스마트 모바일 보안 2010 (Smart Mobile Security 2010) - 보안세상 기고글

■ 모바일 보안 위협으로부터 살아남기


최근 반년간 국내외에서 열리는 대다수의 IT관련 컨퍼런스에서 빠지지 않고 나오는 키워드가 있다. 바로 'Mobile' 혹은 'Mobility' 이다. 기업들은 모바일 오피스 구축을 통해 직원들이 언제 어디서든 업무의 지속성을 제공하여 보다 더 효율적인 업무 환경을 구축하려고 힘을 쏟고 있다. 개인 역시 집에서 컴퓨터를 하는 시대가 아닌 스마트폰 하나로 음악, 메일, SNS, 게임등 우리가 알고 있는 PC의 영역이 점점 스마트폰으로 넘어오고 있다.

이러한 역사적인 2010년 IT환경에서, 오늘은 코엑스에서 열린 '스마트 모바일 시큐리티 2010'에서 참가자들의 큰 주목을 이끌었던 안철수연구소의 스마트폰 활용과 보안에 소개한다.

■ 스마트폰 : 활용과 보안   - 전상수 신사업팀 차장, 안철수연구소

아침에 일어나 트위터로 이슈가 되는 뉴스를 살펴보고, 멀리 외국에 사는 친구의 소식을 접한다. 당일 날씨와 일정에 맞추어 의상을 코디해 준다. 집앞 버스 정류장에 몇분 후 버스가 도착하는지 파악 후 출근길에 오른다. 버스안에서 고객이 문의한 내용을 답변을 하며, 상사가 지시한 서류를 작성하며 도로위의 시간을 보낸다. 아침식사는 포스퀘어로 가입된 멤버쉽 카페에서 할인된 가격에 커피와 토스트로 간단히 해결한다. 회사 로비를 들어서자 자동으로 출근체크가 되고, 내 업무용 컴퓨터가 켜지며, 사무실에 도착하면 나는 바로 업무를 시작한다.

위와 같은 상황은 최근 스마트폰이 많이 보급된 국가에서, 평범한 회사원의 아침일상을 써본것이다. 소셜네트워킹(SNS)와 사용자의 설정(Setting)에 따라 같은 스마트폰을 사용하더라고 각양 각색의 특징을 낳고 있는 우리의 스마트폰 생활이다.

○ 플랫폼 이슈 - 아이폰 VS 안드로이드

애플 앱스토어 - 폐쇄형

애플 앱스토어의 경우 폐쇄형 구조를 띄고 있다. 개발자가 앱(App)을 개발하여 앱스토어에 등록 신청을 하면, 애플에서는 이 앱(App)이 불량한지 아닌지를 판단하여, 앱스토에 등록이 된다. 또한 앱(App)을 만드는 소프트웨어 개발 키트(SDK) 역시 애플에 개발자 등록을 해야 다운로드가 가능하다. 즉, 운영 앱등록 SDK다운로드 앱검사 등에 걸쳐 모든 과정이 애플의 감독아래 이루어진다는 점에서 폐쇄형을 구조를 띈다고 볼 수 있다.

ex) 현 애플 정책하엔 다른 앱들의 정보에 접근하여 악성코드나 바이러스를 체크하는 V3 Mobile 같은 안티바이러스가 앱스토어 등록이 어려움.

구글 안드로이드 마켓 - 개방형

구글 안드로이드 마켓은, 개방형 구조를 띈다. 앱(App)등록시 구글의 허가를 필요치 않고 어떠한 앱(App)일지라도 등록이 가능하며, SDK역시 별도의 등록절차 없이 누구나 다운로드를 받아 자율적으로 자신의 아이디어를 개발로 추친하면 된다. 완전 애플과 정책이 반대를 띄게 되는데, 안드로이드 마켓의 운영, 앱등록, SDK다운로드, 앱검사등 어떠한 것도 구글의 개입을 배제한 채 개발자와 사용자들에게 그 판단을 맡기고 있다.

ex) 어떠한 앱일지라도 그 자율성이 보장되고 열려있기 때문에, 안드로이드 마켓의 경우 V3 Mobile같은 안티바이러스 등록이 문제 될 것이 없음.

그렇다면!!! 앱스토어? 안드로이드 마켓?

애플 앱스포어의 경우 앱(App)의 품질에 대한 검수를 통해 그 품질을 대한 어느정도의 보장을 얻을 수 있어 보안적인 측면에서 매우 안정적임. 하지만, V3같은 앱등록이 어려운 현실은 단점으로 지적이 된다는 것에 안타까운 점도 존재함.

