모바일 / 보안

“유용할수록 위험하다” 스마트폰 보안 위협과 대처 방법

Brent Rose | PCWorld 2011.01.17

과거의 전화기는 단순히 전화를 걸고 받는 기능만을 했다. 전화를 사용하며 보안에 대해 걱정해야 할 부분은, 누군가 다른 방에서 수화기를 들고 통화내용을 엿듣는 것은 않는가 뿐이었다.

 

하지만 2011년에 와서는 전화기와 컴퓨터의 경계가 거의 허물어졌다. 사실상 스마트폰은 겨우 10년 전의 데스크톱 컴퓨터보다도 강력하고 다양한 기능을 가지고 있다.

 

효용성이 증가한 것은 위험성도 증가했다는 의미이다. 개인적인 것이든, 그렇지 않은 것이든, 모바일 기기에 많은 정보를 저장하는 것은 스마트폰이 새로운 해킹의 대상으로 떠오르도록 만든다. 그에 따라, 스마트폰에 침입하려는 많은 시도, 그리고 그를 막기 위한 지속적인 노력이 이루어지고 있다.

 

스마트폰 보안이 정말 그렇게 중요할까?

 

절대적으로 그렇다. 앞으로는 점점 더 중요해질 것이다. 그렇지만 그 중요성은 실제 사용자나 기업에 따라서 달라질 것이다.

 

모바일 보안에 대한 위협이 항상 알아채기 쉬운 것은 아니다. 그러한 위험성은 누군가 타인의 스마트폰을 주워서 전자메일을 읽는 것 같은 단순한 것에서부터 트로이 목마, 바이러스, 혹은 정보를 빼돌리는 서드파티 애플리케이션 같은 복잡한 것들에 이르기까지 다양하다.

 

여기 일반적인 보안 위험성과 그에 대처하기 위한 방법들을 소개한다.

 

핸드폰을 잃어버리지 마라

 

너무 당연한 말일지도 모르지만, (특히 다른 사람들에게 보여줄 수 없는 애플의 새 프로토타입을 들고 있는 경우에는) 핸드폰을 술집 테이블에 내려놓지 말아라. 만약 공공장소에 있다면, 주머니나 열린 가방처럼 다른 사람들이 쉽게 보고 훔쳐갈 수 있는 곳에 넣고 다니지 말아라. 너무 뻔한 충고 같지만, 실제로 이런 경우가 핸드폰 도난의 대부분을 차지한다.

 

보안의 첫 단계 : 잠금 설정

 

AP2827.JPG항상 잠금 상태를 유지하거나, 입력 없이 일정 시간이 지나면 잠금이 되도록 설정해라. 그리하여 핸드폰을 다시 사용하기 위해 비밀번호가 필요하도록 해라. 주요한 스마트폰 운영체제는 모두 이러한 기능을 지원한다.

 

비밀번호는 스스로는 잊어버리기 힘들고, 하루 내내 자주 사용해야 하는 만큼 입력하기는 쉽고, 하지만 다른 사람들은 추측하기 힘든 것을 만들어야 한다. 이름을 포함하거나, 주민등록증이나 운전면허증에서 찾을 수 있는 것이나, “1234” 같은 간단한 숫자들은 좋은 비밀번호가 아니다.

 

스마트폰 OS 별로, 일정 시간이 지나면 잠기도록 설정하는 법은 아래와 같다:

 

◆ 안드로이드: 이전의 안드로이드는 오로지 패턴락(pattern unlock, 스마트폰을 사용하기 위해서 특정한 패턴을 그려야 하는 방식)만을 지원했지만, 프로요(2.2)부터는 PIN(숫자 비밀번호)과 비밀번호를 지원한다. 홈 스크린에서 메뉴 버튼을 누르고 설정 ? ‘장소 및 보안’에 들어가면, ‘화면 잠금 설정’에서 비밀번호를 설정하는 다양한 옵션들을 볼 수 있다. 화면 자동 꺼짐을 설정하기 위해서는 다시 설정 메뉴로 나와서 디스플레이 메뉴에 들어가야 한다. (만약 패턴락을 사용할 생각이라면, 선들이 서로 엇갈리는 복잡한 패턴을 사용해라. 그렇지 않으면 액정 화면 위에 남아있는 손자국을 통해서 다른 사람들이 패턴을 추측해낼지도 모른다)

 

◆ 블랙베리: 홈 스크린에서 옵션 - 보안 옵션 - 일반 설정을 눌러라. 그곳에서 비밀번호 사용 여부, 비밀번호 설정/변경, 그리고 시간 잠금 설정을 모두 할 수 있다.

