Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
모바일 / 보안

글로벌 칼럼 | 사이드로딩은 결국 기업과 개인 모두에 손해다

Jonny Evans | Computerworld 2021.11.16
일부 국가에서 사이드로딩(sideloading)을 강제하는 법안이 만들어지고 있는 가운데, 애플이 이에 대한 반대 캠페인을 계속하고 있다. 사이드로딩이란 애플의 자체 앱 마켓인 '앱 스토어'를 통하지 않고도 앱을 다운로드해 설치할 수 있도록 지원하는 것을 의미한다.
 

애플의 소프트웨어 담당 부사장 크레이그 페데리기는 2021년 웹 서밋(Web Summit)에서 아이폰의 플랫폼 보안에 대한 자사의 접근 방식을 장점을 강조한 데 이어, 아이폰에서 앱 사이드로딩을 강제로 지원해야 하는 EU의 디지털 시장법에 대해 반대 의견을 분명히 했다. 애플이 사이드로딩에 대한 논란은 크게 4가지로 정리할 수 있다.
 
  • 상업적인 이슈 : 애플의 API를 사용해 애플 플랫폼에서 판매한다면 이런 기회를 누리는 비용을 지불해야 한다는 주장
  • 소비자의 선택권 : 앱 스토어에서 제공되지 않는 앱을 설치하고 사용할 수 있어야 한다는 주장
  • 부정한 이유 : 동의 없이 사용자 추적을 계속하는 앱이 앱 스토어의 검토 프로세스 또는 다른 형태의 감시를 우회할 수 있다는 우려
  • 범죄 방지의 목적 : 악성코드, 랜섬웨어 등을 전파하기 위해 가짜 앱 스토어 등이 만들어질 위험

이 중 상업적인 이유는 충분히 용인할 수 있다. 실제로 이런 구호는 내용만 다를 뿐 구글도 즐겨 사용했다. 예를 들어 구글은 안드로이드로 애플과 경쟁할 때 '폐쇄보다 개방' 구호를 전면에 내세워 애플을 공격했고, 결국 몇 년 후 안드로이드 시장은 애플 앱스토어를 크게 앞질렀다.
 

본심을 말하라

하지만 필자는 현재 사이드로딩을 둘러싼 논란에는 애플의 프라이버시와 보안을 약화시켜 이익을 보려는 집단들의 느슨한 연대도 한 축으로 자리 잡고 있다고 생각한다. 이 집단에는 기후 변화로 인해 현실이 심각하게 오염되더라도 가상세계, 소위 ‘메타버스’에서 돈을 벌려고 하는 기업도 포함된다.

영국의 전 부수상을 로비스트로 고용할 수 있는 이 기업이 무엇인가에 대해 불평한다면 그것은 십중팔구 자신의 이익을 위한 것이다. 이번 경우 이 기업은 애플의 프라이버시 보호를 약화시켜 자신의 사업을 보호하고 증강 및 가상 현실을 두고 벌일 전쟁에 대비하려는 것으로 보인다.

즉, 메타(Meta)의 비즈니스 모델을 보호하는 것이 일차적인 목표다. 최근 애플의 자체적인 앱 스토어 지침을 위반하는 내부 마켓을 구축하려는 움직임이 활발한 것을 보면 앞으로 어떻게 행동할지 뻔히 알 수 있다. 애플의 최근 캠페인은 결국 이들 기업을 겨냥한 것으로 볼 수 있다.
 

더 큰 비즈니스 모델

더 심각한 문제도 있다. 애플의 플랫폼 보안을 약화시켜 타인의 디지털 라이프에 침입하려는 범죄자들이다. 문제는 이들이 매우 영리하다는 것이다. 스마트하고 복잡하며 무고한 사람들이 실수하도록 하는 환경을 만드는 데 뛰어나다. 실제로 이메일에 포함된 잘못된 링크를 한 번이라도 클릭하지 않은 사람이 있을까 싶다.

더구나 그들은 독립적인 개인이 아니다. 온라인 범죄는 빵과 꿀이 풍부한 산업이며, 더는 지하실에 있는 외로운 괴짜들이 돌출행동이 아니다. 국가 및 비국가의 후원을 받아 합법적으로 보이는 사무실 공간을 빌려 작업하곤 한다. 사이버시큐리티 벤처스(Cybersecurity Ventures)에 따르면, 사이버 범죄로 2025년까지 전 세계적으로 매년 10.5조 달러의 비용이 발생할 것으로 보인다. IBM에 따르면, 랜섬웨어 공격은 1번 성공할 때마다 미국 기업이 약 900만 달러를 써야 한다.