무엇이라도 이것이 좋다 나쁘다를 결정지을 수 없다. 사용자 입장에서 판단해 볼 이야기다.

어떠한 사용자나 개발자일지라도 앱에 대한 접근이 열려있기 때문에, 앱의 확산과 접근 가능성은 매우 높다고 생각됨. 하지만, 이런점이 오히려 스마트폰 고유의 금융기관 인증서 같은 개인정보들을 노린 해킹, 악성코드, 바이러스에 대한 위험에 더 크게 노출 되고 있음.

○ 스마트폰 보안

스마트폰 안에는 금융기관을 이용할 때 사용하는 각종 인증서와, 회사 메일(Exchange Server), SNS 접속계정들이 고스란히 저장되어 있다. 충분히 개인적인것 뿐만 아니라, 회사의 기밀적인 사안까지 접근이 가능한 환경을 갖춘 스마트폰이기 때문에 보안사고가 발생했을 시 그 위험은 돈 몇푼으로 해결 되지 못할 것이다.

흔히 인터넷뱅킹 보안카드를 사진으로 찍어 들오다니는 경우가 있는데, 혹시 스마트폰에서 많이 사용되는 SNS로 부터 유입되는 악성코드에 의해 스마트폰 내에 저장된 인증서와 보안카드 사진이 둘다 유출된다면, 해당 계좌에 있는 돈은 어떻게 될까?

SNS의 폭발적인 이용추세로 여기에서 들어오는 악성코드들은 대부분 우리가 사용하는 스마트폰의 개인정보를 노리고 있다. 현재 페이스북 계정 150만개가 2.5센트에 시장에서 거래가 되고 있다는 것과, 매일 400만명정도가 SNS상에서 사기를 당한다는 점은 우리가 결코 '보안'이라는 키워드로서 무시할 수 없는 현실이라 생각된다.

■  안철수연구소가 제안하는 스마트폰 보안 팁!!!

개인
* 스마트폰 분실은 개인적인 피해를 넘어서 기업 정보의 유출! - 분실 및 도난 방지의 늘 주의.
* 개인 정보 / 금융 정보는 함부로 저장하지 않는다. - ID, Password, 계좌번호, 보안카드 등.
* 어플리케이션을 받을 때는 신중하게! - 사용자 평판 확인과 공인된 마켓을 통해 항시 받을 것.
* 데이터 백업은 주기적으로 수행! - 저장데이터는 언제든지 소실 가능성 존재.
* 스마트폰을 통한 피싱에 주의! - 알기 어려운 Short URL등 주의 할것.


기업
* 유무선 단말 환경(FMC)의 구축시 보안은 필수. - VPN, SSL
* 인증 절차를 통한 인가 사용자 확인 - ID부여, OTP활용, MAC주소 기반의 인증관리
* 업무 메일의 Push Server 운영 보안 - 푸쉬는 생산성을 높여주지만, 보안성은 떨어짐. 방화벽 구축
* 데이터 보호를 위한 조치는 필수 - 스마트폰은 스크린같이 뷰어기능으로, 실제 데이터는 클라우드에.
* 업무용 단말기의 제한을 통한 관리 효율화 - 스마프톤이 전부 업무용이 아니라 제한적으로 허용

질문) 최근 기업들이 모바일 오피스(Mobile Office)구축에 많은 관심을 갖고 대기업을 중심으로 구축하여 좋은 생산성을 낳고 있습니다. 한편 SNS(트위터, 페이스북등)서비스 역시 폭발적인 이용률을 나타내는데, 모바일 오피스 환경에서 SNS를 허용해야 할지 말아햐 할지 고민입니다.

답변) SNS의 경우 사실상 막지 못하는 상황에 있기 때분에 이용에 대해서는 오픈을 해야 한다고 생각합니다. 분명할 것은 얼마나 이것에 대한 보안과 관리에 관심을 쏟는냐가 모바일 오피스 환경에서 SNS가 보안위협이 아닌 실질적인 마케팅의 수단이 되리라고 생각합니다. 특히, Short URL(ex oit, surl 등)의 경우 이것이 어느 웹페이지를 링크하고 있는지 짐작이 되지 않습니다. 신뢰 할수 있는지 없는지, 검증할 수 있는 절차가 필요할 것입니다. 만약 Short URL에 접속되는 순간 악성코드의 유입으로 스마트폰의 중요 정보가 유출 될 수 있거든요. - 2010.06.23

Redgumbaeng2
KIM YONG SOO
Twitter @ysibm
ysibm86@gmail.com