- 스마트 시대의 보안, 어떻게 대처할 것인가

벌써 1년 전이네요. 작년 11월, KT가 국내에 아이폰을 출시한 것을 시작으로 국내에는 스마트폰 열풍이 불었습니다.


그 후로 스마트폰뿐 아니라 스마트패드(태블릿), 스마트TV 등 새로운 ‘스마트’한 디지털기기가 계속 쏟아져 나오면서, 본격적인 스마트 IT 시대가 개막했습니다. 어느덧 국가의 핵심 아젠더도
스마트 코리아가 됐는데요.

개인은 물론이고 기업과 공공기관에서도 스마트폰, 태블릿 등 각종 모바일기기를 활용해 업무환경을 스마트오피스, 스마트워크플레이스로 바꾸려는데 분주합니다.

이러한 시대에는 당연히 ‘스마트 시큐리티(Smart Security)’가 요구됩니다. 그에 걸맞는 보안도 잘 돼있어야 안전하고 편리하게 스마트 기기를 이용할 수 있고, 그로 인한 혜택을 만끽할 수 있겠지요.

스마트폰 열풍과 함께 자연스럽게 모바일 보안도 이슈화됐습니다. 지난 1년 내내 그랬지만 여전히 보안 문제에 대한 해답을 찾는데 혼란을 겪고 있다는 생각이 듭니다.

가장 먼저 금융감독당국이 스마트폰을 이용한 모바일 금융거래 확산에 대비한 보안 대책을 내놨고(많은 논란을 일으켰지만), 정부는 통신사, 휴대폰제조사, 보안업계·학계·관계기관 전문가들과 스마트폰 보안 대책을 마련하는데 부심해 왔습니다.  

보안업계와 이동통신사들도 백신부터 악성소프트웨어 탐지 툴, 스마트폰 통합보안 제품, 모바일 금융거래 보안 솔루션, 데이터 원격삭제 등 단말 보안관리 제품과 같은 다양한 스마트폰, 모바일 보안 솔루션 개발과 출시에 열을 올렸습니다.

그동안에 공인인증서 사용 의무화 논란에서부터 이에 대한 규제 완화, 악성 애플리케이션과 악성코드의 정의와 범위, 유출되는 개인정보의 범위, 과도한 스마트폰 보안과 부족한 인식이 쟁점이 됐었습니다. 아직은 어느 것 하나 명쾌하게 정리되지 않았는데요.

그 이유가 스마트폰, 아니 스마트 시대의 보안 문제가 아직 진짜 현실화된 수준이 아니기 때문일 겁니다. 그래서 “스마트폰 보안은 (잠재) 위협으로 이슈화만 됐지 실체는 없다”, “과도하게 보안위협이 부각됐다”며, 과장된 보안위협에 대한 우려나 부각을 경계해야 한다는 목소리마저 제기됐습니다.

그동안 ‘디지털데일리’ 기사로 지금까지 나온 스마트폰 보안 솔루션과 방안을 나름대로 많이 소개해 왔는데요. ‘딜라이트닷넷’ 창간 1주년에 즈음해, 보안전문가 두 분을 만나 ‘스마트 시대의 보안 대처법과 대응전략’을 주제로 이야기를 나눠 봤습니다. 스마트 시큐리티 구현을 위한 담론 정도가 되겠네요.

대응전략을 제대로 수립하기 위해 지금 우리에게 필요한 것이 무엇인지에 대한 이야기가 주로 진행됐습니다.

스마트 시대와 보안에 대한 두분 전문가 시각을 한번 엿볼까요. 김홍선 안철수연구소 대표와 전상훈 카이스트(KAIST) 사이버보안센터 개발팀장입니다.

먼저, 김홍선 대표는 스마트폰 열풍 이후 현재를 어떻게 보고 있을까요?