범죄자들은 악성코드를 기기에 설치하기 위해 가짜 앱과 앱 스토어를 더 쉽게 구축하는 방법을 끊임없이 찾고 있다. 소규모 소셜 엔지니어링 및 일부 표적화된 피싱 사기를 통해 위치, 개인, 기업, 정부기관 등을 표적으로 한 스토어를 구축하는 것이 대표적이다. 애플의 페데리기는 “사이드로딩 의도가 없더라도 사람들은 주기적으로 강요를 받고 속는다”라고 말했다. 이런 공격은 비즈니스 연속성과 평판 측면에서 광범위하고 치명적이다.
 

인간은 취약하다

이 모든 문제의 근본적인 한계는 인간이 취약하다는 점이다. 필자는 사용자를 위한 보안 조언을 작성하면서 이 문제에 체감했다. 많은 사람이 맥을 사용할 때는 보안에 대해 걱정할 필요가 없다고 이야기한다(그리고 실제로 그렇게 방심한다). 또는 원하는 것을 다운로드하고 다른 사람이 영향을 받지 않는다고 말하기도 한다. 하지만 둘 다 사실이 아니다. 사용자를 파이프처럼 활용해 다른 사람을 감염시킬 수 있다.

예를 들어 누군가의 온라인 주소록이 해킹되면 그 주소록에 등록된 이들은 거추장스러운 메시지를 계속해서 보게 된다. 최근에는 영국인 500만 명과 관련된 충격적인 데이터 유출이 발생하는 등 기업에서 광범위한 데이터가 주기적으로 털리고 있다.

이 모든 정보를 무기화 할 수 있다. 이제 이런 무기가 데이터 통계를 마이닝 하는 데 의존하여 특정 인구 집단을 감지한 후 악성코드에 감염된 앱 스토어를 통해 사람들에게 배포할 수 있는 매력적인 소프트웨어 제품을 만들 수 있게 됐다고 가정해보자.

이 악성코드를 다운로드하는 사람은 결국 보유한 모든 정보를 빼앗길 가능성이 있다. 기업은 훨씬 심각하다. 타깃(Target)에 대한 공격에서 드러났듯이 시스템의 보안 취약성을 활용해 기업의 전체 기술 스택으로 침투할 수도 있다. 페데리기는 “스마트폰 등이 해킹되면 네트워크 전체에 위협이 될 수 있다. 사이드로딩된 앱의 악성코드는 정부 시스템을 위험에 빠뜨리고 기업 네트워크와 공공 유틸리티를 감염시킬 수 있다”라고 말했다.
 

애플 주장에 대한 반박 2가지

하지만 사이드로딩에 대한 애플의 주장을 반박하는 정황도 2가지 있다. 먼저 사이드로딩을 허용하는 안드로이드에서는 사이드로딩 되는 사람들이 거의 없다는 주장이고, 두 번째는 맥은 사용자가 다른 소스의 앱을 설치하도록 사이드로딩을 실제로 허용하고 있다는 것이다. 이 주장을 하나씩 살펴보자.

먼저 첫 번째 주장의 근거는 찾을 수 없었다. 일부 보고서에 따르면, 앱 사이드로딩이 미국보다 APAC 지역에서 더 인기 있다. 앱 사이드로딩이 실제로 위험을 발생시킨다는 (구글의) 보고서도 있었다. 하지만 안드로이드에서 사이드로딩 되는 사람들이 거의 없다는 근거는 없었다. 따라서 이런 주장은 설득력이 없다. 두 번째 주장의 경우 애플조차도 맥이 가장 안전한 PC 플랫폼임에도, 완벽하지는 않다는 점을 인정한다.

결국 애플 기기에서 사이드로딩을 강요해도 대부분의 사용자에게 큰 이점이 없다. 반면 이런 강요로 인해 기업과 개인이 부담해야 할 비용과 그로 인한 손실은 '확실하지도 않은 이점'을 크게 상회한다. 사실 소비자는 이미 사이드로딩이 꼭 필요한 경우 이를 선택할 수 있다. 이것이 선택의 문제라는 주장은 아이러니하게도 안전한 시스템에 대한 선택권을 없애는 것으로 이이전다. 결과적으로 선택을 주장하면서 선택을 부정하는 셈이다. editor@itworld.co.kr
 Tags 사이드로딩 sideloading 애플 페이스북
많이 본 뉴스

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.