최근 숭실대 컴퓨터학과 이정현 교수팀이 국내 공급되고 있는 삼성, LG의 ‘윈도 모바일 6.1’이 탑재된 스마트폰 4종을 대상으로 해킹에 성공했다고 발표해 화제를 모았습니다. <관련기사>

혹시 자세한 자료를 원하거나 궁금하신 분이 있을까 싶어 이정현 교수가 제공한 해킹 시나리오 플래시를 붙이겠습니다. 물론 실제 시연 동영상은 아닙니다.

일단 단말기 사용자가 웹을 통해 숨겨진 악성코드를 다운로드하는 것에서 감염시나리오가 구성돼 있습니다. 사용자가 클릭한 것이 성인인증을 받아야 하는 콘텐츠일 경우, 개인정보를 입력하게 되고 다운로드·설치돼 있는 악성코드가 정보를 단말기에 저장시킨 환경에서 여러 공격이 성사됩니다.

SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 단말기 시스템 다운, SMS 공격의 다섯가지 시나리오가 나와 있습니다.


단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다.

숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다.

이번 해킹은 의심스런 파일을 설치하지 안하거나 백신을 설치하는 등 휴대폰 보안관리를 위한 사용자 노력은 일단 배제하고, 윈도 모바일 자체가 취약하다는 사실을 보여줬습니다.

아직까지 이렇다 할 휴대폰-스마트폰 보안 사고가 없었던 국내에서는 많은 사용자들이 그 위험성을 인지하게 되는 계기가 됐을 것임은 분명합니다.

그런데 일각에서는 이번에 이용한 해킹 기법이 실제 일어날 확률은 매우 낮은데 시연을 통해 위험성만을 크게 부각시켰다는 (전문가) 의견이 나오고 있습니다.

또 자칫 국내 사용자들의 인식이 ‘아이폰만 안전하니, 아이폰만 써야겠구나’하는 의도친 않은 방향으로 흐르게 될 수도 있다는 우려가 제기되기도 합니다.

결론적
으로, 개인 스마트폰 이용자들은 어떠한 운영체제가 탑재된 휴대전화를 사용하던 간에 평소 보안관리에 주의해야 하는 것만은 사실입니다. 이게 이번 스마트폰 해킹 시연에서 가장 중요한 포인트라고 생각합니다.

은 분들이 아시다시피, 애플은 앱스토어를 통해서만 애플리케이션 등 무언가를 휴대폰에 다운로드할 수 있도록 하고 있습니다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 일정수준의 정해진 규칙을 따르게 합니다.

애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없습니다. (그래서 많은 사용자들이 ‘탈옥(jail break)’에 대한 유혹을 경험하기도 합니다.) 폐쇄적이긴 하지만 보안성은 강합니다.


윈도 모바일을 제공하는 마이크로소프트나 안드로이드를 제공하는 구글은 다릅니다. 오픈 정책이라고 해야 할까요? 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 또 연결할 수 있도록 열어놓고 있습니다.

글의 경우, 모든 애플리케이션을 안드로이드마켓에 올릴 수 있도록 하고 있습니다. 구글은 이에 대한 사전 필터링 프로세스를 갖고 있지 않지만, 만일 악성코드가 등록되더라도 자연스레 커뮤니티에서 퇴출될 것이기 때문에 자정 노력에 맞기겠다는 입장인 것으로 알고 있습니다.

한마디로 정책이 다릅니다. 플랫폼을 오픈하고 있기 때문인데, 보안에는 취약할 수는 있습니다.

윈도 모바일의 경우는 단말기 성능만 좋아진다면 윈도가 설치된 PC와 같이 무엇이든 사용할 수 있게 될 것입니다. 그리고 PC에서와 같이 악성코드 감염 등 많은 보안위협이 나타날 수도 있습니다.

