분산서비스거부(DDoS), 지능형지속가능위협(APT), 스미싱, 악성코드, 좀비PC 등 보안전문가들만 알고 있었던 용어들이 이제는 일반 사람들의 대화 속에서도 단골주제로 등장한다. 우리나라 주요 전산망, 정부기관, 금융기관 등을 노린 해킹이 피부에 와닿는 현실이 됐기 때문이다.
지난 3.20, 6.25 사이버 테러 이후 보안위협은 설마 하는 사용자들에게 직접 피해를 입힐 수 있을 정도의 위험수위에 이르렀다. 지디넷코리아 특별기획에서는 우리 사회/산업의 핵심 보안 이슈를 점검하고, 개인/공공/기업의 정보 자산을 보호해 줄 수 있는 솔루션을 갖추고 있는 경쟁력 있는 보안 기업에 대해 살펴본다.[편집자주]
모바일 돌잔치 초대장을 보내드렸습니다. 참석해 주시기 바랍니다, 모바일 청첩장 보냅니다, *캐피탈 입니다.
국내 스마트폰 사용자라면 한번쯤은 받았을 금융정보탈취를 노린 스미싱 메시지다. 구글 플레이 스토어, 애플 앱스토어 등에는 버젓이 정상 모바일 뱅킹 애플리케이션(앱)을 위장한 악성앱이 올라온다. 최근에는 한번 설치되면 사용자가 지울 수 없는 악성앱까지 등장했다.
2년전만 해도 찾기 힘들었던 스마트폰용 악성코드/악성앱들은 지난 1분기 집계결과 1년새 614%가 늘어난 27만6천259건으로 조사됐다. 이에 대응하기 위해 국내에서는 스미싱 방지용 앱을 내놓는가 하면, 모바일 기기 관리(MDM) 솔루션을 통해 앱의 위변조, 악성코드의 유포 등에 대해 대응하고 있다.
공공/기업 등은 편리하고 빠르게 어디서나 작업을 처리할 수 있다는 점에서 스마트폰을 업무용으로 활용하려는 움직임을 보이고 있다. 증권사 앱은 이미 실시간 주식거래를 가능케 하고 있다. 공공 기관에서는 스마트폰을 통한 전자결재를 도입하기 위해 힘쓰고 있으며, 삼성전자 등에서도 스마트폰을 업무적으로 활용할 수 있는 방법에 대해 모색 중이다.
문제는 금융정보탈취와 함께 기밀유출우려까지 높아지고 있다는 점이다. 이를 해결하기 위해 국내에서는 지난해부터 금융사를 중심으로 MDM 솔루션이 다수 도입됐다. 해외에서 이 솔루션은 스마트폰 분실시 안에 들어있는 내용을 보지 못하도록 관리하는 등의 역할을 해왔다. 그러나 국내에 본격적으로 MDM이 도입되면서부터 개념이 바뀌었다. 기기관리 기능에 더해 여러 보안기능이 추가됐기 때문이다.
이를 반영해 국가정보원은 모바일 보안 CC인증 규격을 만들었다. CC인증은 국내 공공기관에 보안솔루션을 도입하기 위해 필요한 일종의 기준으로 해당 기준을 만족시키면 CC인증이 부여되고 공공기관에 납품할 수 있게 된다. 이밖에도 금융감독원의 스마트폰 정보보안 가이드라인이 나왔다. 이들의 요구사항은 MDM/모바일백신/키보드가상화/무선침입방지시스템(WIPS), 모바일 가상사설망(VPN) 등을 도입하는 내용을 담고 있다.
이중 한국형 MDM이 포함하고 있는 것은 본래 기능 외에 앱 관리, 앱 보안, 기기접근제어 등의 기술이다. 최근 기승을 부리고 있는 스미싱의 경우 별도의 스미싱 방지 앱을 설치하거나 보안회사에서 제공하고 있는 모바일 백신을 통해 예방효과를 거둘 수 있다.
MDM에서는 지란지교소프트가 가장 많은 레퍼런스를 확보했다. 이 회사가 개발한 한국형 MDM인 '모바일키퍼'는 코오롱, 아시아나, 이랜드, 신한금융그룹, 수자원공사 등 약 30여개 기업 및 기관에 도입됐다. 올해는 현대해상, 동양생명보험, 비씨카드 등 11개 기업이 자사 솔루션을 도입했다고 회사측은 설명했다.
이밖에도 인포섹, 라온시큐어, 마크애니, 익스트러스 등이 MDM 솔루션을 개발해 공급하고 있다. 인포섹은 지난해 모바일 환경에서 사용자 단말기와 서버 간에 상호 인증을 통해 데이터를 안전하게 전송할 수 있는 방법에 대해 특허를 획득했다. 이는 자사 MDM솔루션인 '엠쉴드'에도 도입됐다.
라온시큐어는 지난 6월 일체형 MDM 솔루션인 '터치엔 엠가드 어플라이언스킷'을 출시했다. MDM에 더해 이를 관리할 수 있는 별도의 DB가 포함된 장비를 공급하는 것이 특징이다. 기존 한국형 MDM에서 요구되는 기술에 더해 사내 앱스토어를 관리하는 기능이 추가된 것이 특징이다. 이 회사는 인터넷 뱅킹에 활용되는 가상 키패드를 모바일 뱅킹앱으로 옮긴 '터치엔 엠트랜스키'를 공급하고 있다. 이와 함께 스마트기기에서 웹브라우저에 접속해 모바일 뱅킹에 필요한 전자서명을 제공하는 '터치엔 앱프리'의 경우 우리은행, 교보생명 등에 적용됐다.
익스트러스 역시 개인정보 유출 방지, 자산관리 등을 기반으로 한 익세이프 엠디엠을 교통안전공단, 식약청 등에 공급했다.
마크마크, 파수닷컴은 새롭게 이 분야에 진출하고 있다. 후발주자이나 기존에 DRM, 위변조방지 기술 등의 강점을 토대로 시장에 뛰어들었다.
마크애니가 지난달 출시한 '앱 세이퍼'는 앱 위변조 방지 기능을 강화한 것이 특징이다. 앱 전용 암호화 공간을 만들어 그곳에서만 앱이 유통되고, 특정 앱을 통해서만 해당 공간에 접근할 수 있도록 했다는 것이다. 스마트폰을 통해 유통되는 앱과 문서관리 등에 초점을 맞춘 것이다. 이밖에 MDM기능을 가진 이지스 세이퍼, 앱 위변조를 판별하는 이지스 앱세이퍼 등을 출시한 바 있다.
관련기사
- [ICT특별기획 2013]보안최전선, 금융기관 누가 지키나2013.09.12
- [ICT특별기획 2013]빅데이터 보안, 정교함이 관건2013.09.12
- [ICT특별기획 2013] "보안 적색경보...우리에게 맡겨라"2013.09.12
- 안랩, 네트워크 보안솔루션 국제인증2013.09.12
파수닷컴은 지난달 29일 '파수 솔루션 데이'를 열고, 올해 하반기부터 '모바일 데이터 & 액세스 매니지먼트, MDAM)'이라는 개념의 솔루션을 선보일 계획이다. 기기 전체가 아니라 기기에서 유통되는 데이터에 DRM을 적용해 쉽게 내용을 볼 수 없게 하겠다는 것이다.
모바일 백신의 경우 안랩, 하우리, 이스트소프트, 잉카인터넷 등 기존 보안업체들이 솔루션을 제공하고 있다. 이들 기업은 스미싱을 방지하기 위한 앱을 별도로 내놓기도 했다.