“우리는 지금 스마트폰으로 인한 충격에서 헤어나지 못하고 있는 것 같다. 2000년대 초반 인터넷 거품보다 더 심하다. 예전의 인터넷, 벤처 거품은 IT와 관계된 분야에서만 있었지만 지금은 사회 전체가 들끓고 있다. 앱 개발 열풍이 불고 있는 것도 마찬가지다. 한쪽에서는 쫓아가기에 바쁘고, 소프트웨어의 관심과 중요성이 높아졌지만 어떤 방향으로 중심을 잡고 나아가야 할 지 길을 찾지 못하고 있다. 우선 각 분야에서 명확한 자기 자리를 찾아가서 자신의 전문성에 맞는 자기 얘기를 중심으로 해야 한다. 그래야 혼란을 줄이고 가닥을 잡을 수 있다.”

이 말에 이제 개막한 ‘스마트코리아’의 현주소와 향후 해답을 찾아갈 실마리가 압축적으로 담겨 있는 것 같습니다. 

그러면 스마트 시대의 보안을 주제로 구체적으로 들어가 보겠습니다.

김 대표는 “스마트폰이 나온 이후 사이버공간에 있던 모든 장벽이 비로소 허물어졌다”고 규정했습니다.

단말기나 사람, 지역에 관계없이 모두가 인터넷으로 연결돼 있고, 또 집과 회사, 개인용과 업무용으로 구분됐던 모두 장벽이 허물어져 오픈돼 있는 환경이 펼쳐진 것이 스마트 시대의 특징이라는 것입니다.

사이버공간에 무슨 장벽이 있었냐며 의아해하실 줄 모르겠는데요. 김 대표는 기업을 예로 들었습니다.

“인터넷 도입 초창기, 기업의 네트워크는 인트라넷만 구축돼 있어 폐쇄돼 있었다. 이것이 익스트라넷으로 점차 확장되다가 이제는 유무선 환경으로 언제든 인터넷을 사용할 수 있는 환경이 됐다. 단말기도 회사 PC이든, 태블릿이든, 스마트폰이든 관계 없이 모든 기기를 인터넷에 연결할 수 있게 됐다.”

완전히 개방형이 된 만큼 보안위협도 더욱 커졌고, 이전과는 다른 양상이 펼쳐질 것이란 게 김 대표의 예상입니다. “개방화된 시대에서 훨씬 더 집중화된 공격과 훨씬 더 많은 사이버테러가 일어날 것”이라는군요.   

개방화된 환경으로 변화됐기 때문에 공격포인트는 어디에도 있고, 범죄자들은 무엇으로든지 공격대상을 고를 수 있다는 거죠.

김 대표는 “이러한 시대에는 모든 개념을 새롭게 정립해야 한다”며, “보안도 IT 관점이 아닌 개방화된 새로운 사회에 맞는 신뢰성, 신뢰된 사회, 신뢰된 생활 방식을 구축하는 관점에서 접근하는 것이 중요하다”고 강조했습니다.

보통 스마트폰 보안이라고 하면 PC에 백신을 설치하는 것과 같이 ‘단말기 보안’, 또는 ‘IT에 국한된 보안’만을 생각하는데, 프라이버시를 포함해 전체적인 관점에서 입체적인 보안 접근이 필요하다는 것이 그의 주장입니다. 즉, 생활이 바뀔 수 있도록 사회적 인식과 합의, 법제도를 통한 가이드라인이 제시돼야 한다는 것입니다.

그렇다면 개방화된 환경에서 더 많이 발생할 수 있는 사이버 테러를 막는데 안철수연구소가 속해 있는 보안업계의 역할은 무엇인지 물어봤습니다.

김 대표는 “각 업체마다 강점을 가진 전문분야에 집중해 특정문제를 확실하게 해결할 수 있어야 하고, 이를 서비스 방식으로 제공할 수 있어야 한다”는 것을 가장 중요한 요소로 꼽았습니다.

그래서 안철수연구소도 여기에 집중하고 있다는 설명입니다. 스마트폰 보안을 클라우드 방식으로 제공하는 것도, 산업용 기기 전용 보안 제품을 출시한 것도 그 맥락에서라네요.