 

◆ iOS: 이전 버전의 iOS는 오로지 4자리 PIN 만을 지원했다. 다행히 iOS 4는 더 긴 비밀번호를 설정할 수 있는 옵션을 제공한다. 설정 앱을 열고, 일반 ? ‘암호 잠금’ 항목을 열어라. 또 ‘암호 잠금’ 바로 위에 있는 ‘자동 잠금’ 옵션을 통해 일정 시간 이후에 자동으로 잠기도록 설정할 수 있다.

 

◆ 윈도우폰 7: 설정(Settings)을 열고 잠금 및 배경화면(Lock and Wallpaper)을 선택해라. 이 메뉴에서 비밀번호를 설정하고 변경하고, 화면 자동 잠금을 설정할 수 있다.

 

보안의 두 번째 방어선 : 원격삭제

 

회사마다 요구하는 보안 레벨과 지켜야 하는 규정이 다르지만, 위에서 언급한 비밀번호 보안과 함께 ‘원격 삭제’ 기능은 대부분의 IT 부서에서 요구하는 최소한의 기준이다.

 

원격 삭제 기능은 스마트폰을 분실하거나 도난 당한 경우, 원격에서 전자메일, 주소록, 문자, 그리고 다른 문서들을 삭제하여, 정보가 잘못된 곳으로 새어가지 않도록 막아주는 기능이다.

 

어느 스마트폰 운영체제를 사용하더라도 마이크로소프트 익스체인지(Microsoft Exchange)를 사용하면 모바일 기기에 저장된 자료들을 삭제하는 기능을 구현할 수 있다. 하지만 익스체인지 계정이 없는 사람이나 IT 부서들에게는 다른 선택지가 있다.

 

◆ 안드로이드, 블랙베리 그리고 윈도우폰 7: 이 중 하나의 OS를 사용하고 있다면, 원격 삭제 기능을 제공하는 여러 환상적인 서드파티 애플리케이션을 사용할 수 있다. 웹을 통해 스마트폰 내의 자료를 삭제할 수 있을 뿐 아니라, GPS를 통해 잃어버린 기기를 추적하고, 데이터를 백업하고, 바이러스 검사까지 할 수 있는 룩아웃 모바일 시큐리티(Lookout Mobile Security)가 바로 그런 프로그램 중 하나이다. 기본 버전은 무료이지만, 원격 삭제 같은 추가적인 기능을 사용하기 위해서는 (한 달에 3 달러 혹은 일 년에 30달러의 비용을 내고) 프리미엄 계정을 구입해야 한다. 보안 애플리케이션 산업에서 경쟁하는 다른 주자들도 있다: 예를 들면, 노티파이MDM(NotifyMDM), 시만텍(Symantec), 그리고 젠프라이즈(Zenprise) 는 여러 휴대용 기기들을 한꺼번에 관리할 수 있는 시스템을 기업을 대상으로 판매하고 있다.

 

◆ iOS: 아이폰 원격 삭제는 좀 어려운 문제이다. 만약 iOS 4.2 혹은 그 이상의 버전을 사용 중이라면, 앱스토어에서 나의 아이폰 찾기(Find My Phone) 앱을 다운로드 받아, 설정 메뉴의 모바일미(MobileMe)에서 사용 가능하도록 설정하면 된다. 이렇게 하면 핸드폰을 잃어버린 경우에 애플의 웹사이트를 통해 모바일미를 사용하면 위치를 추적하거나, 메시지를 보내거나, 데이터를 삭제할 수 있다. 만약 그보다 오래된 버전의 iOS를 사용 중이라면, 모바일미 계정을 사용하기 위해 1년에 99달러라는 비싼 비용을 지불해야 한다. 또한 설정 ? ‘메일, 연락처, 캘린더’ 항목으로 들어가서 데이터 업데이트(Fetch New Data)의 푸시(Push)를 활성화해야 한다. 그러고 나서 다시 메일, 연락처, 캘린더 화면으로 돌아와서 모바일미 계정을 선택하면 서비스를 사용할 수 있다.

 

여기서 언급된 모든 서비스들과 비슷한 다른 서비스, 모바일 디펜스(Mobile Defense)나 웨어 이즈 마이 드로이드?(Where’s My Droid?) 모두 GPS를 통해 핸드폰의 위치를 찾을 수 있도록 도와준다. 최근 들어 이러한 애플리케이션들은 몇몇 도둑, 차량절도범들을 잡는 데에 기여하면서 크게 주목 받고 있다.

#######

트로이목마, 맬웨어, 그리고 바이러스

 

젠프라이즈(Zenprise)의 최고마케팅책임자 아메드 다투는 “스마트폰의 숫자가 수억 개에 달하면서, 그들은 점점 더 유력한 공격 대상이 되고 있다”라고 말한다. 젠프라이즈는 기업의 IT 부서에서 원격지에 있는 모든 모바일 장치들을 한번에 검사하여 어떠한 유해 프로그램도 침입하지 못하도록 해주는 시스템을 만든다.

