2010.11.25
“무지 비싼 장난감”
“편리함”
“예쁜 전화기”
“풀 터치폰”
지인들에게 “스마트폰을 한마디로 표현하면?”이라는 질문을 한 결과 이 같은 대답들을 들을 수 있었습니다. 물론 틀린 말은 아닙니다. 하지만 정작 스마트폰이 컴퓨터라고 생각하는 사람은 잘 없는 것 같네요. 우리가 일반적으로 사용하는 컴퓨터와는 그 형태가 달라 인지하기 힘들지만, 스마트폰은 우리가 늘 사용하는 컴퓨터와 동일한 구조를 가지고 있거든요. 따라서 현재 컴퓨터에서 발생하는 다양한 보안 사고가 스마트폰에서도 발생할 수 있습니다.
또한 Wi-Fi, 3G, Wibro등등 다양한 통신 환경을 사용하므로, 언제 어디서나 인터넷에 연결될 수 있어 더욱 다양한 보안 위협에 놓여 있다고 볼 수 있습니다. 도대체 스마트폰만의 특징이 무엇이고, 보안 사고를 예방하기 위한 방법에는 어떤 것들이 있는지 알아둘 필요가 있겠지요?
스마트폰이란?
스마트폰의 산업 표준에 대한 정의는 아직 없지만 일반적으로 다음과 같은 특징들을 가지고 있습니다.
● 운영체제를 가지고 있다.
아이오에스(iOS), 안드로이드(Android), 심비안(Symbian)등이 그 예 입니다. 물론 이런 스마트폰의 운영체제에서 사용 가능한 애플리케이션을 개발하기 위한 개발툴킷(SDK-Standard Development Kit)도 제공하여 누구나 스마트폰 애플리페이션을 개발하고 또 배포할 수 있습니다.
● 버튼이 거의 없다.
일부 컴퓨터 키보드와 동일한 쿼티(QWERTY) 키를 가진 제품도 있지만, 대부분 풀터치 스크린을 가지고 있습니다. 이는 실행하는 애플리케이션에 따라 그 용도가 바뀌는 스마트폰의 특징 때문이지요. 웹브라우저 애플리케이션을 실행하면 웹브라우저가 되고, 네비게이션 애플리케이션을 실행하면 네비게이션이 됩니다. 즉, 용도에 따라 입력 방법이나 형태가 바뀌어 다양한 용도로 사용할 수 있게 되는 것입니다.
● 다양한 통신 방법을 사용할 수 있다.
현재 대부분 3G통신과 Wi-Fi를 지원하고 있습니다. 따라서 일반적인 무선인터넷이라 불리는 Wi-Fi가 지원되는 환경에선 Wi-Fi를 이용할 수 있으며, 그렇지 않은 지역에서는 3G를 이용하여 데이터 통신을 할 수 있습니다. 따라서 출퇴근 시간 지하철 내에서도 웹서핑은 물론, 트위터(twitter)나 페이스북(facebook) 등 다양한 서비스를 사용할 수 있습니다.
이런 특징들로 인해 우리는 언제 어디서나 원하는 정보에 손쉽게 접근하고 활용할 수 있어 우리의 삶을 보다 ‘스마트’하게 만들어주고 있지요.
그렇다면 스마트폰을 사용함으로써 발생할 수 있는 문제점에는 어떤 것들이 있을까요?
넓게 보면 기존의 컴퓨터에서 발생했던 대부분의 보안 사고가 스마트폰에서도 발생할 수 있겠습니다. 하지만 아직까지는 스마트폰의 운영체제가 모바일 환경에 특화되다보니 개인용 컴퓨터보다는 그 위협이 적은 편 입니다. 반면, 수 많은 개인정보 및 사생활이 입력되고 처리되는 스마트폰이다보니 개인용 컴퓨터에서 발생했던 보안 위협과는 또 다른 보안 위협이 존재할 수 있습니다. 이런 보안 위협에는 어떤 것들이 있을까요?
- 사생활 및 개인정보 유출
대다수 스마트폰 사용자들은 스마트폰을 통해 일정관리, 메모, 인터넷 뱅킹, 이메일등의 기능을 사용하고 있으며 최근 유행하고 있는 소셜 네트워크 서비스(SNS-Social Network Service)를 사용하고 있습니다.