한편, 전상훈 팀장은 지금이 “향후 나타날 수 있는 스마트폰 보안위협을 보다 종합적인 관점에서 분석하고 전망해야 할 때”라고 강조했습니다.

“아직은 스마트폰으로는 공격자들이 얻을 가치가 떨어져 그 보안위협이 현실화되지 않았지만, 앞으로 스마트폰을 이용한 상거래, 금융거래가 활성화되는 시점이 오면 위험이 폭발적으로 증가할 것”이란 게 그의 전망입니다.

스마트폰 금융거래가 일반화되는 시점에 PC만큼, 아니 그보다 더 강력한 보안위협이 다가올 것이라고 전 팀장은 확언했습니다. 스마트폰 가입자가 폭증하는만큼 스마트폰 기반 전자금융서비스 가입자도 매달 폭발적으로 증가하는 추세인데요. (참고 - 금융감독원 집계)

모바일 운영체제를 직접 국내에서 개발하고 있지 않기 때문에 기본적으로 한계가 존재하겠지만, 현재 우리가 접근하고 있는 스마트폰 보안 대책은 “단편적”이라는 것이 전 팀장의 지적입니다.

전 팀장은 “스마트폰 보안은 백신 위주의 단말기 보안이나 웜, 악성코드 대책과 같은 단편적인 방식으로는 종합적인 대책을 마련할 수 없다”면서, “스마트폰 단말기와 와이파이, 3G/4G 등 통신망, 인터넷 기반 금융거래 환경, 웹 등 모든 서비스 구성요소까지 포괄해 향후 발생가능한 보안위협과 위험 시나리오를 예상해야 하고, 그에 따른 세부 대책을 수립해야 한다”고 강조했습니다.
   
미래 위협을 전망한다는 것이 쉬운 일은 아닐텐데요. 전 팀장은 “PC와 인터넷에서 경험한 위협에서부터 시작해 이를 바탕으로 스마트폰에서 발생 가능한 것을 찾아내는 것이 하나의 방법이 될 수 있다”고 제시했습니다.

현재 전 팀장은 카이스트 사이버보안센터에서 미래 발생가능한 보안위협에 대처할 도구와 체계, 서비스를 만드는 일을 직접 하고 있습니다.

그는 미래 위협을 예상하는데 있어 올해 등장, 전세계적으로 이슈화된 두가지 악성코드에 주목하고 있습니다. 하나는 지난 8월 이슈화됐던 아이폰 운영체제(iOS) 취약점을 악용해 강제로 탈옥시킬 수 있는 악성코드와 원자력발전소 등 폐쇄된 산업시설을 감염시키는 악성코드 ‘스턱스넷’입니다.

2010/10/21 13:48 2010/10/21 13:48

일주일이 넘는 긴 추석명절 연휴를 앞두고 점점 마음이 들뜨고 있습니다. 이틀만 지나면 그간 떨어져 보고 싶었던 부모님과 친지, 고향친구들을 만날 수 있고, 바쁜 일상에서 떠나 지친 몸과 마음을 쉬게 할 수도 있습니다. 많은 사람들이 긴 연휴를 이용해 쉽게 나서지 못했던 해외여행도 계획합니다.

그러나 설, 추석같은 명절이나 광복절(8.15)과 같은 중요한 기념일, 공휴일에 쉬지 않고 일하는 사람들도 많은데요. '보안'을 업으로 삼고 있는 분들도 그 중 하나입니다.

민간의 인터넷침해대응을 책임지는 한국인터넷진흥원(KISA), 공공부문을 담당하는 국가사이버안전센터와 정부통합전산센터, 기업의 데이터센터, 그리고 보안업체(정보보안, 물리·경비보안)들의 관제센터 등은 혹시 모를 보안사고에 대비해 24시간 비상근무를 통해 계속 대응체제를 가동하게 됩니다.

보안업체 등은 연휴에 들어가기 전에는 PC보안 보안점검도 당부하는데요. 보안업체들이 이번 추석에는 PC 사용에 필요한 보안수칙 말고도 스마트폰 보안 10계명을 내놓기 시작했습니다.  

