고성 인터넷 뉴스 : gsinews ::: 내 손안의 컴퓨터, 스마트폰 보안사고 예방법!

내 손안의 컴퓨터, 스마트폰 보안사고 예방법!

고성인터넷뉴스 | 입력 2010-11-19 | 수정 2010-11-19 | 관련기사 건

“무지 비싼 장난감” “편리함” “예쁜 전화기” “풀 터치폰”

지인들에게 “스마트폰을 한마디로 표현하면?”이란 문의를 한 결과 위와 같은 대답들을 들을 수 있었다. 물론 틀린 말은 아니다. 하지만 정작 스마트폰이 컴퓨터라고 생각하는 사람은 잘 없는 것 같다.

우리가 일반적으로 사용하는 컴퓨터와는 그 형태가 달라 인지하기 힘들지만 스마트폰은 우리가 늘 사용하는 컴퓨터와 동일한 구조를 가지고 있다. 따라서 현재 컴퓨터에서 발생하는 다양한 보안 사고가 동일하게 스마트폰에서도 발생할 수 있다.

또한 WIFI, 3G, Wibro 등 다양한 통신 환경을 사용하므로 언제 어디서나 인터넷에 연결될 수 있어 더욱 더 다양한 보안 위협에 놓여 있다고 볼 수 있다. 따라서 스마트폰이란 무엇인지 알아보고 보안 사고를 예방하기 위한 방법은 어떤 것이 있는지 알아둘 필요가 있다.

스마트폰이란?

스마트폰의 산업 표준에 대한 정의는 아직 없다. 하지만 일반적으로 다음과 같은 특징들을 가지고 있다.

● 운영체제를 가지고 있다.

아이오에스(iOS), 안드로이드(Android), 심비안(Symbian) 등이 그 예이다. 물론 이런 스마트폰의 운영체제에서 사용 가능한 어플리케이션을 개발하기 위한 개발 툴킷(SDK-Standard Development Kit)도 제공하여 누구나 스마트폰 어플리케이션을 개발하고 또 배포할 수 있다.

● 버튼이 거의 없다.

일부 컴퓨터 키보드와 동일한 쿼티(QWERTY) 키를 가진 제품도 있지만 대부분 풀터치 스크린을 가지고 있다. 이는 실행하는 어플리케이션에 따라 그 용도가 바뀌는 스마트폰의 특징 때문이다. 웹브라우저 어플리케이션을 실행하면 웹브라우저가 되고, 네비게이션 어플리케이션을 실행하면 네비게이션이 된다. 즉, 용도에 따라 입력 방법이나 형태가 바뀌어 다양한 용도로 사용할 수 있다.

● 다양한 통신 방법을 사용할 수 있다.

현재 대부분 3G통신과 WIFI를 지원하고 있다. 따라서 일반적인 무선인터넷이라 불리는 WIFI가 지원되는 환경에선 WIFI를 이용할 수 있으며 그렇지 않은 지역에서는 3G를 이용하여 데이터 통신을 할 수 있다. 따라서 출퇴근 시간 지하철 내에서도 웹서핑은 물론, 트위터(twitter)나 페이스북(facebook)등등 다양한 서비스를 사용할 수 있다.

이런 특징들로 인해 우리는 언제 어디서나 원하는 정보에 손쉽게 접근하고 활용할 수 있어 우리의 삶을 보다 스마트하게 만들어주고 있다.

스마트폰과 보안위협

그렇다면 스마트폰을 사용함으로써 발생할 수 있는 문제점엔 어떤 것들이 있을까? 넓게 보면 기존의 컴퓨터에서 발생했던 대부분의 보안 사고가 스마트폰에서도 발생할 수 있다. 하지만 아직까진 스마트폰의 운영체제가 모바일 환경에 특화되다보니 개인용 컴퓨터보단 그 위협이 적은편이다.

반면 수많은 개인정보 및 사생활이 입력되고 처리되는 스마트폰이다 보니 개인용 컴퓨터에서 발생했던 보안 위협과는 또 다른 보안 위협이 존재할 수 있다. 그렇다면 이런 보안 위협에는 어떤 것들이 있는지 알아보자.

