주요 스마트폰 운영체제(OS) 가운데 구글 안드로이드가 보안에 취약하다는 지적이 나왔다.
17일 한국정보보학회 주최로 열린 '스마트폰 보안문제 진단 및 대책마련을 위한 토론회'에서는 안드로이드의 보안 취약성을 제기하는 발언들이 쏟아졌다. 안드로이드는 ▲애플리케이션에 대한 검증절차가 없고 ▲멀티태스킹이 가능한 환경이기 때문에 상대적으로 보안에 취약하다는 설명이었다.
발제자로 나선 지란지교소프트 이영종 팀장은 "안드로이드는 애플리케이션에 대한 보안성 및 정당성 검증 절차가 없다"면서 "특히 애플리케이션 설치시 사용자에게 설치할 지 여부를 물음으로써 발생 가능한 문제에 대해 개발자 및 사용자에게 책임을 돌리고 있다"고 말했다.
안드로이드의 이런 취약성은 실제 피싱프로그램의 등장으로까지 이어졌다.
이영종 팀장은 "지난해 12월 '09Droid'라는 개발자가 미국은행이나 신용조합 이름을 프로그램 이름을 사용해 약 39종의 애플리케이션을 안드로이드 마켓에 올렸는데, 실제로는 사용자의 개인정보를 유출하는 프로그램이었다"면서 "안드로이드 마켓은 앱스토어와 달리 애플리케이션에 대한 검증이 이뤄지지 않는 것으로 보인다"고 강조했다.
아이폰과 달리 안드로이드는 멀티태스킹이 가능하므로 이를 이용한 악성코드도 가능하다.
이 팀장은 "간단한 퍼즐 게임으로 위장한 정보유출 프로그램을 사용자가 다운로드 했을 경우, 실제로 게임을 종료하더라고 백그라운드 단에서 계속 정보유출을 위한 코드들이 동작될 수 있다"며 "이 악성코드가 사용자의 주소록을 읽어 해당 프로그램의 설치를 유도하는 문자메시지(SMS)를 주소록에 있는 사람들에게 보낼 경우 악성코드가 빠른 속도로 확산될 수 있다"고 덧붙였다.
안드로이드가 이러한 보안 위협에서 자유롭기 위해서는 검증절차를 강화해야 할 것으로 보인다. 심비안의 경우에도 초기에는 시장 자율에 맡겼으나, 현재는 검증기관이 서명한 애플리케이션만 사용할 수 있도록 하고 있다.
아이폰의 경우 폐쇄적인 환경 덕분에 상대적으로 보안에 대한 위협이 덜하다. 앱스토어에 애플리케이션을 등록하기 위해서는 철저한 과정을 거쳐 개발자 및 개발사로 등록해야 한다. 또한 애플 측에서 등록된 애플리케이션에 대해 철저한 검증절차를 거치고 있는 상황이다.
특히 아이폰은 CPU, 메모리, 데이터 등 자원에 대한 공유가 불가능해 사실상 악의적으로 이용할 수 있는 부분이 없다고 할 수 있다. 다만 일명 '탈옥'이라고 흔히 불리는 'Jailbreaking'에 대해서는 사정이 좀 다르다. 그리고 이 지점에서 사용자의 책임이 강조된다.
충남대학교 류재철 교수는 "스마트폰 보안에서는 애플리케이션에 대한 검증을 철저하게 하는 동시에 사용자의 책임 또한 중요하다"면서 "애플의 경우에도 탈옥시킨 아이폰에 대해서는 AS를 해주지 않고 있으며, 사용자가 제품의 프레임워크를 바꾼 것에 대해서는 그들 스스로가 책임을 져야 한다는 입장을 갖고 있다"고 전했다.
애플은 특히 최근 펌웨어 업데이트(아이폰OS 3.1.3 버전)를 통해 탈옥 자체를 원천 봉쇄하겠다는 정책을 펼치고 있다. 이에 따라 탈옥을 원하는 사용자들은 펌웨어 업데이트를 하지 않고 구버전을 사용 중이다. 아이폰에서는 지금까지 두종의 악성코드 보고사례가 있으나, 이는 모두 탈옥된 폰에서 발견 됐다.
조시행 안철수연구소 상무는 "아이폰에는 현재로선 백신 프로그램이 필요없다"면서 "다만 탈옥된 아이폰에 백신을 공급할 경우 이른바 '불법'을 권장하는 게 아닌가 하는 내부적인 고민이 있다"고 털어놨다.
스마트폰 보안 취약성을 해결하기 위한 방안들도 논의가 되고 있으나 아직 완벽하지는 않다. 알려진 악성코드를 분석해 데이터베이스(DB)화한 후 이를 비교해 악성코드 여부를 판단하는 방법이 대표적이다. 이 방법은 새롭게 등장한 악성코드나 변종에 대한 탐지가 불가능하다는 단점이 있다.
스마트폰에서 벌어지고 있는 행위를 분석한 탐지 방식도 있다. 인터넷을 통해 개인정보가 유출되거나, 연락처를 모두 검색한 뒤 SMS를 전송하는 등의 행위가 벌어질 경우 이를 악성코드로 탐지할 수 있다는 것. 그러나 이 방식도 잘못된 탐지의 가능성이 있고, 스마트폰 자원을 과다하게 소모해 시스템에 부하를 줄 수 있다는 단점이 있다.
관련기사
- SKT, 스마트폰 유해사이트 접속 차단2010.02.17
- 스마트폰 사용자를 위한 '안전 십계명'2010.02.17
- ‘꼼짝마!’…AI 접목 금융 이상거래 탐지 ‘한 끗’ 차별화2024.05.01
- '노코드·로우코드 컨퍼런스' 찾은 관람객 "AI 도입 고민 해결됐다"2024.05.02
보안 위험 때문에 인터넷뱅킹이나 결제 서비스 등에도 제약이 따르는 상황이다.
박언탁 소프트포럼 소장은 "현재 대세를 이루는 스마트폰이 아이폰, 안드로이드, 윈도모바일로 압축되는데 이 모두에 대한 보안을 지원하기 위해서는 웹브라우저 방식의 보안모듈이 효율적이다"면서 "향후 웹표준을 지원해 다양한 종류의 스마트폰에 설치된 각각의 기본 브라우저를 통해서 뱅킹 등을 이용할 수 있는 환경이 돼야 한다"고 밝혔다.
