“어느 것이 더 안전할까?” 안드로이드 vs. iOS 보안 집중 비교 분석

발전하는 안드로이드
이처럼 새로운 공격 형태가 등장하고 있지만, 여전히 가장 쉽게 타깃이 되는 모바일 플랫폼은 안드로이드라고 시만텍은 말했다.

2016년 안드로이드는 모바일 취약점 보고 건수에서 iOS를 넘어서게 되었는데 이는 “iOS가 이 부분에서 안드로이드를 한참 앞질렀던 2015년과는 완전히 상반된 결과였다”고 시만텍은 밝혔다.

“이러한 변화는 안드로이드 설계상의 보안 문제가 꾸준히 개선되어 왔고, 모바일 플랫폼에 대한 연구자들의 관심이 지속되어 온 결과이다”라고 보고서는 설명하고 있다.

“2015년의 폭발적 시기를 거치고 난 후로 더욱 엄격해진 안드로이드 보안 설계로 인해 안드로이드 모바일 폰을 감염시키거나 감염된 기기를 통해 정보를 빼내는 것이 더욱 어려워 졌다”고 시만텍은 덧붙였다.

IDC의 모바일 폰 리서치 프로그램 디렉터 윌리엄 스토프가(William Stofega) 역시 구글이 지난 몇 년 동안 안드로이드 운영체제에 대한 장악력 및 통제력을 되찾기 위해 상당한 노력을 했다는 점에 동의한다. 이는 누구나 소스 코드에 손을 댈 수 있었던 초기 몇 년 동안과 매우 대조되는 모습이다.



예를 들어, 현재 구글은 직접 소스 코드를 관리하여 앱 개발자들 및 스마트폰 제조사들이 안드로이드 호환성 테스팅을 반드시 거치도록 하고 있다.

뿐만 아니라, 향후 구글의 최신 모바일 운영체제인 안드로이드 O의 경우 이전 운영체제보다 훨씬 더 ‘닫힌’ 운영체제 될 것이라는 전망이다.

스토프가는 “이번에는 구글이 운영체제를 새롭게 바꿀 것이라는 예측이 팽배하다. 소스코드를 공개하지 않고, 공용 라이선스를 허용하지 않을 것이다. 물론 안드로이드 O가 나와 봐야 알 수 있겠지만, 이전보다는 확실히 침입이 어려워 질 것이다”라고 말했다.

이어 “하지만 구글은 지금까지도 충분히 이 부분에서 발전을 거두어 왔다고 생각한다. 그렇다고 앞으로 더 이상의 발전이 필요 없다는 얘기는 아니지만 말이다”라고 덧붙였다.

삼성과 같은 안드로이드 스마트폰 및 태블릿 제조사들 역시 보안을 한 단계 강화했다. 예를 들어 삼성의 무료 컨테이너화 보안 앱 녹스(Knox)는 (자체적 홈 스크린을 지닌) 모바일 기기 및 론처, 앱, 위젯 등의 내부에 가상의 안드로이드 환경을 구축하여 기업 데이터와 개인 데이터를 더욱 철저히 분리하고 있다.

녹스는 컨테이너를 생성하여 승인된 사람만이 컨테이너 내부의 콘텐츠에 액세스 할 수 있도록 한다. 이메일, 연락처, 브라우저 등 모든 파일과 데이터는 컨테이너 내부에서 암호화 된다.
녹스를 사용하는 사용자들은 보안 위협 없이 구글 플레이를 통해 ‘마이 녹스 컨테이너’에 개인 앱을 추가할 수 있다. 컨테이너 안에 포함된 앱들은 녹스와 동일한 보안을 보장받는다.

“이러한 조치들은 모두 기업 환경에서 좀 더 안드로이드를 안전하게 사용하고자 하는 노력이다”라고 스토프가는 말했다.

모바일 악성코드 전략
모바일 우선적 비즈니스 전략을 채택하는 기업들이 늘어남에 따라 악성코드를 피하기 위해 가장 일반적으로 사용되는 솔루션 역시 더욱 단순해 졌다. 바로 기기 상의 소프트웨어를 주기적으로 업데이트 하는 것이다. 최신 플랫폼에 맞게 소프트웨어를 업데이트 함으로써 운영체제변수 문제를 완화할 수 있다. 그러나 이는 어디까지나 ‘상대적’으로 단순한 솔루션일 뿐이다.

BYOD를 실행하고 있는 기업들의 경우 모든 직원들의 모바일 기기 운영체제를 업데이트 하는 것은 결코 ‘단순한’일이 아니라고 골드는 말했다. “기업이 관리하는 기기가 아니기 때문”이다.

모바일 기기를 직접 발행, 관리하는 기업들이라고 해도 소프트웨어 업데이트는 지난한 작업이며 직원들의 반발도 있을 수 있다. 그럼에도 불구하고 주기적으로 패치와 플랫폼 업데이트를 하는 것은 매우 중요하다.