- 사생활 및 개인정보 유출

대다수 스마트폰 사용자들은 스마트폰을 통해 일정관리, 메모, 인터넷 뱅킹, 이메일 등의 기능을 사용하고 있으며 최근 유행하고 있는 소셜 네트워크 서비스(SNS-Social Network Service)를 사용하고 있다. 스마트폰은 자신 혼자만 사용하며 입력이 조금 번거롭다는 이유로 보안상 중요한 로그인 정보를 자동으로 처리하게 저장해 두는 경우가 많다.

또한 소셜 네트워크 서비스를 통해 자신의 일상을 기록하는 사용자들 또한 기하급수적으로 늘어나고 있다. 하지만 이런 편리함 이면에는 사생활과 개인정보 유출이라는 부작용도 존재한다.

그림 1과 같이 소셜 네트워크 서비스를 이용할 때 그 당시는 의미 없는 단편적인 일일지 모르지만 그런 단편적인 정보들이 모이고 모이면 중요한 개인정보나 사생활 정보가 될 수 있으며 이렇게 수집된 정보는 악용될 소지가 높다.

▲ 그림 1 단편적인 개인 정보들의 조합

또한 문제가 되는 것은 스마트폰 분실이다. 이전의 핸드폰은 분실되면 전화번호 정도만 유출되었지만, 스마트폰은 분실 시 저장된 대부분의 중요한 개인 정보들이 유출될 수 있으며 그러한 정보들이 악용될 소지도 있다. 그리고 소셜 네트워크 서비스와 같은 어플리케이션은 실행만 하면 자동 로그인이 되므로 인터넷상에서 내가 아닌 다른 사람이 내가 될 수 있다.

이를 예방하기 위해서는 가급적 스마트폰에 자동 잠금과 암호 잠금을 활성화 시켜 놓는 것이 좋으며 민감한 개인 정보들이 많을 경우 암호 입력 시도가 일정 횟수 이상 실패하면 스마트폰의 데이터를 자동으로 삭제하는 기능을 활성화 시켜 놓는 것도 도움이 된다.

무엇보다 중요한 건 자신의 스마트폰이 분실되지 않도록 잘 관리하는 것이다.

- 검증되지 않은 어플리케이션

스마트폰은 누구나 개발 툴킷을 이용하여 어플리케이션을 개발하고 또 마켓을 통해 판매가 가능하다. 따라서 우리는 다양한 스마트폰용 어플리케이션을 다운로드 받고 사용할 수 있다. 하지만 이런 어플리케이션 중에서 사용자 개인 정보를 외부로 유출하거나 유료 과금을 하게끔 하는 어플리케이션이 실제 발견되었다.

▲ 그림 2 V3 Mobile로 진단된 안드로이드 악성코드

이런 악성코드들은 어플리케이션 마켓에선 게임이나 바탕화면 변경 어플리케이션으로 등록되어 있어 사용자들은 별 의심 없이 다운로드하고 설치하게 된다.

물론 어플리케이션 설치 전에 해당 어플리케이션이 필요로 하는 기능들이 표시되기는 하지만 일반적인 사용자들이 그 정보를 보고 정상 어플리케이션인지 악성 어플리케이션인지 정확한 판단을 내리는 것은 사실상 불가능하다.

최근 보다 다양한 기능들을 사용하기 위해 아이폰의 경우 탈옥(JailBreak), 안드로이드폰의 경우 루팅(Rooting)이라는 적용하여 사용하는 사용자들이 늘어나고 있다. 이렇게 탈옥이나 루팅이 된 스마트폰은 정상적으로 구매하지 않은 어플리케이션을 사용자가 임의로 설치할 수 있다.

따라서 정상 어플리케이션을 변조한 뒤 사용자에게 배포하는 경우 악성 여부를 확인할 방법이 없으며 사용자가 제작한 어떤 어플리케이션이든 설치가 가능하기 때문에 악의적인 목적으로 만들어진 악성코드가 설치될 가능성이 매우 높아진다.

