전세계 4100만명의 블랙베리 스마트폰 사용자를 보유하고 있는 리서치인모션(RIM, 림)이 최근 국내 기자들을 초청해 ‘스마트폰 보안’을 주제로 워크숍을 개최했습니다.

이날 관련기사(RIM “‘보안’은 블랙베리의 DNA”)에 언급하긴 했지만, 림이 제공하는 보안 솔루션에 더 무게를 두다보니 이들이 바라보는 보안위협과 대책을 자세하게 쓰지 못해 영 아쉬웠습니다.

워크숍 때 샌 모이 RIM의 아태지역 이사가 발표한 내용을 주축으로 스마트폰 보안위협과 고려해야 할 방안을 정리해 보겠습니다.

3대 스마트폰 위협요소

1. 분실이나 도난된 기기 안에 있는 데이터를 누군가가 가져간 경우 - 고객정보 유출

2. 탈착 가능한 플래시메모리를 빼내 스마트폰 안의 기업 데이터를 훔쳐가는 경우

3. 해커가 일반 애플리케이션에 악성코드를 집어 넣는 것 - 애플리케이션 스토어를 통한 사용자 악성코드(멀웨어) 다운로드

이같은 보안위협을 최소화하기 위한 방안으로는 가장 먼저 모바일 보안 정책을 수립해야 한다는 점을 강조했습니다.

1. 모바일 보안 정책 수립

스마트폰 사용에서 안전성을 확보하기 위해서는 반드시 모바일 보안 정책을 수립해야 한다. 기존에 데스크톱에 적용했던 보안 정책을 블랙베리와 같은 스마트폰에도 확장 적용해 사용하는 것이 그 출발점이다.

예를 들어, 데스크톱에 비밀번호 사용을 의무화하는 것처럼 스마트폰에도 비밀번호 사용을 의무화하고, 30일마다 변경하도록 하는 것이다. 또 비밀번호를 설정할 때에는 특수문자 등의 조합을 사용해야 한다.

2. 엔드투엔드 데이터 암호화

전송데이터를 암호화하는 것뿐 아니라 스마트폰 내에 저장된 데이터까지 모두 암호화해야 한다.

사용자는 스마트폰에서 인터넷뱅킹 거래 데이터만 암호화하길 원할 수 있지만 기업은 모든 데이터를 암호화하는 것이 중요하다.

3. 악성코드 방지 대책

PC에서 쓰는 안티바이러스 등 악성코드 방지 프로그램을 스마트폰에서 구동하는 것이 힘들다. 악성코드를 방지하기 위해서는 악성코드를 기기에 다운로드 하지 않도록 하는 방안을 다르게 접근해야 한다. 바로 애플리케이션 자체를 통제하는 것이다. 허가/불허된 애플리케이션을 리스트로 정의해 스마트폰에서 불허된 애플리케이션에 접속하는 것을 제한해야 한다.

만일 애플리케이션을 다운받아 설치한 후 나중에 업데이트를 통해 악성코드에 들어오는 경우는 애플리케이션이 액세스하는 수준에 제한을 두면 된다.

사전에 악성코드 감염을 예방할 수 있는 조치다.

4. 기업의 경우- 스마트폰 조달정책 필요

기업이 모바일 오피스 구현 등을 위해 스마트폰을 도입할 때에는 한 두가지 표준모델을 선정해야 보안관리하기 쉽다. 만일 사내에 이기종 스마트폰 모델을 5개 이상, 10여개 이상 사용한다면 보안관리가 어렵다.

기업은 스마트폰 SMS, MMS 및 전화에 대한 로그 감사를 수행하는 것이 중요하다.

애플리케이션 표준화도 중요하다. 최종 사용자가 모든 애플리케이션 사용을 허용할 것이 아니라 표준화되고 승인된 애플리케이션 사용을 허용하고, 다운로드 가능한 애플리케이션 수를 제한하는 것도 고려해볼만 하다.

5. DLP(Data Loss Prevention) 프로그램 필요

기업의 경우엔 직원에 의한 회사정보유출이나 스마트폰 분실시 정보유출을 막기 위해 DLP 프로그램을 반드시 고려해야 한다.

스마트폰에는 개인정보뿐 아니라 회사 정보를 담고있을 수 있다. 직원이 퇴사할 경우 스마트폰 안에 담긴 정보가 유출될 수 있다는 점을 반드시 생각해야 한다. 또 DLP를 적용할 때에는 직원마다 적용 수준을 다르게 둬야 한다.
 

2010/06/21 15:58 2010/06/21 15:58


최근 주목되는 신생 보안업체 두 곳이 있습니다.

쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다. 

두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.  

무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다.

프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다.

전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다. 

안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다.

쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다.

이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다.

NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요.

두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다. 

입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요.

'엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다.

이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다.

전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요.

혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다.

이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다.

생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다.

아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다.

특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요. 

조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다.

그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다.

아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다.

스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다.

그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다.

업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다.

이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다.

휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다.

한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다.

그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요.

그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면,
앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다.

아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다. 

이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요. 

2010/01/05 15:30 2010/01/05 15:30