스토프가는 “IT 관리자들과 대화해 본 결과, 대부분 사용자들은 소프트웨어 업데이트를 기피한다. 많은 이들이 최신 업데이트를 하지 않고 넘어가려 한다. 하지만 이는 매우 중요한 문제이다”라고 말했다.

‘모바일’만을 위한 보안 전략 역시 기업들이 피해야 할 것들 중 하나라고 골드는 말한다.
“전체적인 보안 전략이 짜여 있어야 하고, 모바일은 그 큰 그림의 일부여야 한다. 모바일 기기만을 위한 별도의 보안 전략을 세운다면 기업의 나머지 보안과는 맞지 않는 부분이 생길 수 있다. 반대로 전체를 아우르는 보안 정책을 먼저 세워 둔다면 모바일 전략은 그러한 큰 그림과 어긋나지 않도록 세울 수 있게 된다”고 그는 설명했다.

예를 들어, 많은 기업들이 모바일 기기 상의 기업 데이터를 보호하기 위한 암호화를 채택하고 있지만 비슷한 보호 장치가 데스크톱에는 없는 경우가 많다. 반대로 만일 PC에서 기업 어플리케이션에 액세스 할 때 SAP같은 이중 인증 시스템을 채택하고 있는 기업들은 동일한 시스템을 모바일 기기에도 적용해야 한다고 골드는 말했다.

“먼저 보안을 최적화 하고, 각 기기에 어떤 보안을 적용할지 생각해 보는 것이 순서다. 모바일 기기에 동일한 수준의 보안을 적용할 수 없을 때도 있다. 그 경우에는 할 수 있는 최선을 다 해야 한다”고 그는 말했다.

골드, 스토프가, 그리고 시만텍 모두 기업이 발행한 모바일 기기를 주기적으로 업데이트 하고, 만일 자신의 개인 기기를 사용하는 직원이 있다면 그들에게도 똑같이 할 것을 통지하라고 조언한다. 또한 잘 모르는 웹사이트에서 앱을 다운받지 말고, 신뢰할 수 있는 소스로부터만 다운받아야 한다는 것도 교육할 필요가 있다.

이에 덧붙여, IT 관리자들은 모바일 앱에서 승인 요청이 올 경우 악성 공격일 가능성이 있으므로 이를 주의 깊게 살펴야 한다고 시만텍은 조언한다.

뿐만 아니라 직원들에게 모바일 기기를 발행한 기업이라면 특히 안드로이드 기기가 기업용으로 업그레이드 되었는지 확인해 봐야 한다. 비즈니스 환경에서 안드로이드 사용자가 늘어남에 따라 구글에서 ‘안드로이드 앳 워크(Android at Work)’라는 기업용 업그레이드를 릴리즈 했다. 안드로이드 앳 워크를 설치한 모바일 기기는 기업 데이터와 개인 데이터를 분리할 수 있도록 세그먼트화 된 프로필과 작업공간을 제공한다.

골드는 또, 모바일 기기 관리나 좀 더 넓은 범위의 기업 모빌리티 매니지먼트 툴셋을 활용하여 모바일 기기상에 보안정책 집행 툴을 설치해야 한다고 조언한다.

일부 새로운 모바일 악성코드 중에는 루트킷 기능이 있거나, 관리자 액세스를 훔쳐 기업 시스템에 액세스 할 수 있도록 운영체제를 수정하는 경우도 있다. 따라서 모바일 기기상에 루트 탐지 소프트웨어를 설치하거나, 가능하면 처음부터 루트 탐지 소프트웨어가 설정되어 있는 모바일 하드웨어를 구매하는 것이 안전하다.

골드는 “이러한 조치를 통해 기기를 구동하는 로우 레벨 코드들을 미리 살펴 봄으로써 악성코드가 없는지 확인할 수 있다. 이는 시스템 부팅을 시도하는 감염된 운영ㅊ제ㅔ와 정상적인 운영체제를 대체하는 등의 공격을 사전에 예방해 준다”고 보고서를 통해 설명했다.

기기 제조사들 역시 폰 및 태블릿 보안에 기여할 수 있는 방법이 있다. 일부 모바일 벤더들의 경우 수 개월 째 운영체제 업데이트를 미루고 있다. 기업들은 이러한 관행을 지닌 벤더를 최대한 걸러 내야만 한다고 주장한다.

마지막으로, 모바일 기기에 보안 기능을 추가하는 것도 좋지만, 철저한 보안 관행을 지키는 것만큼 효과적인 보안 대책은 없다. 직원들에게 확인되지 않은 앱 다운받지 않기, 예정에 없던 첨부파일 열어보지 않기 등 안전한 기기 사용에 대한 교육을 실시하는 것이 중요하다.

“보안 정책의 성패는 얼마만큼 유저의 참여를 이끌어 낼 수 있는가에 달려 있다. 직원들과 대화를 나누고, 보안이 중요하다는 점을 그들에게 설득해야 한다. 많은 유저들이 보안상 위험한 행동들을 하고 있는데, 이들 대부분은 그것이 위험하다는 사실을 모르고 하는 경우가 많다”고 골드는 말했다. editor@itworld.co.kr