보통 사람들은 접할 일이 없는 이상한 앱과 관련된 위협인가?

3. 가능성은 희박하지만, 위험을 초래할 수 있는 앱을 다운로드 받았다고 가정하자, 내 스마트폰이 자동으로 위협과 위험을 방어할까?

4. 실제 보통 사용자가 영향을 받은 사례가 있는가?

이런 질문들을 곰곰이 생각하고, 항상 안드로이드 ‘보안 위생’을 철저히 지킨다. 그러면 최신 안드로이드 멀웨어가 제아무리 위험하게 들려도, 이에 대해 지나치게 걱정할 이유가 없다. editor@itworld.co.kr
 


X