이에 관해 이정현 교수는 “애플과 같은 프로세스로 보다 안전한 스마트폰을 만들려면 플랫폼이 있어야 하는데, 우리(휴대폰제조사)는 플랫폼이 없어 가슴아프다”라고 말했습니다. (삼성전자가 ‘바다’를 발표하긴 했지만요.) 보안성과 관련해서는 애플의 방식이 맞다는 의미로 해석됩니다. 많은 분들이 동의하실 겁니다.

이번 해킹 결과가 공개된 후 아직까지 마이크로소프트는 공식 입장을 밝히진 않았습니다.

윈도 모바일 휴대폰만 대상이 된 것에, 그리고 현실에서 일어나지 않은 해킹 시나리오를 이용한 것에 약간 억울한 느낌을 감지할 수 있습니다.

아마도 본격적으로 스마트폰 확산기가 도래한 시점에서 애플, 구글과 ‘전쟁’을 벌이는 마이크로소프트로서는 이번 해킹 발표로 인해 상당한 타격을 입게 된 것이 사실입니다. 앞으로 무궁무진한 모바일 분야 경쟁에서 뒤쳐진다면 그동안 PC로 인해 누렸던 영화는 금세 추억으로 남겨지게 될 수도 있겠지요.

더욱이 국내에서는 대부분이 윈도OS가 탑재된 PC를 사용하고 PC 기반 인터넷도 인터넷익스플로러(IE)에만 최적화된 서비스를 제공하는 등 PC용 OS와 인터넷브라우저 시장에서 누구도 따라올 수 없는 ‘제왕’이었던 만큼 “반(反)MS, 반윈도, 반IE”를 외치는 안티세력이나 안티정서도 상당합니다.

특히 윈도를 대상으로 한 수많은 공격으로 드러난 ‘보안 취약성’은 그동안에도 심각한 아킬레스건이었습니다.

안그래도 최근 MS는 중국 공격자들의 구글 해킹으로 IE의 보안취약성마저 도마에 오르고 있는 상황이지요. 심지어 독일, 프랑스 등 유럽 정부가 국민들에게 IE를 쓰지 말라는 권고까지 하고 있다는 기사를 보기도 했는데, 여러모로 난감한 상황일 겁니다.

이번 해킹 대상이 된 휴대폰 제조업체인 삼성전자와 LG전자도 별다른 입장을 내놓지는 않았습니다.

삼성전자는 “삼성 모바일 닷컴 홈페이지에서 안철수연구소 보안 프로그램을 제공하고 있고, 무료로 다운로드를 할 수 있다”면서 윈도 모바일용 백신을 제공하고 있다는 점을 강조했습니다. 그리고 앞으로 윈도, 안드로이드 등 다양한 모바일 OS가 탑재된 스마트폰을 사용자들에게 제공할 예정이랍니다.

LG전자도 “지난달 27일 출시한 스마트폰 ‘210시리즈’는 최신 윈도모바일 6.5 OS가 탑재돼 있고, 안철수연구소의 백신을 이용자들이 다운로드할 수 있도록 제공하고 있다”고 설명했습니다. 앞으로 출시될 다른 모델에도 제공할 예정이고요. 그리고 이번 해킹 대상이 된 휴대폰(인사이트)은 이미 단종된 상태랍니다.

스마트폰 보안 시장은 제조사들이-아직은 안철수연구소 뿐이지만-보안 업체와 계약해 제공하는 B2B2C 모델로 시작하는군요.

SK텔레콤도 어제(4일) ‘모바일 위험관리 종합대책’으로 모바일 백신 등 단말기 보안 솔루션을 개발해 고객에게 제공할 예정이라고 발표했구요.

많은 보안 업체들이 스마트폰 보안 제품 개발에 나선 상황에서, 이러한 B2B2C 모델이 앞으로도 자리가 잡게 될지 또다른 관전 포인트 중 하나입니다.

2010/02/05 16:31 2010/02/05 16:31

트랙백 주소 :: 이 글에는 트랙백을 보낼 수 없습니다