 

그는 “모든 플랫폼 전반에 걸쳐 악성프로그램이 증가하는 것을 발견했으며, 최근 들어 이 경향은 새로이 급증하는 iOS, 안드로이드 기반 장치들에 집중되어 있다”고 이야기 한다.

 

이러한 결과가 비공식적인 웹사이트를 통해 제공되는 해적판 소프트웨어를 설치할 때만 일어나는 일이라고 생각한다면, 이러한 침입이 공식 앱스토어를 통해서도 일어날 수 있다는 사실을 알아야 할 것이다.

 

그럼 이제 어떻게 해야 할까? 한번 더 서드파티 애플리케이션으로 눈을 돌려야 할 때이다. 안드로이드, 블랙베리, 혹은 윈도우폰 7 사용자라면 다시 룩아웃을 주시해라. 룩아웃은 스마트폰 내의 멀웨어, 스파이웨어를 검사하고, 게다가 새로 다운로드하는 모든 애플리케이션을 검사한다. 그렇다고 해도, SMS 혹은 MMS 스크립트는 잡지 못하므로, 모르는 누군가로부터 받은 MMS 를 열기 전에는 한번 더 생각해보아야 한다. 거의 모든 모바일 플랫폼을 대상으로 하는 기업용 제품을 만들고 있는 시만텍은 안드로이드 혹은 윈도우폰 7을 사용하는 일반 소비자를 위한 툴도 만든다. 또한 모바일 디펜스(Mobile Defense) 같은 다른 소프트웨어도 나오고 있다.

 

iOS에는 일반 소비자가 구할 수 있는 안티바이러스 앱이 존재하지 않고, 대신에 악성프로그램의 접근을 원천 봉쇄하는 애플사의 엄격한 앱스토어 정책에 의존해야 한다. 하지만 등록되는 앱들의 규모와 속도를 생각해 봤을 때, 위험이 발견되지 못한 채 감시망을 빠져나가는 앱들이 있을 수 밖에 없다. 사람이 실수할 가능성은 너무도 높다. iOS 사용자라면 트렌드 스마트 서핑(Trend Smart Surfing) 앱을 사용할 수 있다. 이 앱은 악성코드나 잠재적인 피싱 공격의 위험이 있는 사이트에 대한 접속을 차단해준다. 그렇지만 다양한 유입경로를 고려하여 더 많은 보안책을 세워놓는 것이 좋을 것이다.

 

너무 많은 정보를 공유하는 서드파티 앱들

 

서드파티 애플리케이션을 설치할 때, 사용자는 해당 애플리케이션에게 특정한 권한들을 허가한다. 그런 권한은 물리적인 위치, 사람들의 연락처, 아니면 다른 개인적인 정보에 이를 수 있다. 대부분의 애플리케이션들은 아무 문제가 없긴 하지만, 앱 제작자가 그런 권한들을 이용하여 무슨 짓을 하고 있는지 알 방법이 없다.

 

대부분의 스마트폰 운영체제들은 이러한 문제를 중앙 집중화된 앱 스토어의 심사 과정을 통해 해결하려 한다. 하지만 이 경우에도 미처 발견되지 못하고 새어나가는 것들이 있을 수 있다.

 

AP6C12.JPG안드로이드는 이 문제에 대해 다른 방법으로 접근한다. 중앙 집중된 심사는 느슨하지만, 실제 사용자가 더 많은 정보를 볼 수 있다. 안드로이드에 애플리케이션을 설치하기 전에, 각각의 애플리케이션은 필요한 권한들을 사용자에게 요청한다. 그런 메시지들을 무시하고 넘어가지 마라. 왜 단순한 배경화면 하나를 설치하는 데에 주소록과 위치 정보를 요구하는지 한 번 의심해볼 필요가 있다. 애플리케이션에 권한을 허용할 때에는 좀 더 신중해져야 한다.

 

또한 모든 플랫폼에서, 애플리케이션 점수를 주목하고 코멘트들을 읽으면서 다른 사용자들의 반응을 보아야 한다. 어떤 앱이 겨우 50건의 다운로드 횟수와 별점 2점을 기록했다면, 왜 그런지를 꼼꼼히 살펴봐라. 상식으로 생각할 수 있는 것들이 바로 최고의 보안책이 될 수 있다. 그리고 혹시나 이런 주목을 피해간 앱이 있다면, 룩아웃 프리미엄을 통해 각 애플리케이션에 허가된 권한들을 종합적으로 확인할 수 있다.

 

페이스북이나 판도라(Pandora)같은 거대한 기업들 조차 일반적으로 예상하는 것보다 더 많은 사용자 정보를 공유(라고 쓰고, ‘판매’라고 읽는다)해왔다. 보안을 위해 선택할 수 있는 옵션은 이러한 애플리케이션을 피하거나 편지쓰기 캠페인을 시작하는 것 밖에는 없다.

