모바일 / 보안

글로벌 칼럼 | 모바일 보안, “사용자 무관심 방치하지 말라”

Galen M. Gruman | InfoWorld 2011.06.21

올해 말까지 안드로이드 스마트폰의 시장 점유율이 선두주자인 iOS를 선두에서 밀어내고 50%에 육박할 것으로 기대된다. 하지만 안드로이드 마켓에 만연한 트로이 목마와 정상적인 앱으로 등록된 악성 소프트웨어 때문에 안드로이드 스마트폰과 태블릿의 보안은 매우 취약한 상황이다. 지난 주에만도 구글이 수개월 동안 안드로이드 마켓을 통해 버젓이 공급되던 상당수의 악성 소프트웨어를 추가로 삭제한 것으로 알려졌다.

 
데스크톱 운영체제와 마찬가지로 앱에 있어서도 안드로이드는 개방적인 특성과 함께 시장 점유율이 상승함에 따라 사이버 범죄가 기승을 부리기 시작했다. 반면에 애플 iOS의 경우, 앱 스토어를 꼼꼼히 관리한 덕에 상당한 수준의 보안을 유지하고 있다. 그렇다고 해서 iOS 자체의 보안 수준이 높은 것은 아니며, 단지 악성 소프트웨어의 앱 스토어 진입을 성공적으로 막고 있기 때문이라고 할 수 있다.
 
안드로이드의 방어체계를 우회하는 사용자들
안드로이드 마켓에 악성 소프트웨어가 점차 증가하는 상황에서 발생한 문제에 대한 기술적 해결책이 턱없이 부족하다는 사실이 가장 걱정스럽다. 블랙베리 OS나 iOS와는 달리 사용자는 안드로이드 기기를 완전히 통제할 수 없다. 그리고 구글이 안드로이드 내에 구축한 보안 메커니즘은 기기에 저장된 정보에 접속하려 하거나 다른 앱에 접속하려는 악성 소프트웨어에 접근을 허락하는 사용자들로 인해 쉽게 와해될 수 있다. 
 
모바일 보안 전문업체인 불가드(BullGuard)의 CTO 클라우스 빌럼센은 "OS는 경고창을 표시하지만 사용자는 무작정 OK 버튼을 클릭해 버린다"고 말한다. 더 안 좋은 것은 이런 종류의 공격들이 모바일 크롬 브라우저의 허점을 이용해 허가 절차를 우회한다는 것.
 
빌럼센은 안드로이드 마켓에는 정상 앱으로 위장한 다수의 악성 앱이 존재하기 때문에 "안드로이드는 스파이웨어와 트로이 목마를 위한 최고의 잠입 메커니즘"이라고 지적했다. 사용자가 악성 소프트웨어에 최종적으로 사용권을 부여하게 되면, 악성 소프트웨어는 아무런 기능을 않을 때도 있지만 실제적인 기능을 제공할 때도 있다. 따라서 사용자는 자신이 속았다는 사실을 눈치 채지 못한다. 
 
이렇게 되면 때는 이미 늦은 것이다. 빌럼센은 "사용자의 기기는 PC와 마찬가지로 봇이 되어 버린다. 악성 소프트웨어는 프리미엄 서비스 문자 메시지를 전송하여 요금을 발생시킨다. 악성 소프트웨어는 SMS를 감시하고 메시지를 삭제할 뿐 아니라 사용자의 은행 정보나 사진 같은 저장된 데이터를 감시하고 외부로 전송한다"고 설명했다.
 
이런 문제는 윈도우나 맥 OS X 환경에서도 발생한다. 사용자들은 접근 요청을 아무런 생각없이 허락한다. 하지만 모바일 기기의 경우, 사용자들은 이미 악성 소프트웨어로 인해 빈번하게 피해를 입은 PC보다는 더 쉽게 요청을 수락하는 경향이 있기 때문에 상황이 더 심각하다.
필자는 자사의 소프트웨어 판매량을 늘리기 위해 모바일 기기의 보안 문제를 과장하는 보안 업체들을 비판해 왔다. 실제적으로 모바일 기기는 PC보다 안전하다. (빌럼센은 안드로이드와 노키아의 기존 심비안 OS는 예외라고 주장한다.) 그리고 클라이언트 쪽의 보안 소프트웨어에 대해 회의적이다. 
 
윈도우 환경을 통해서도 알 수 있듯이 백신 소프트웨어는 악성 소프트웨어를 따라잡기 위해서 애쓰며 시스템에 대한 악성 소프트웨어의 영향을 최대한 줄이려 노력하는 정도이다. 즉, 완벽하게 시스템을 보호하지는 못한다. 하지만 이런 백신 소프트웨어들은 마치 완벽한 보안을 제공하는 것처럼 스스로를 포장해 사용자들에게 잘못된 인식을 심어준다.
 