안철수연구소는 16일 ‘안철수연구소가 권하는 보안수칙’으로 PC보안 10계명, 기업보안 10계명과 함께 스마트폰 보안 10계명을 발표했습니다.

* 스마트폰 보안 10계명

1. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.

3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.

4. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.

5. 스마트폰용 보안 소프트웨어(V3 Mobile 등)를 설치하고 엔진을 항상 최신으로 유지한다.

6. 스마트폰의 잠금 기능(암호 설정)을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.

7. 블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜놓는다.

8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.

9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.

10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

앞서 에이쓰리시큐리티는 삼성의 갤럭시S의 누적 판매 대수가 백만 대를 넘어섰고, 명절 전후로 KT를 통해 애플의 아이폰4가 배송되는 등 올 상반기부터 이어지고 있는 국내의 스마트폰 열풍은 이번 추석에도 계속 이어질 것으로 전망된다고 밝히면서 ‘추석연휴 안전한 스마트폰 사용 10계명’을 내놨습니다.

보도자료에서 이 회사는 스마트폰은 사용하기에 따라서 움직이는 도중에도 다양한 즐길 거리를 제공해주고, 필요에 따라서는 급하게 처리해야 하는 회사 업무 또한 가능케 해주지만, 해커들도 보안업체가 쉬는 이런 명절에는 긴급대응이 조금 어려운 것을 노리고 공격할 가능성이 높아진 만큼 사용자들의 각별한 주의가 요구된다고 밝혔습니다.

한재호 에이쓰리시큐리티 대표는 “아직까지 스마트폰에서 발생할 수 있는 모든 문제를 해결할 수 있는 보안 프로그램이 없는 상황에서 사용자의 각별한 주의만이 만일의 사고를 최소화 할 수 있는 방법”이라고 강조했습니다.

다음은 에이쓰리시큐리티가 제안하는 안전한 스마트폰 사용 10계명입니다.

1. 장거리 여행을 하기 전에 백업을 받아 놓는다.

우선 여행을 가기 전에 자신의 PC와 연결해 백업을 받아 놓도록 한다. 바쁘게 움직이거나 사람이 많은 곳을 돌아다니다 보면 피치 못하게 발생할 수 있는 분실 사고로 인하여 소중한 정보가 유출되는 것을 방지할 수 있다.

2. 잠금 기능(암호 설정)을 반드시 활성화 시켜둔다.

잠금 기능을 켜놓는다면 일단 분실하더라도 중요 정보가 빠져나갈 경우도 상당 부분 예방할 수 있다. (0000, 1111 등의 쉬운 번호를 이용한다면 위험할 수도 있으니 암호도 생각해서 정의하자.)

3. 최신 보안 패치 상태를 유지한다.

스마트폰의 경우에 기존에 PC에서 사용하던 윈도와 같이 OS의 취약점이 발견될 때 마다 제조업체 등을 통해 보안 패치가 제공되니 이를 최신 상태로 유지하는 것도 필요하다.

4. 탈옥(jailbreak)이나 루팅 등 기기를 임의로 개조해 사용하지 않는다.

임의대로 탈옥(jailbreak) 이나 루팅 등을 통한 개조는 그 자체로도 기기의 취약점을 노출시킬 수 있을 만큼 하지 않는 것이 좋다.

5. 이동 중 보안이 되지 않은 무선 AP 접속을 자제한다.

스마트폰 대부분이 Wi-Fi를 통한 무선인터넷 접속이 가능하지만, 무선 AP(Access Point)의 접속도 주의해야 한다. 무선 AP가 암호화되지 않은 경우에 이를 이용하는 스마트폰 사용자의 정보가 그대로 노출될 수 있으므로 스마트폰 이용자가 입력한 비밀번호 등과 같은 중요 정보도 훔쳐 볼 수 있기 때문이다.

6. 믿을 수 없는 웹사이트에 방문하지 않는다.