 

어떤 OS가 더 안전한가?

 

이 질문에 답하기는 쉽지 않다. 모든 주요 스마트폰 운영체제들은 지난 해 큰 약진을 보여주었다.

 

시만텍의 모바일 보안 생산관리 책임자 코이 응웬의 말에 따르면, “기업 통제와 보안의 관점에서는 아직 블랙베리가 표준적으로 사용되고 있다.” RIM의 휴대폰은 발전된 암호화 체계를 제공한다(정부에서는 검열이 가능).

 

하지만 지난 6개월 동안 애플과 안드로이드는 보안 관리를 위한 지원을 확장했고, 많은 회사들이 이것을 이용함에 있어 불편함이 없어 보인다고 말을 보탰다. 또한 한층 향상된 보안 지원을 위해서 HTC나 모토로라(Motorola) 같은 하드웨어 제조사들은 다양한 OS들 위에 자체적으로 만든 소프트웨어를 추가해왔다.

 

윈도우폰 7을 발매한 마이크로소프트는 이전의 구글이나 애플과 비슷하게, 일단 일반 사용자를 위한 기능에 집중하여 시작하는 전략을 쓰고 있다. 하지만 이후에 업무 친화적인 보안 옵션을 더 추가할 것이 틀림없다.

 

안드로이드가 기업에 대규모로 보급되는 것을 지연시키는 가장 큰 요인은 (특히 SD카드에서) 암호화 기능의 부족이다. 그것은 전자메일 첨부파일들을 SD카드에 저장해야 하는 비즈니스 사용자에게는 큰 위험 부담이 된다.

 

이와 반대로 블랙베리는 SD카드를 암호화할 수 있는 기능을 제공한다. 다른 한편으로 iOS와 윈도우폰 7은 현재로서는 아예 이동식 저장장치를 지원하지 않는다. 그렇긴 하지만, 많은 기업들은 원격 삭제만 된다면, 암호화되지 않은 SD카드를 쓰는 기기도 기꺼이 사용하려 한다. 이렇게 암호화되지 않은 SD카드를 원격 삭제 기능으로 보조하는 것은 대부분의 일반 사용자에게도 괜찮은 선택이 될 것이다. 하지만 꼭 알아두어야 할 것은, 원격에서 핸드폰의 데이터를 삭제하기 위해서는 반드시 해당 핸드폰의 전원이 켜져 있으며 데이터 망에 연결되어 있어야 한다는 사실이다. 그러므로 원격 삭제를 시도하기 전에 누군가 스마트폰의 배터리를 뺀다면, 해당 스마트폰의 SD카드는 삭제할 방법이 없다.

 

IT 종사자를 위한 스마트폰 보안

 

지난 해, 기업들의 생태는 급격하게 변화했다. 최종 사용자는 각자 자신이 선호하는 모바일 기기가 있으며, 이를 자신들의 사무실에서도 활용하고 싶어한다. 보안의 위험을 고려하여, 그런 사용에 제제를 가하는 일이 항상 순조롭게 이루어지는 것이 아니다.

 

다투는 “IT 부서에서 어떤 장비는 사용가능하고, 어떤 장비들은 불가능한지를 규제하기 위해 보내는 시간은 순전히 낭비이다. 그러니 IT 부서들은 진짜 임무인 보안 강화에 더욱 주력해야 한다”고 이야기 한다.

 

너무 많은 플랫폼과 새로운 기기들이 시장에 범람하는데, 작은 회사의 일개 IT 담당자가 어떻게 이 일일이 모든 기기를 추적하여 바이러스 없이 안전하게 유지할 수 있을까? 많은 회사들은 이러한 일을 노티파이MDM, 시만텍, 그리고 젠프라이즈와 같은 소프트웨어 회사에게 일임하며, 이 소프트웨어회사들은 단일 인터페이스에서 회사 내 기기들을 관리할 수 있게 해주는 툴을 제공한다.

 

이러한 서드파티 소프트웨어는 IT 관리자가 모든 사용자(그 수가 5명에 불과하든, 혹은 5만7,000명에 이르든 간에)의 기기들을, 최신/최첨단 제품도 놓치지 않고 검사할 수 있게 해준다. 지속적으로 새롭게 변화하는 세상이다. 아직 지금의 PC공격에 필적할 정도의 스마트폰 공격이 일어나진 않았지만, 그러려는 시도는 점점 더 잦아지고 있다. 그리고 그 시도는 급격히 증가할 것이다. 언제나 비판적인 사고와 브라우저를 통한 지속적인 정보 검색이 보안을 위한 최고의 방지책이다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.