현대의 브라우저들이 해당 사이트의 보안 수준에 따라 URL을 색상으로 표시하는 것과 마찬가지로 불가드는 안드로이드 마켓의 보안을 위해 초록/노랑/경계경보 시스템을 사용하는 화이트리스트(Whitelist) 앱을 개발하고 있다. 빌럼센은 이 기술을 덕분에 위험한 앱과 미디어 파일을 내려 받는 일이 줄어들 것이라고 말하면서도, 요즘의 모바일 고객들은 이런 서비스를 구매하는데 인색하다는 사실을 인정했다. 
 
보안 측면에서 구글이 안드로이드 마켓을 관리해야 하는 것은 사실이지만, 현실적으로는 사용자들이 이를 감당해야 한다. 또한 기술은 문제의 감소시킬 뿐 완전히 없애지는 못한다. 최근 맥 사용자들도 이런 사실을 발견했다.
 
더 이상 사용자들을 방치해서는 안된다
필자는 IT 업체들이 사용자들을 최소한 모바일 기기, SaaS, 소셜 네트위킹 등 최종 소비자 기술에 대해서만큼은 스스로 아무것도 할 수 없는 어린 아이가 아닌 공동 소유자로 인정해야 한다고 주장해 왔다. 이렇게 소비자를 계속해서 어린애 취급하면 "항상 OK를 클릭하는" 소비자 행동을 조장하게 된다. 소비자들이 "IT가 컴퓨터를 고쳐주고 은행이 피싱 사기피해를 입은 자신의 계좌를 보전해 줄 것"이라는 그릇된 믿음을 갖도록 하는데 IT 업계가 큰 역할을 한 것이 사실이다.
 
이것은 심각한 문제이다. 사업 부문에서의 "섀도우 IT"가 정식 IT의 부속물이 되어가는 현상, 즉 IT의 소비재화 현상에는 “자유에는 반드시 책임이 따른다”는 전제 조건이 달린다. 사용자는 IT 정책에 부합하는 한 책임감 있게 사용한다는 전제하에 아이패드와 드로이드를 직장에서 사용할 수 있다. 애버딘 그룹이나 포레스터의 연구 결과 역시 이런 소유권과 책임의 분담이야말로 소비재화된 IT 세계에서 가장 안전하면서도 비용 효율적인 전략이라는 것을 보여주고 있다.
 
사용자들은 외부의 도움에 의지하지 말고 자신의 책임을 다해야 한다. 이런 "어린 아이"의 "부모"로서 IT와 기업 경영진은 다음의 사항을 이행해야 한다.
 
- 직원들을 좀 더 적극적으로 교육해야 한다. 물론 지루한 세미나나 열광적인 온라인 비디오를 사용해야 한다는 의미는 아니다. 직원들(특히 관리자들)에게 임의로 피해를 입혀 모의 훈련을 시행하는 것은 좋은 방법이다. 이는 실제적으로 피싱 피해나 트로이 바이러스의 피해를 입는 것보다 더 효과적인 방법으로 직원들의 행위와 "악성 소프트웨어"간의 연계성을 파악할 수 있다.
 
- 또한 직원들(특히 관리자들)에게 벌칙을 부과하는 것도 도움이 된다. 우선 1~2주간 스마트폰 사용을 금지해 보자. 그리고 나서 개인 기기의 사용을 전면적으로 금지하고 오직 블랙베리나 기타 보안이 강화된 기기를 제한적으로 사용할 수 있도록 허용하자. 직원의 역할과 민감한 정보에의 접속 수준에 따라 임금 동결, 강등 등의 실제적인 벌칙이 적용되어야 한다. 일부 업계 특히 HIPAA 규정에 따르는 보건 업계는 기관의 안전을 위협하는 태만한 행위에 대해 벌칙을 부과하고 있지만, 대부분의 기업들은 가벼운 벌칙만을 부과하여 직원들의 안일한 태도가 고쳐지지 않고 있는 실정이다.
 
필자는 직원들을 적절한 기업 정책 내에서 올바른 행동을 할 수 있는 현명한 파트너로서 대하기 때문에 기업에 해를 끼치지 않는 범위 내에서는 직원들이 원하는 대로 업무를 처리할 수 있는 자유를 허락하고 있다. 또한 직원들은 분발하여 현명한 파트너로서 행동해야 한다. 자유에는 책임이 따르듯이 책임에는 결과가 따르다. 만약 안드로이드를 사용하고 있다면 각별히 주의하기 바란다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.