모바일 / 보안 / 스마트폰 / 안드로이드 / 오픈소스

IDG 보안 컨퍼런스 2015 인터뷰| "개방형 보안, 항내성을 증가시킨다"...애드리안 루드윅 구글 안드로이드 보안 책임자

이대영 기자 | CIO 2015.08.24
모바일 보안 위협은 나날이 증가하고 있다. 특히 안드로이드 기반의 스마트폰 사용자를 노리는 악성코드는 2014년 총 143만 247개로 2013년에 비해 14.2%나 증가했으며, 올해에는 모바일 악성코드의 양적 증가와 함께 안드로이드 스마트폰을 겨냥한 랜섬웨어도 발견되고 있다.

최근 악성코드가 포함된 동영상이나 오디오를 첨부한 문자메시지나 MMS를 전송하는 것만으로 감염될 수 있는 스테이지프라이트(Stagefright) 취약점은 안드로이드 운영체제에 대한 전반적인 회의를 가져왔다.

이에 대해 구글 안드로이드 보안 책임자인 애드리안 루드윅과의 서면 인터뷰를 통해 나날이 증가하는 모바일 위협에 대한 안드로이드의 대응 전략에 대해 들어봤다.

Q. 모바일 보안 위협이 상당히 진화하고 빈번해지고 있다. 대부분의 위협이 안드로이드 운영체제를 표적으로 하는데, 구글의 대응 전략은 어떠한가.

A. 구글은 안드로이드 사용자와 생태계의 안전을 지키기 위해 여러 가지 대응 방안을 갖고 있다. 우선 플랫폼 레벨에서 지속적으로 보안에 투자한다. 구글은 사용자 데이터와 기기를 보호하기 위해 애플리케이션 서명, 시스템 완전성 점검, SELinux(보안 강화 리눅스), ASLR(Address Space Layout Randomization), 그리고 트러스트존(TrustZone)과 같은 애플리케이션 샌드박스 모델을 사용한다.

또한 구글 플레이(Google Play)를 위한 많은 보안 기능을 갖고 있다. 악성 앱과 악성코드로부터 사용자를 보호하기 위해 모든 앱들을 구글 플레이에 게재하기 전에 애플리케이션 보안 리뷰 프로세스를 거친다.

무엇보다 구글은 안드로이드 2.3 이상에서 사용할 수 있는 보안 기능인 베리파이 앱스(Verify Apps)를 소개했다. 베리파이 앱스 모듈은 구글 플레이에서 앱 설치 과정들을 점검하며 악성 프로그램을 감지하고, 매일 수억 건의 바이러스형 스캔을 구동해 기기와 시스템에 위협을 줄 수 있는 코드 및 앱 활동을 검색한다.

이를 통해 만약 사용자들이 잠재적으로 해로운 애플리케이션을 설치하거나 또는 설치하려고 할 때 이를 경고해준다. 이런 방식은 위협의 규모가 커짐에 따라 대응 강도 역시 강력해지는 비례형 구조로써 효율성을 보장한다.

이와 함께 구글은 올해부터 취약점과 잠재적인 익스플로잇을 발견해 주는 보안 연구원들에게 보상하는 안드로이드 보안 보상 프로그램을 시행하고 있다.

마지막으로 구글은 안드로이드 기기가 최신 보안 픽스들이 빠르게 진행될 수 있도록 노력하고 있다. 최근 구글은 넥서스 기기에서 완전히 보안에 초점을 맞춘 정기 업데이트를 시작할 것이라고 발표했다. 삼성과 LG와 같은 파트너들도 자사의 대표 기기들의 안전을 위해 이와 유사한 약속을 했다.

Q. 치명적인 안드로이드 보안 취약점은 꾸준히 계속 발견되고 있다. 일부에서는 구글의 개방성과 과도한 개인정보 수집이 원인이라고 주장한다.

A. 개방형 생태계는 보안을 향상시키고 안드로이드를 더 강하게 만든다고 생각한다. 왜냐하면 안드로이드는 오픈소스이고, 이것이 어떻게 운영되고 잠재적인 보안 위협을 발견하는 것은 누구든지 할 수 있다. 누구든지 연구에 참여할 수 있으며, 안드로이드 보안을 강화하기 위해 기여할 수 있다. 이런 연구원들을 보상하고 이들의 노력의 결과를 격려하기 위해 구글은 올해부터 안드로이드 보안 보상 프로그램을 시행하고 있다.

또한 구글은 모든 OEM 업체와 파트너들과 함께 보안과 위협에 대한 정보를 공유하고 있다. 보안 보고서를 발간하고 타 기업과 연구진들과 활발하게 교류하며 잠재적인 리스크를 예방하고 공격이 발생했을 때 반응한다.

최근에는 넥서스 보안 고시(Nexus Security Bulletin)를 제공함으로써 사용자들이 최신 이슈를 명확하게 이해하고, 자신의 기기가 최신 보안으로 업데이트할 수 있도록 도와준다.