스마트폰은 자신 혼자만 사용하며, 입력이 조금 번거롭다는 이유로 보안상 중요한 로그인 정보를 자동으로 처리하게 저장해 두는 경우가 많습니다. 또한 소셜 네트워크 서비스를 통해 자신의 일상을 기록하는 사용자들 또한 기하 급수적으로 늘어나고 있지요. 하지만 이런 편리함 이면에는 사생활과 개인정보 유출이라는 부작용도 존재하고 있습니다.
[그림 1]과 같이 소셜 네트워크 서비스를 이용할 때, 그 당시에는 의미 없고 단편적인 일일지 모르지만 그런 정보들이 모이고 모이면 중요한 개인정보나 사생활 정보가 될 수 있으며, 또 이렇게 수집된 정보가 악용될 소지 또한 높습니다.
또 문제가 되는 것은 스마트폰 분실 입니다. 이전의 핸드폰은 분실되면 전화번호 정도만 유출되었지만, 스마트폰은 분실 시 저장된 대부분의 중요한 개인 정보들이 유출될 수 있으며, 이 정보들이 악용될 소지도 있습니다.
또한 소셜 네트워크 서비스와 같은 애플리케이션은 실행만 하면 자동 로그인이 되기 때문에, 인터넷상에서 내가 아닌 다른 사람이 내가 되는 상황이 발생할 수도 있지요. 이를 예방하기 위해서는 가급적 스마트폰에 ‘자동 잠금’과 ‘암호 잠금’을 활성화 시켜 놓는 것이 좋으며, 민감한 개인 정보들이 많을 경우에는 암호 입력 시도가 일정 횟수 이상 실패하면 스마트폰의 데이터를 자동으로 삭제하는 기능을 활성화 시켜 놓는 것도 도움이 됩니다. 무엇보다 중요한 건 스마트폰이 분실되지 않도록 잘 관리하는 것이 겠지요.
- 검증되지 않은 애플리케이션
스마트폰은 누구나 개발툴킷을 이용하여 애플리케이션을 개발하고 또 마켓을 통해 판매가 가능합니다. 따라서 우리는 다양한 스마트폰용 애플리케이션을 다운로드 받고 사용할 수 있습니다. 하지만 이런 애플리케이션 중에서 사용자 개인 정보를 외부로 유출하거나 유료 과금을 하게끔 하는 애플리케이션이 실제 발견되고 있습니다.
이런 악성코드들은 애플리케이션 마켓에서는 게임이나 바탕화면 변경 애플리케이션으로 등록되어 있기 때문에 사용자들이 별 의심 없이 다운로드하고 설치하게 됩니다.
물론 애플리케이션 설치전에 해당 애플리케이션이 필요로 하는 기능들이 표시 되긴 하지만, 일반적인 사용자들이 그 정보를 보고 정상 애플리케이션인지 아니면 악성 애플리케이션인지 정확히 판단을 내리는 것은 사실상 불가능 합니다.
최근 보다 다양한 기능들을 사용하기 위해 아이폰의 경우 ‘탈옥(JailBreak)’, 안드로이드폰의 경우 ‘루팅(Rooting)’을 적용하여 사용하는 사용자들이 늘어나고 있습니다. 하지만 이렇게 ‘탈옥’이나 ‘루팅’이 된 스마트폰은 정상적으로 구매하지 않은 애플리케이션을 사용자가 임의로 설치할 수 있습니다. 따라서 정상 애플리케이션을 변조한 뒤 사용자에게 배포하는 경우 악성 여부를 확인할 방법이 없으며, 사용자가 제작한 어떤 애플리케이션이든 설치가 가능하기 때문에 악의적인 목적으로 만들어진 악성코드가 설치될 가능성이 매우 높아집니다.
따라서 이를 예방하기 위해서는 애플리케이션을 다운로드 받기 전에 해당 애플리케이션에 대한 사용자들의 평가글을 자세히 읽어보고, 큰 문제가 없다고 판단될 경우에만 다운로드하는 것이 좋습니다. 탈옥이나 루팅을 통해 다양한 기능과 편리함을 얻을 수는 있지만 ‘보안’이라는 중요한 부분을 잃게 되기 때문에, 전문적인 지식이 없는 경우 탈옥이나 루팅과 같이 스마트폰의 소프트웨어를 변조하는 행위를 하지 않는 것이 좋겠지요.