스마트폰을 통한 웹서핑이나 이메일도 주의해야 한다. 스마트폰OS에 따라서 다를 수 있지만, 웹서핑하다가 클릭만 해도 스마트폰의 정보가 해커에게 모두 빠져나갈 수도 있다.

7. 아무 모바일 앱이나 설치하지 않는다. (10번 참조)

8. 이메일이나 문자 메시지로 들어 온 링크의 클릭은 주의한다.

이메일이나 문자메시지를 통해 악성코드가 포함된 모바일 앱을 배포하여 이를 해킹에 활용할 수도 있으니 주의해야 한다.

9. 블루투스 기능이나 테더링 기능은 반드시 사용할 때만 활성화 시킨다.

블루투스 기능을 통한 악성코드 배포의 경우에는 국내에서는 크게 이슈가 되지 않지만, 해외 악성코드 전파 경로 1위를 차지하는 만큼 주의가 요구된다.

테더링(Tethering, 인터넷 접속이 가능한 기기를 이용하여 다른 기기에도 인터넷을 접속할 수 있게 해주는 기술)의 허용도 이를 통한 해킹이 가능한 만큼 자신이 블루투스 기기와 접속해야 하거나, 테더링을 이용할 때가 아니라면 반드시 꺼두는 것이 좋다.

10. 무조건 YES라고 하기 전에, 설명을 반드시 읽어본다.

모바일 앱을 설치하거나 사이트를 방문할 때 나오는 경고는 꼭 읽어보고 주의해야 한다. 어떤 앱들은 메모리를 조작하기도 하고, 위치 정보를 가져가기도 하는 데 이런 경우에 스마트폰은 사용자에게 주의를 주기 위하여 경고를 보여주는 데 이를 읽지도 않고 무심코 동의했다가는 큰 코 다칠 수 있기 때문이다.

에이쓰리시큐리티는 이밖에도 스마트폰용 보안 소프트웨어를 사용하거나 중요한 정보(계좌번호, 비밀번호 등)는 가능하면 남기지 않는 것이 좋으며, 회사 업무시스템에 접속하는 기록 등은 가능한 삭제하는 것도 하나의 방법이라고 전했습니다.

스마트폰이 필수단말기로 빠르게 자리잡아가면서 변화되는 작은 풍경 중 하나인 것같습니다.


2010/09/16 16:44 2010/09/16 16:44
사용자 삽입 이미지
마이크로소프트(MS)의 차세대 모바일 플랫폼인 ‘윈도폰7’ 출시시기가 점점 다가오면서 국내 사용자들의 관심이 커지고 있습니다.


MS는 최근 윈도폰7 RTM을 휴대폰 제조사들에게 배포했고, 엊그제는 이를 기념해 야심찬(?) ‘아이폰·블랙베리 장례식’ 퍼포먼스를 거행하기도 했다는데요.


윈도폰7은 디자인과 사용자환경(UI), 호환성, 성능면에서 윈도모바일과는 전혀 다르게, 획기적으로 설계돼 있다고 알려져 있습니다. 더불어 보안측면, 적어도 스마트폰 악성·유해 애플리케이션 방지를 위한 대책도 크게 강화돼 있다고 평가할 수 있습니다.


기존 윈도 모바일의 개방성은 버리고 애플의 아이폰과 같은 폐쇄적인 정책을 따라갔기 때문입니다.


MS는 그간 PC의 ‘윈도’ 운영체제(OS)를 대상으로 엄청난 공격에 시달려왔죠. 그래서 보안이 강화된 OS를 만들고자 오랫동안 아주 많은 공을 들였습니다. 스마트폰 플랫폼의 보안위협도 예외는 아닐 것입니다.


악성·유해 앱 대책 강화... 윈도폰 마켓플레이스, 애플 폐쇄정책 따라가는 MS


MS는 연초 윈도폰7을 처음 공개하면서, 차세대 모바일 플랫폼인 윈도폰7부터는 자사 앱스토어인 윈도폰 마켓플레이스를 통해서만 애플리케이션(앱)을 설치할 수 있도록 정책을 가져가겠다고 발표했습니다.


