스마트폰 보안 과도경계 역효과 부른다

최근 스마트폰을 통한 해킹 우려가 있다는 소식이 전해지면서 스마트폰 보안 위협에 대한 경각심이 높아지고 있다.

그러나 일부에서는 아직 현실화되지 않은 해킹 가능성을 두고 마치 스마트폰을 사용하면 개인정보가 유출될 우려가 있다는 식의 과도한 우려를 제기하면서 스마트폰에 대한 부정적 인식과 편견을 확산시키고 있어 문제로 지적되고 있다.

8일 업계에 따르면 최근 해외에서 잇따라 애플 아이폰과 구글 안드로이드폰이 해킹에 취약하다는 소식이 전해지면서 국내에서도 스마트폰 사용에 대한 경각심이 높아지고 있다.

문제는 아직 현실화되지 않거나 시연 수준의 해킹 가능성을 마치 스마트폰 보안 위협이 현실화된 것처럼 확대 해석하면서 소비자들에게 혼란을 주고 있다는 점이다.

최근 불거진 애플 아이튠즈 해킹 및 아이폰 운영체제(iOS) 보안 결함 소식이 대표적이다.

독일 연방정보보안청이 성명을 통해 아이폰, 아이패드 등 iOS 사용제품이 잠재적인 보안상의 문제점을 갖고 있다고 밝히자 마치 아이폰의 해킹이나 악성코드 피해가 현실화된 것처럼 보도됐다.

이번 문제는 결론적으로 말하면 PDF 뷰어라는 사파리 브라우저 내 소프트웨어의 약점 때문에 발생했다. 별도 목적을 가지고 정교하게 만들어진 폰트가 내장된 PDF를 제공할 때 이 폰트 처리 과정에서 아이폰에 침투할 수 있는 문이 열리는 것이다.

통상 애플 아이폰의 경우 멀티태스킹을 허용하지 않거나(iOS 4.0 이전 버전) 제한된 형태의 멀티태스킹만을 허용한다.

따라서 이메일에 첨부된 파일 등을 읽을 경우에 악성코드가 활동하기 어렵다.

아울러 애플 아이폰은 디바이스 자체에서 다른 실행파일에 접근할 수 있는 권한을 부여하지 않기 때문에 PC와 달리 바이러스나 웜 형태의 악성코드가 유포될 가능성이 매우 낮다.

또 애플리케이션 배포 경로는 애플 앱스토어로, 파일 다운로드 경로는 아이튠즈로 일원화돼 있고 애플의 검증 절차를 거쳐야 하기 때문에 트로이목마나 스파이웨어 형태의 악성코드가 배포될 가능성도 낮다.

문제는 소위 '탈옥'한 아이폰의 경우에는 PC와 마찬가지로 멀티태스킹이 가능하고 애플 앱스토어를 벗어나기 때문에 악성코드에 감염될 가능성이 높다는데 있다.

이번에 발견된 PDF를 통한 보안 위협도 직접적으로 아이폰에 악성코드를 유포하는 것이 아니라 아이폰 이용자가 특정 사이트에 접속해 해당 PDF 문서를 읽을 경우 아이폰에 해킹할 수 있는 문을 열어 보안 위협이 높아지도록 했다.

즉 이번 보안 위협은 아이폰 OS 자체의 문제가 아니라 PDF 뷰어의 소프트웨어 결함과 이를 제대로 업데이트하지 않은 사파리 브라우저를 이용한 것으로, 아이폰 뿐 아니라 다른 스마트폰에도 적용된다.

현재까지 애플 측에는 이와 관련된 피해 사례는 아직 접수되지 않았으며 애플 측은 소프트웨어 업데이트를 통해 이를 해결할 계획이다.

글로벌 PDF업체인 폭싯(Foxit)은 이미 지난 5일 PDF 취약점을 발견한 뒤 이를 해결한 PDF 리더를 애플에 제출해 승인받았다.

유선 PC에서는 이처럼 PDF 뷰어나 플래시 등의 소프트웨어 결합을 이용한 악성코드 유포가 빈번하게 발생하고 있으며, 소프트웨어 제작업체에서는 보안패치 업데이트를 통해 이에 대응하고 있다.

일부에서 해킹으로 알려진 아이튠즈 문제도 마찬가지다.

언론에서는 아이튠즈가 해킹을 당해 수백여명의 계정이 도용당했고 구매하지 않은 애플리케이션 내역서를 발송하는 등의 문제가 발생했다고 보도했다.

그러나 보안전문가들은 아이튠즈의 해킹보다는 피싱 가능성이 높은 것으로 보고 있다.

