7일 전

IDG 블로그 | “사이드로딩은 보안과 개인정보보호에 취약” 애플 백서 발표

Jonny Evans | Computerworld
애플이 사이드로딩(sideloading)을 허용하라는 압박에 강경히 맞서고 있다. 13일(현지시간) 애플은 28쪽 분량의 백서 ‘수백만 앱을 위한 신뢰할 만한 생태계 구축하기-사이드로딩 위협 분석’을 발표해 사이드로딩이 보안과 개인정보를 위험에 빠뜨릴 것이라고 경고했다.
 
ⓒ IDG


사이드로딩의 위험성

백서에 따르면, 아이폰 및 기타 애플 기기는 사용자의 개인정보를 보유하고 있기 때문에 보안과 프라이버시를 보호하는 것이 매우 중요하다. 애플은 “외부 사이트나 서드파티 앱스토어에서 사이드로딩을 허용하면 아이폰의 안정성을 유지하는 보안 및 개인정보보호 기능이 제 역할을 하지 못할 것이다. 사용자가 심각한 보안 위협에 노출될 수 있다”라고 우려했다.

이에 앞서 유럽과 미국 의회는 애플이 사이드로딩을 허용해야 한다고 주장했다. 특히 유럽위원회는 디지털 시장법 초안을 발표하며 압박을 넣는 중이다. 반면 애플은 사용자와 플랫폼에 피해가 생길 것을 우려해 사이드로딩을 거부하고 있다. 

애플은 지난 6월에도 비슷한 내용의 보고서를 발행한 바 있다. 이 보고서에서 애플은 검증된 앱스토어의 장점을 나열하며 검증 부족에 따른 중대한 위험성을 경고했다. 사이드로딩 비판론자들은 앱스토어의 검증이 완벽하지는 않지만, 없는 것보다는 낫다고 주장한다.

이번에 공개한 백서에서 애플은 안드로이드가 아이폰보다 악성코드 공격을 47배 많이 받고 있다는 내용의 노키아 연구 결과를 인용했다. 또 하루에 23만 건의 모바일 악성코드 감염 사례가 발생한다는 유럽 규제 기관의 통계도 언급했다.


애플에 특화된 사이버 범죄의 출현 가능성

모바일 악성코드는 안드로이드 스마트폰을 주된 공격 대상으로 삼는다. 최근에는 안드로이드 스마트폰이 악의적인 소프트웨어에 감염된 횟수가 아이폰보다 15~47배 많았다. 한 연구에 따르면 모바일 악성코드 공격 대상의 98%는 안드로이드 기기라고 한다.

애플은 “안드로이드가 악성코드에 자주 노출되는 이유는 사이드로딩과 밀접한 관련이 있다. 예컨대 지난 2018년 구글 플레이 스토어 외부에서 앱을 설치한 안드로이드 기기는 구글 플레이 스토어만 이용한 기기보다 악성 앱의 영향을 8배 더 많이 받았다”라고 설명했다.

안드로이드용 가짜 클럽하우스 앱 사례가 대표적이다. 가짜 클럽하우스 앱은 보안 업데이트를 가장해 사용자들에게 보안 설정을 끄라고 요청했고, 악성 코드를 설치했다.

애플은 사이드로딩을 허용하면 범죄자들이 가짜 앱스토어를 만들어 사용자의 결제 정보 입력을 유도할 가능성이 있다고 경고했다. 애플은 “현재 iOS에서 실행하기에는 복잡하고 비용이 많이 드는 여러 공격 방법이 사이드로딩을 허용하는 순간 쉬워지고 저렴해질 것”이라고 덧붙였다.

일부 개발자는 앱을 정식 앱스토어에 등록하지 않고 사이드로딩을 유도할 수 있으므로 사용자 위험도 가중된다. 애플은 “서드파티 앱스토어나 외부 페이지에서 앱을 다운로드하면 사용자는 앱에 대한 정확한 정보를 얻지 못할 가능성이 있다. 외부 앱스토어는 앱 추적 투명성이나 유해 콘텐츠 차단 등 정식 앱스토어에서 준수해야 하는 정보 제공 규정이나 개인정보보호 정책을 따르지 않아도 되기 때문이다”라고 설명했다.