보안을 위해 윈도폰 마켓플레이스에서 제공될 스마트폰 앱에는 ‘디지털서명’ 기술도 기본 적용할 예정이랍니다.


앞으로 윈도폰 마켓플레이스는 검증된 인증서를 사용해 프로그램 개발·게시자를 확인, 보증할 수 있는 디지털서명이 적용된 앱만 제공하게 됩니다. 디지털서명이 없는 앱은 사용자가 구매하거나 내려받을 수 없습니다. 아마도 마켓플레이스에 등록이 안되겠지요.


당연히 설치한 앱의 업데이트도 마켓플레이스를 통해서만 할 수 있습니다.


디지털서명은 기존 PC OS에서 이미 제공하는 MS의 기술입니다. 디지털서명이 안된 파일을 사용자들이 내려 받고자 할 경우 ‘보안경고’를 띄워주기도 합니다.


아래는 MS 윈도 사이트(http://windows.microsoft.com/ko-KR/windows/home)에서 검색해본 디지털서명의 정의입니다.


디지털 서명이란?

이 도움말 항목에 정보는 Windows Internet Explorer 7 및 Windows Internet Explorer 8에 적용됩니다.
디지털 서명은 파일에 추가될 수 있는 전자 보안 표시입니다. 디지털 서명으로 파일의 게시자와 디지털 서명을 한 후 변경된 파일을 확인할 수 있습니다.
파일에 유효한 디지털 서명이 없으면 파일이 올바른 출처에서 제공된 것인지 또는 게시된 후 바이러스 등으로 인해 변경되지 않았는지를 확인할 방법이 없습니다. 파일을 만든 사람과 파일의 내용이 열어도 안전한 내용인지 확실하지 않으면 파일을 열지 않는 것이 더 안전합니다.
디지털 서명이 유효하더라도 파일 내용이 위험할 수 있습니다. 게시자의 ID와 어디에서 파일을 다운로드하는지를 기반으로 파일 내용에 대한 신뢰 여부를 결정하십시오.


블랙베리를 제공하는 림(RIM, 리서치인모션)과 구글도 안드로이드 보안을 위해 모든 앱에 이같은 디지털서명을 적용토록 하고 있습니다.


물론 안드로이드는 자체서명된(Self-Signed) 인증서를 허용하고 있어, 악성 앱을 유포하는데 악용될 수 있는 허점을 지적받고 있지만요.


위의 MS 설명에도 밝히고 있지만 디지털서명이 돼 있다고 해서 해당 프로그램이 모두 악의적인 행위를 하지 않을 것이라고는 볼 수 없습니다. 이미 PC환경에서는 실제 디지털서명을 악용한 악성코드도 나와 있고요. 


그래서 MS는 디지털서명뿐만 아니라 윈도폰 마켓플레이스에 등록되는 앱을 일정기준에 따라 사전 심사/검증절차를 거친다는 방침입니다.


폐쇄성을 기반으로 한 윈도마켓플레이스 정책으로 악성프로그램, 또는 유해프로그램 대책을 강화하고자 하는 MS의 방침이 뚜렷하게 드러납니다.


따라서 기존 윈도모바일 6.x버전을 지원하는 앱을 윈도폰7 사용자에게 제공하기 위해서는 별도로 윈도마켓플레이스 등록절차를 거쳐야 합니다.


윈도폰7의 멀티태스킹도 제한됩니다. 보안때문이라기 보다는 기존에 윈도 모바일이 느리다는 한계를 극복하기 위해 채택한 것 같은데요. 결과적으로 백그라운드에서 동작할 수 있는 악성코드 실행을 봉쇄하는데 큰 효과를 볼 수 있을 것으로 보입니다.


윈도폰7에서 제공될 멀티테스킹은 음악을 들으면서 인터넷익스플로러를 통해 검색을 하거나 문자메시지를 보내는 일을 동시에 할 수 있는 정도라고 합니다. 


