모바일 / 보안

'첫 구글 폰' 모토 X, 기업 보안 측면에선 끔찍한 악몽?

Antone Gonsalves | CSO 2013.08.06


BYOD(Bring Your Own Device)가 확산되면서 이미 보안 악몽에 직면한 기업들이 구글의 모토 X 출시로 더 궁지에 몰리게 됐다.

최근 모토 X를 공개한 구글은 사용하기 쉬운 디지털 비서 기능을 통해 소비자들을 유혹하고 있다. 디지털 비서는 사용자의 이메일과 일정을 읽고 검색 쿼리를 추적해 사용자가 원하는 정보와 서비스를 추측한다. 이러한 데이터 수집은 기기의 효용성을 높여줄지 모르지만 기업 입장에서는 상당히 신경이 쓰이는 부분이다.

리콘 애널리틱스(Recon Analytics)의 수석 애널리스트인 로저 엔트너는 “제품 엔지니어들은 멋진 아이디어에만 매달리고, 그 파급 효과에 대한 신중한 검토는 이루어지지 않는 것 같다”고 말했다.

구글 소유의 모토로라가 설계하고 제작한 모토 X의 사용 편의 기능들은 소비자에게는 매력적이지만 IT 보안 담당자에게는 걱정거리다. 일단 상시 가동 마이크가 있다. 이 마이크는 사용자가 예를 들어 '구글 나우'와 같은 트리거 단어를 사용해서 기기를 활성화하고 전화를 걸거나 서비스 및 기능을 이용할 수 있게 해준다.

이 상시 가동 마이크와 방대한 데이터 수집의 결합으로 인해 모토 X는 안드로이드 기기의 제어 권한을 가로채는 맬웨어 개발에 집중하는 사이버 범죄자, 사이버 스파이들에게 좋은 먹잇감이 된다.

보안 전문가들은 안드로이드 맬웨어를 제작 및 배포하기 위한 범죄 도구들이 꾸준히 발전하고 있다고 지적한다. 시스코의 2013 연간 보안 보고서를 보면 2012년 안드로이드 맬웨어의 수는 2,500% 이상 증가했으며 인터넷 모바일 보안 위협의 95%를 차지했다.

현재 맬웨어는 사용자를 꾀어 온라인 스토어에서 감염된 앱을 받아 설치하도록 하거나 문자 메시지의 악성 링크를 클릭하도록 유도해서 안드로이드 기기의 제어 권한을 획득할 수 있다. 모바일 보안 업체 모카나(Mocana)의 시장 개발 담당 부사장인 커트 스탬버거는 “이렇게 되면 모든 보안이 무력화되고, 평소에 유용한 모든 센서들이 지속적으로 소리와 영상 정보를 수집하는 도구로 변모된다”고 말했다.

모토로라 모토 X는 플라스틱 토큰을 통한 핸즈 프리 인증 기능도 제공한다. 이 토큰은 옷에 고정하는 방식이며 근거리 통신(NFC)을 통해 정보를 송수신한다. 2~3m 이내의 가까운 거리에 이 토큰이 있으면 암호가 없어도 잠금을 해제할 수 있다. 토큰은 별도로 판매된다고 한다.

이에 대해 IDC의 애널리스트 윌리엄 스토페가는 현재 라스베이거스에서 진행 중인 두 보안 컨퍼런스를 언급하며 “블랙 햇(Black Hat)이나 데프콘(Defcon)에 참여한 사람들 중 누군가가 이를 우회하는 방법을 찾아낼 것이라고 확신한다”고 말했다.

보안 측면에서 이처럼 위험한 기능을 제공하는 안드로이드 폰은 모토 X가 최초가 아니다. 업계 전문가들은 최근 공개된 모토로라 드로이드 역시 같은 기능을 갖고 있다고 말한다.

한편 구글은 이미 모토 X를 구글의 대표 스마트폰으로 선언했으며, 모토로라 모빌리티에 마케팅 예산 5억 달러(약 5,570억 원)를 책정한 것으로 전해졌다. 구글이 이렇게 강력하게 지지한다면 그만큼 성공 가능성도 높아진다.

스마트폰의 사용 편의성을 최대한 강화하는 구글의 전략은 소비자 시장에서 판매를 늘리기 위해 필요한 부분이다. 사용자가 회의를 위해 출발하기 전에 자동으로 교통 상황을 전해주는 폰이라면 당연히 많은 사람들에게 만족감을 줄 것이다.

그러나 이러한 서비스를 제공하기 위해 필요한 데이터 수집과 사용 편의성을 위한 마이크, 카메라, NFC는 기업 입장에서 자유로운 BYOD 정책을 실행하기가 더욱 어려워진다는 것을 의미한다. 엔트너는 “개인용 기기의 업무 사용은 전체적으로 보안 측면에서는 악몽”이라고 말했다.

스토페가는 직원이 자신의 개인용 기기를 사용하여 회사 네트워크에 접속할 수 있는지 여부는 그 직원의 업무에 따라 결정되어야 한다고 말했다. 예를 들어 회사의 최고 연구 책임자라면 엄격한 보안 통제 없이 자신의 위치를 알리거나 부하 직원 및 상사와 대화를 주고받기를 원하지 않을 것이다. 스토페가는 “일정한 시점이 되면 기업들은 일정 레벨의 사람과 그 사람에게 투자된 지적 자본에 대해 통제 수단을 갖추어야 한다”고 말했다.

전문가들은 그러한 수단을 갖추기 전까지, 현재로서는 모토 X를 멀리하는 편이 좋다고 말한다. 엔트너는 “구글과 모토로라가 이러한 기능의 잠재적 악용에 어떻게 대처할지 확실히 파악하고 보장을 받을 때까지는 기업 고객에게 모토 X를 권장하지 않을 것”이라고 말했다. editor@idg.co.kr
 Tags 모토 X

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.