보안 전문가도 사이드로딩 비판 목소리 높여

유로폴과 유럽네트워크정보보호원(ENISA), 미국 국토안보부, 노턴, 인터폴, 미국표준기술연구소(NIST)에서도 사이드로딩의 위험성을 인지하고 있다. NIST는 “규범에 맞지 않게 사이드로딩할 경우 모바일 기기가 공격에 매우 취약해진다”라고 밝혔다. 보안 솔루션 업체 노턴은 “서드파티 스토어 사용으로 인한 보안 위험을 최소화하는 유일한 방법은 서드파티 스토어를 사용하지 않는 것”이라고 강조했다.

애플은 “외부 사이트나 서드파티 앱스토어를 사용한 사이드로딩을 허용하면 아이폰 사용자는 끊임없이 사기를 경계하게 될 것이다. 누구를, 무엇을 신뢰해야 할지 절대 확신할 수 없게 되며 결과적으로 앱을 더 적게 다운로드하고 개발자 수도 적어질 것이다”라고 주장했다.

또 “우리는 전혀 다른 두 가지를 한 번에 하려고 한다. 개발자에게 개방형 고급 플랫폼을 제공하는 것이며 동시에 바이러스와 악성코드, 프라이버시 공격 등으로부터 아이폰 사용자를 지키는 것이다. 쉬운 일이 아니다”라며 창립자 스티브 잡스의 2007년 발언을 인용했다. 


실사용자를 겨냥한 실질적인 위협

수많은 iOS 사용자는 모바일 은행과 결제 앱을 사용하며, 기기에서 재화와 서비스를 구매한다. 직원은 업무용 모바일 기기 네트워크로 기업과 연결되어 있다. 앱스토어 사용자는 전 세계에 존재하며 각자 직업과 나이, 사용 언어도 다양하다. 애플은 “각양각색 사용자가 가지고 있는 한 가지 공통점은 앱스토어 정책으로 보호받고 있다는 사실”이라고 강조했다. 

일각에서는 여전히 사이드로딩 허용을 주장하고 있기 때문에 규제기관이 애플의 주장을 쉽사리 받아들이지는 않을 것으로 보인다. 다만 애플이 플랫폼 보안을 위한 더 나은 방법을 모색하는 만큼 규제기관에서도 애플의 주장을 진지하게 검토할 가능성은 충분하다. editor@itworld.co.kr


7일 전

IDG 블로그 | “사이드로딩은 보안과 개인정보보호에 취약” 애플 백서 발표

Jonny Evans | Computerworld
애플이 사이드로딩(sideloading)을 허용하라는 압박에 강경히 맞서고 있다. 13일(현지시간) 애플은 28쪽 분량의 백서 ‘수백만 앱을 위한 신뢰할 만한 생태계 구축하기-사이드로딩 위협 분석’을 발표해 사이드로딩이 보안과 개인정보를 위험에 빠뜨릴 것이라고 경고했다.
 
ⓒ IDG


사이드로딩의 위험성

백서에 따르면, 아이폰 및 기타 애플 기기는 사용자의 개인정보를 보유하고 있기 때문에 보안과 프라이버시를 보호하는 것이 매우 중요하다. 애플은 “외부 사이트나 서드파티 앱스토어에서 사이드로딩을 허용하면 아이폰의 안정성을 유지하는 보안 및 개인정보보호 기능이 제 역할을 하지 못할 것이다. 사용자가 심각한 보안 위협에 노출될 수 있다”라고 우려했다.

이에 앞서 유럽과 미국 의회는 애플이 사이드로딩을 허용해야 한다고 주장했다. 특히 유럽위원회는 디지털 시장법 초안을 발표하며 압박을 넣는 중이다. 반면 애플은 사용자와 플랫폼에 피해가 생길 것을 우려해 사이드로딩을 거부하고 있다. 

애플은 지난 6월에도 비슷한 내용의 보고서를 발행한 바 있다. 이 보고서에서 애플은 검증된 앱스토어의 장점을 나열하며 검증 부족에 따른 중대한 위험성을 경고했다. 사이드로딩 비판론자들은 앱스토어의 검증이 완벽하지는 않지만, 없는 것보다는 낫다고 주장한다.

이번에 공개한 백서에서 애플은 안드로이드가 아이폰보다 악성코드 공격을 47배 많이 받고 있다는 내용의 노키아 연구 결과를 인용했다. 또 하루에 23만 건의 모바일 악성코드 감염 사례가 발생한다는 유럽 규제 기관의 통계도 언급했다.