따라서 이를 예방하기 위해서는 어플리케이션을 다운로드 받기 전에 해당 어플리케이션에 대한 사용자들의 평가 글들을 자세히 읽어보고 큰 문제가 없다고 판단될 경우에 다운로드하는 것이 좋다.

탈옥이나 루팅을 통해 다양한 기능과 편리함을 얻을 수는 있지만 보안이라는 중요한 부분을 잃게 되기 때문에 전문적인 지식이 없는 경우 탈옥이나 루팅과 같이 스마트폰의 소프트웨어를 변조하는 행위를 하지 않아야 한다.

- 검증되지 않은 무선 네트워크 환경

스마트폰은 다양한 네트워크 환경을 지원한다. 그 중 많이 사용하는 것이 바로 WIFI이다. 3G와는 달리 일반적으로 과금이 되지 않으므로 다른 그 어떤 통신 방법보다 선호하는 통신 방식이다. 실제 사람들이 많은 곳에서 비밀번호를 사용하지 않은 WIFI AP(Access Point)를 개설해 놓으면 수 많은 사람들이 접속하는 것을 확인할 수 있다.

누군가 악의적인 마음을 먹고 무료로 WIFI AP를 개설해 놓고 송수신되는 내역을 모두 확인한다면 어떻게 될까? 우리가 스마트폰으로 주고받는 모든 내역이 기록되어 아이디는 물론 패스워드까지 유출될 수 있다.

따라서 다른 곳에 갔을 경우 그냥 WIFI 네트워크에 접속하는 습관은 고쳐야 하며, 혹 불가피하게 사용하여야 할 경우 민감한 개인정보 등은 입력하지 않아야 한다.

- 보안 취약점 공격

최근 스마트폰에서 잇따라 보안 취약점이 발견되고 있다. 최근 애플(Apple)사의 아이폰(iPhone)에서 내장된 사파리 웹브라우저를 사용하여 어도비(Adobe)사의 문서파일(PDF)를 처리할 때 관리자 권한을 획득할 수 있는 보안 취약점이 발견되었으며 실제 이 취약점을 활용하여 아이폰 탈옥(JailBreak)툴이 개발되고 공개 되었다.

안드로이드(Android)폰의 경우도 특정 버전에서 웹 브라우저를 통해 관리자 권한을 획득하는 보안 취약점이 발견 되었다.

이런 취약점을 이용하면 단순히 웹브라우저를 통해 사이트에 접속하는 것만으로도 악성코드에 감염될 수 있다.

스마트폰은 그 특성상 감염 시 전화번호, 통화목록, 문자 메시지, 메모, 일정과 같은 개인 정보는 물론 유료 전화나 스팸 문자 메시지 발송등등 실제 금전적 피해가 발생할 가능성이 있다.

이를 예방하기 위해서는 스마트폰 제작사에서 배포하는 최신 버전으로 업데이트해야 한다.

최근 트위터(Twitter)와 같은 서비스는 짧은 주소 링크를 주로 사용하는데 이런 짧은 주소 링크는 검증이 어려우므로 짧은 주소로는 웹사이트에 접속하지 않는 것이 좋다.

그리고 신뢰할만한 컴퓨터 보안 업체에서 제작한 스마트폰용 백신을 사용하여 주기적으로 검사해 악성코드 유무를 확인하여야 한다.

스마트폰은 우리의 삶을 보다 스마트하게 만들어주고 있는 것은 분명하다. 하지만 그 편리함 이면에는 개인정보 유출, 유료 과금과 같은 보안사고의 위험도 함께 공존하고 있다. 우리가 집을 비울 때는 조금 불편하지만 문단속을 한다.

그리고 지금은 문단속이 큰 불편함으로 느끼지 못할 만큼 익숙해져 있다는 것을 알 수 있다. 보안도 마찬가지다. 처음엔 조금 불편하겠지만 익숙해지면 그 불편함은 느끼기가 힘들다. 지금부터라도 나의 소중한 개인 정보를 지키기 위해 작은 노력을 시작해보자.

▲ 박시준악성코드 분석가

안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.