IPSec VPN 기능 없애고 문서RM도 지원 안할 듯…기업 모바일오피스 보안 기능 모두 제외


그런데 RTM 버전 완료로 조금씩 공개되고 있는 윈도폰7에서 독특한 점을 발견했습니다.


MS에 따르면, 윈도폰7 RTM 버전에서는 오피스 문서에 적용되던 윈도 권한관리서비스(Rights Management Services)를 제공하지 않고, 윈도모바일 6.5에서 지원했던 IPSec VPN(가상사설망) 기능도 없습니다. 


윈도 RMS는 국내에서 많이 사용하는 기업용 DRM(디지털저작권관리), 즉 문서보안 기술입니다.


기밀문서가 외부로 유출되지 않도록 하기 위해 권한이 없는 사람이 전자문서를 무단으로 열람하거나 변경, 사용하지 않도록 보호하기 위한 기술이지요.


IPSec VPN은 암호화된 터널을 통해 정보를 전송할 수 있는 기술로, 스마트폰에서 기업 내부 업무시스템에 접속해 사용하는 환경에서는 기본적으로 필요한 보안기술로 지목되고 있습니다.


IPSec VPN 관련기능은 ‘다이렉트액세스’라는 이름으로 윈도7 개인용 일부버전(윈도7 얼티미트)에서도 무료로 기본 제공되는 것으로 알고 있습니다. 


윈도폰7에서 이들 기능이 제외돼 있다는 점은 MS가 윈도폰7이 개인용 시장에만 너무 집중하고 있는 것이 아닌가 하는 생각을 품게 됩니다. 


현재 국내에서는 스마트폰을 이용해 모바일 오피스, 모바일 워크플레이스 구축 움직임이 활발히 이뤄지고 있는데요.


윈도폰7을 갖고 기업 시장에 활발히 공급하고자 전략을 세우고 있는 통신사들의 전략은 어찌될지 모르겠습니다.


그동안 모바일 오피스 구축에서 가장 많이 이용됐던 윈도 모바일 플랫폼 차세대 버전이 늦게 나오면서 기업에는 적합지 않게 나올 경우? 과연 성공할 수 있을지 모르겠습니다.

한국MS 관계자는 이에 대해 “현재 윈도폰7 RTM 버전에서 두 기능이 제외돼 있다”고 인정하면서도, “정확한 것은 정식버전이 나와 봐야 안다”고 말했습니다.


정확한 것은 (국내는 아니지만) 일반에 정식으로 공개되는 오는 10월 알게 되겠지요.

이제 본격 승부수를 던지는 MS... 앞으로 스마트폰(OS) 시장의 최종 승자는 누가될 지 너무 궁금합니다. 


2010/09/13 14:36 2010/09/13 14:36
스마트폰 애플리케이션이 휴대폰 단말기에 부여되는 고유의 기기식별번호(IMEI)와 가입자인증모듈(USIM) 일련번호(SN)를 이용하는 행위에 관해 어떻게 생각하십니까? 또 이를 위험하다고 진단하는 백신은요?
사용자 삽입 이미지

한 안드로이드 기반 스마트폰 백신이 이같은 고유정보를 자동 추출하는 애플리케이션(앱)을 탐지, 사용자에게 경고메시지를 띄운 것이 이슈가 되고 있습니다.

이 백신이 위험하다고 진단한 앱은 증권정보사이트인 이토마토의 ‘증권통’니다. 별도의 인증절차를 거치지 않도록 함으로써 사용자에게 편의성을 제공하기 위해 이같은 정보로 인증을 해온 것이라는데요.

문제의 백신은 미래에셋, 동양종금증권 등 여러 증권사에 납품돼 있는 쉬프트웍스의 ‘브이가드’입니다. 초기 스마트폰 시장에서 요즘 안드로이드 기반 백신중에서는 소위 제일
잘나가는 제품입니다.