애플에 특화된 사이버 범죄의 출현 가능성

모바일 악성코드는 안드로이드 스마트폰을 주된 공격 대상으로 삼는다. 최근에는 안드로이드 스마트폰이 악의적인 소프트웨어에 감염된 횟수가 아이폰보다 15~47배 많았다. 한 연구에 따르면 모바일 악성코드 공격 대상의 98%는 안드로이드 기기라고 한다.

애플은 “안드로이드가 악성코드에 자주 노출되는 이유는 사이드로딩과 밀접한 관련이 있다. 예컨대 지난 2018년 구글 플레이 스토어 외부에서 앱을 설치한 안드로이드 기기는 구글 플레이 스토어만 이용한 기기보다 악성 앱의 영향을 8배 더 많이 받았다”라고 설명했다.

안드로이드용 가짜 클럽하우스 앱 사례가 대표적이다. 가짜 클럽하우스 앱은 보안 업데이트를 가장해 사용자들에게 보안 설정을 끄라고 요청했고, 악성 코드를 설치했다.

애플은 사이드로딩을 허용하면 범죄자들이 가짜 앱스토어를 만들어 사용자의 결제 정보 입력을 유도할 가능성이 있다고 경고했다. 애플은 “현재 iOS에서 실행하기에는 복잡하고 비용이 많이 드는 여러 공격 방법이 사이드로딩을 허용하는 순간 쉬워지고 저렴해질 것”이라고 덧붙였다.

일부 개발자는 앱을 정식 앱스토어에 등록하지 않고 사이드로딩을 유도할 수 있으므로 사용자 위험도 가중된다. 애플은 “서드파티 앱스토어나 외부 페이지에서 앱을 다운로드하면 사용자는 앱에 대한 정확한 정보를 얻지 못할 가능성이 있다. 외부 앱스토어는 앱 추적 투명성이나 유해 콘텐츠 차단 등 정식 앱스토어에서 준수해야 하는 정보 제공 규정이나 개인정보보호 정책을 따르지 않아도 되기 때문이다”라고 설명했다.


보안 전문가도 사이드로딩 비판 목소리 높여

유로폴과 유럽네트워크정보보호원(ENISA), 미국 국토안보부, 노턴, 인터폴, 미국표준기술연구소(NIST)에서도 사이드로딩의 위험성을 인지하고 있다. NIST는 “규범에 맞지 않게 사이드로딩할 경우 모바일 기기가 공격에 매우 취약해진다”라고 밝혔다. 보안 솔루션 업체 노턴은 “서드파티 스토어 사용으로 인한 보안 위험을 최소화하는 유일한 방법은 서드파티 스토어를 사용하지 않는 것”이라고 강조했다.

애플은 “외부 사이트나 서드파티 앱스토어를 사용한 사이드로딩을 허용하면 아이폰 사용자는 끊임없이 사기를 경계하게 될 것이다. 누구를, 무엇을 신뢰해야 할지 절대 확신할 수 없게 되며 결과적으로 앱을 더 적게 다운로드하고 개발자 수도 적어질 것이다”라고 주장했다.

또 “우리는 전혀 다른 두 가지를 한 번에 하려고 한다. 개발자에게 개방형 고급 플랫폼을 제공하는 것이며 동시에 바이러스와 악성코드, 프라이버시 공격 등으로부터 아이폰 사용자를 지키는 것이다. 쉬운 일이 아니다”라며 창립자 스티브 잡스의 2007년 발언을 인용했다. 


실사용자를 겨냥한 실질적인 위협

수많은 iOS 사용자는 모바일 은행과 결제 앱을 사용하며, 기기에서 재화와 서비스를 구매한다. 직원은 업무용 모바일 기기 네트워크로 기업과 연결되어 있다. 앱스토어 사용자는 전 세계에 존재하며 각자 직업과 나이, 사용 언어도 다양하다. 애플은 “각양각색 사용자가 가지고 있는 한 가지 공통점은 앱스토어 정책으로 보호받고 있다는 사실”이라고 강조했다. 

일각에서는 여전히 사이드로딩 허용을 주장하고 있기 때문에 규제기관이 애플의 주장을 쉽사리 받아들이지는 않을 것으로 보인다. 다만 애플이 플랫폼 보안을 위한 더 나은 방법을 모색하는 만큼 규제기관에서도 애플의 주장을 진지하게 검토할 가능성은 충분하다. editor@itworld.co.kr


X