이미 다른 피싱사이트 등을 통해 유출된 개인정보를 입수해서 다른 사람 명의로 아이튠즈에 로그인을 시도한 뒤 애플리케이션 등을 구매했다는 것이다.

통상 인터넷 이용자들은 아이디와 패스워드를 하나로 통일하는 경우가 대부분이다. 이에 따라 특정 사이트 해킹을 통해 유출한 개인정보를 기반으로 다른 사이트에 접속을 시도하는 경우가 빈번히 발생하고 있다.

실제 게임업계에서는 피싱 사이트 등을 통해 유출된 개인정보로 온라인게임 등에 접속한 뒤 아이템을 매매하는 사례가 매달 적게는 수백건에서, 많게는 수천건씩 발생하고 있다.

구글 안드로이드폰 역시 마찬가지다.

안드로이드폰 또한 애플 아이폰처럼 디바이스 자체에서 다른 실행파일에 접근할 수 있는 권한을 주지 않는데다 다른 디바이스에 자신의 파일을 복제할 권한이 없어 바이러스나 웜이 배포될 가능성은 낮다.

다만 구글의 안드로이드 마켓의 경우 특별한 검증 절차가 없기 때문에 트로이목마나 스파이웨어와 같은 악성코드를 애플리케이션에 심어 등록하는 경우를 배제하기 어렵다.

무엇보다 앱스토어를 통해서만 애플리케이션을 올리고 내려받을 수 있는 아이폰과 달리 안드로이드폰은 안드로이드 마켓은 물론 SD카드나 웹에서 직접 애플리케이션을 내려받을 수 있어 악성코드 배포 경로가 다양하다는 약점을 지니고 있다.

실제 최근 안드로이드 마켓에 올라온 월페이퍼 애플리케이션을 통해 400만명의 개인정보가 유출된 것으로 알려지면서 안드로이드폰의 보안 문제가 도마 위에 올랐다.

그러나 이 역시 PC와 마찬가지로 보안 솔루션 등을 잘 활용하면 피해를 충분히 막을 수 있다는 것이 보안 전문가들의 지적이다.

스마트폰은 PC와 마찬가지로 운영체제(OS)를 기반으로 하기 때문에 보안 위협이 발생할 수 있지만 역시 PC처럼 백신 등을 활용해 위협을 최소화할 수 있는 것이다.

PC에서 각종 음란사이트나 피싱사이트에 접근하지 않듯 스마트폰에서도 음란 애플리케이션이나 정체를 알기 힘든 사이트 등에 접속하지 않으면 해킹이나 바이러스 감염 우려는 크게 줄어든다.

해커들이 각종 사회공학적 기법으로 스마트폰 사용자가 특정 URL을 클릭하도록 유도하고 있지만 이용자 스스로가 출처를 모르거나 신뢰할 수 없는 링크는 따라가지 않고 발신인이 불명확하거나 신뢰할 수 없는 메일을 열지 않는다면 대부분의 해킹이나 악성코드 감염의 위험에서 벗어날 수 있다.

그럼에도 불구하고 최근 스마트폰 보안 위협에 대한 과도한 우려가 제기되면서 스마트폰에 대한 부정적 인식이 확대되고 있어 산업에 부정적인 영향을 끼치고 있다.

보안업계의 한 관계자는 "실제 모바일 OS에 대한 해킹은 아직까지는 시연 수준으로 실질적인 위협은 현실화된 것이 거의 없다"면서 "최근에 필요 이상으로 모바일 디바이스 보안에 대한 과도한 우려가 확산되고 있다"고 지적했다.

안철수연구소 김홍선 대표는 자신의 블로그에서 "PC에서의 위협 형태가 스마트폰에서도 비슷하게 발생할 개연성이 크고 스마트폰 만의 구조적 취약점도 충분히 예견된다"면서도 "보안 위협은 현실에 바탕을 두고 판단해야 하는데 기술적으로 해킹이 가능하다고 해서 반드시 위협이 되는 것은 아니다"고 지적했다.

사용자가 잘 관리하거나 제도적으로 보완한다면 해킹을 해도 실익이 없고 더 이상 위협이 될 수 없다는 것이다.

김 대표는 "보안 문제가 너무 체계를 갖추지 않은 채 제기되면 스마트폰에 대한 부정적 인식과 편견만 불러 일으킬 수 있다"면서 "이떤 애플리케이션을 어떻게 사용할 때 위협이 발생하는지 시나리오를 설정해 놓고 차분히 보안 대책을 논의하는 자세가 바람직하다"고 밝혔다.