- 검증되지 않은 무선 네트워크 환경
스마트폰은 다양한 네트워크 환경을 지원합니다. 그 중 많이 사용하는 것이 바로 Wi-Fi 입니다. 3G와는 달리 일반적으로 과금이 되지 않으므로 다른 그 어떤 통신 방법보다 선호하는 통신 방식입니다. 실제 사람들이 많은 곳에서 비밀번호를 사용하지 않은 Wi-Fi AP(Access Point)를 개설해 놓으면 수 많은 사람들이 접속하는 것을 확인할 수 있습니다.
만약, 누군가가 악의적인 마음을 먹고 무료 Wi-Fi AP를 개설해 놓고는, 송수신되는 내역을 모두 확인한다면 어떻게 될까요? 우리가 스마트폰으로 주고 받는 모든 내역이 기록되어 아이디는 물론 패스워드까지 유출될 수 있습니다. 낯선 곳에 갔을 경우 그냥 Wi-Fi 네트워크에 접속하는 습관은 고쳐야 하며, 혹 불가피하게 사용해야 할 경우에는 민감한 개인정보 등은 입력하지 않아야 하겠습니다.
- 보안 취약점 공격
최근 스마트폰에서 잇따라 보안 취약점이 발견되고 있습니다. 최근 애플(Apple)사의 아이폰(iPhone)에서 내장된 사파리 웹브라우저를 사용, 어도비(Adobe)사의 문서파일(PDF)를 처리할 때 관리자 권한을 획득할 수 있는 보안 취약점이 발견된 바 있습니다. 실제 이 취약점을 활용하여 아이폰 탈옥(JailBreak)툴이 개발되고 공개 되기도 했었지요.
안드로이드(Android)폰의 경우도 특정 버전에서 웹 브라우저를 통해 관리자 권한을 획득하는 보안 취약점이 발견 되었습니다. 이런 취약점을 이용하면 단순히 웹브라우저를 통해 사이트에 접속하는 것만으로도 악성코드에 감염될 수 있지요.
스마트폰은 그 특성상 감염 시 전화번호, 통화목록, 문자 메시지, 메모, 일정과 같은 개인 정보는 물론 유료 전화나 스팸 문자 메시지 발송등등 실제 금전적 피해가 발생할 가능성이 있습니다. 이를 예방하기 위해서는 스마트폰 제작사에서 배포하는 최신 버전으로 업데이트 해야 합니다.
최근 트위터(Twitter)와 같은 서비스는 짧은 주소 링크를 주로 사용하는데 이런 짧은 주소 링크는 검증이 어려우므로 짧은 주소로 웹사이트에 접속하지 않는 것이 좋습니다. 또한 신뢰할만한 컴퓨터 보안 업체에서 제작한 스마트폰용 백신으로 주기적으로 검사해 악성코드의 유무를 확인해야 합니다.
스마트폰이 우리의 삶을 보다 스마트하게 만들어주고 있는 것은 분명합니다. 하지만 그 편리함 이면에는 개인정보 유출, 유료 과금과 같은 보안사고 위험도 함께 공존하고 있습니다. 우리가 집을 비울 때면 조금 번거롭기는 하지만 문단속을 하지요. 그리고 이제는 그 문단속이 큰 불편함으로 느끼지 못할 만큼 익숙해져 있으실 겁니다. 보안도 마찬가지 입니다. 처음엔 조금 불편하겠지만, 익숙해지면 그 불편함은 서서히 사라집니다. 지금부터라도 나의 소중한 개인 정보를 지키기 위해 작은 노력을 시작해보는 건 어떨까요?
박시준 악성코드 분석가
안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.
이 글은 안랩닷컴 보안정보 / 보안포커스 / 전문가 칼럼
에서도 보실 수 있습니다.
'AhnLab 보안in' 카테고리의 다른 글
내가 여친 손바닥 안에 있다고? (0) | 2020.04.10 |
---|---|
실시간 검사에서 행위기반 탐지까지, V3 모바일 100% 활용법 (0) | 2020.04.10 |
선배가 찾아가는 이색 신입사원 교육 눈길 (0) | 2020.04.10 |
'내 돈 날아간 것 아닐까요?' 도전! 결제 오류 해결 (0) | 2020.04.10 |
느려터진 컴퓨터 부팅 속도, 해결할 방법이 없을까? (0) | 2020.04.10 |