Q. 구글은 안드로이드 보안 취약점 신고 시 최대 8,000달러의 보상금을 지급한다는 버그바운티 프로그램을 발표한 바 있다. 이를 시행한 동기는 무엇이며, 지금까지 성과는 어떠한가?

A. 2010년 이래로, 구글은 자사의 제품들이 더 안전하도록 안드로이드 보안 보상 프로그램(Android Security Rewards)에 투자해 왔다. 지난해, 구글은 150만 달러 이상의 금액을 크롬과 다른 구글 제품의 취약점을 발견한 보안 연구원들에게 지급했다.

올해에는 안드로이드 보안 보상 프로그램으로 확대했다. 이는 안드로이드의 취약점을 발견하고, 고치고, 예방하는 연구원들의 노력에 감사하기 위한 것이다. 테스트와 패치를 제공해주는 연구원들을 높게 보상하고자 함이다.

개방형 보안 연구는 안드로이드 플랫폼의 핵심 강점이다. 안드로이드에 중점을 둔 보안 전문가들이 많아질수록, 보안은 더욱 강해진다.

Q. 최근 이탈리아 보안업체인 해킹 팀이 각국 정부에 판매한 침입 및 감시 툴인 RCS로 인해 전세계가 떠들썩하다. 여기에는 안드로이드 폰도 상당히 많이 포함되어 있는데, 이와 관련해 구글은 어떠한 조치를 취했는가?

A. 구글은 안드로이드 사용자에게 미치는 잠재적인 위협에 대해 지속적으로 보안 연구 및 보고서들을 모니터링하고 있다. 해킹 팀에 대한 정보가 입수됐을 때, 우리는 사용자들을 보호하는 환경에 대해 면밀히 검토하기 시작했다.

우리는 우선 해킹 팀의 감시 툴 기능에 중점을 뒀다. 구글이 제일 처음 시도한 것은 구글 플랫폼 보호 수준을 평가하고 베리파이 앱스(Verify Apps)를 강화하기 위해 이번 기회를 활용했다.

안드로이드와 관련한 새로운 취약점은 발견되지 않았으나, 일부 해킹 팀 툴들을 상업적인 스파이웨어로 분류해, 앞으로 베리파이 앱스를 통해 이 애플리케이션들이 기기에 설치되지 않도록 블록 처리했다.

한 가지 재미있는, 그러나 덜 알려진 것은 해킹 팀의 해킹은 상당히 다양한 안드로이드 기기에 걸쳐져 있었다는 점이다. 안드로이드 생태계의 다양성은 똑같은 플랫폼에서보다 공격을 보다 복잡하게 만든다는 것이 검증됐다.

Q. 안드로이드 보안이 나아가는 방향은.

A. 개방형 플랫폼으로 설계된 안드로이드는 혁신을 권장하고, OEM업체, 보안 연구진, 구글 팀을 포함한 다방면에서 도움을 받아들인다. 이런 점 때문에 굉장히 중요한 개발의 몇몇 패턴들이 있다.

우선 나는 비밀번호 기반의 인증에서 기기 단의 인증을 기반으로 한 더욱 탄탄해진 인증과 사용하기에 더 편리한 메커니즘으로 모바일 산업이 움직이고 있는 것에 매우 자부심을 느낀다.

강력한 애플리케이션 샌드박스와 탄탄한 하드웨어 기반의 기억 장치 키와 같은 안드로이드 보안은 사용자 보안과 사용자 경험에서의 다양한 보안 향상을 가능케 한다는 점을 강점으로 한다.

또다른 거론하고 싶은 것은 안드로이드 생태계에서 보안의 항내성(robustness)이 증가되고 있다는 점이다. 플랫폼 내에서, 구글은 공격 완화와 공격 접점을 줄이는 것에 광범위하게 투자해오고 있다. 이는 안드로이드에서의 보다 적은 취약점과 공격의 낮은 성공율을 가져오게 한다.

또한 네트워크에서의 데이터 암호화 사용을 권장하기 위해 여러가지 변화를 시도해오고 있다. 구글은 이런 노력들을 확대할 계획이며, 이를 통해 공격자보다 앞서고자 한다. 이와 함께 다단계 보안을 제공함으로써 상당한 효과를 보고 있다. 그래서 베리파이 앱, 세이프티넷(SafetyNet)과 같은 서비스들이 사용자들을 보호하기 위한 구글 보안 전략의 중요한 부분이 될 것이다.

마지막으로, 구글은 어떤 보안 프로그램에서든 투명성(transparency)을 중요하게 생각한다. 구글은 최근 안드로이드 보안 생태계 현황을 평가하는 종합 보고서를 발간했으며, 향후 더 많은 정보들을 제공할 것이다. editor@itworld.co.kr
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.