해당 앱 공급사인 이토마토가 운영하는 뉴스토마토가 이 스마트폰 백신이 정상 앱을 악성·불법으로 몰고 가고 있다며 문제를 제기, 이 백신이 “정상 앱을 무단 차단하는 무법 백신”이라고 주장하면서 논란으로 번지고 있는데요.


뉴스토마토는 쉬프트웍스와 백신 ‘브이가드’의 진단 방식과 행위에 반발해, 연이어 관련기사를 쏟아내고 있습니다. 일부 기사 아래 링크합니다.
쉬프트웍스 눈엔 어플개발사가 범죄집단'?
무법 백신 '브이가드' 보급, 금융당국 책임없나
모바일백신 'VGUARD', 안드로이드 어플 무단차단 파장


이 때문에 IEMI 등의 정보를 사용한다는 것으로 앱을 위험하다고 분류하는 진단방식은 적절치 않다는 의견과 함께 이 정보만으로는 해킹 등의 위험성이 적은데 쉬프트웍스가 스마트폰 보안 문제를 과도하게 부각하고 있다는 시각이 존재합니다. (물론 사전 고지를 했는지 여부에 대해 주장하는 바가 각각 다릅니다.)


반면에 IEMI는 현행 통신비밀보호법상 보호돼야 할 ‘단말기기 고유번호'이고(관련 블로그 포스팅 링크), 휴대폰 복제나 도청에도 이용될 수 있어 무단수집과 사용은 위험하며 개인정보보호를 위해 이용자에게 사전 동의와 누구라도 인지할 수 있는 고지절차가 필수라는 의견도 교차하고 있습니다. 


홍민표 쉬프트웍스 대표는 “단말기 고유정보인 IEMI는 휴대폰 복제까지도 가능한 중요한 개인정보라 볼 수 있다. 그런데 사용자 동의 없이 자동으로 추출해 암호화되지 않은 상태로 서버로 보내고, 이 정보와 USIM의 고유번호를 이용해 인증을 하고 있다. 이는 엄연한 개인정보 유출”이라고 설명했습니다.


홍 대표는 블로그(링크)에도 이토마토의 주장에 대한 입장을 밝혔는데요. 써놓은 글 일부를 붙여보겠습니다.


이 개인정보를 고객의 동의 없이 이용하는데, 중략...

앱에서 정확한 약관으로 최초 실행시 앱에서 어떤어떤 용도에 의해서 USIM 넘버와 IMEI 값을 가지고 인증을 한다 라고 말을 해줬어야합니다. 그리고 해당 데이터들은 어떤 데이터인지 인지를 시켰어야 합니다.
실제로 중국등 짝퉁 휴대폰 제조업체들은 이 IMEI 값을 밀거래로 대량으로 구입을 하여, 폰복제나 짝퉁폰 제작에 사용하고 있습니다. 이런 위험성이 있구요, 개인정보 도용이 분명한 부분입니다. 해당 정보 수집이 잘못되었던 안되었던 분명히 문제가 있는 부분입니다.

자신이 소유한 폰 자체에 대한 IMEI 관련 된 부분도 문제가 되는데 이러한 아주 중요한 전자적으로 부여한 고유번호를 서버에서 수집하고 그것을 인증 절차로 사용된다면 분명히 문제가 있고, 정보보호를 하는 입장으로써는 당연히 해당 앱을 위험할수 있다라고 경고할 수 있습니다.


“위험” 과 “바이러스” 혹은 “악성코드”로 진단하는 것은 분명히 다릅니다.


이 문제에 아직 방송통신위원회와 한국인터넷진흥원(KISA)도 명확한 입장을 내놓지는 못하고 있습니다. 전문가들도 의견이 분분합니다.


현재 많은 애플리케이션이 실제로 업데이트할 때라거나 서비스에 필요하다는 이유로 IMEI와 같은 정보를 이용하고 있다고 하네요.


물론 이같은 앱을 모두 ‘악성’이라고 볼 수는 없을 것입니다. (물론 쉬프트웍스도 ‘악성’이라는 용어를 사용하지는 않았습니다.)


그럼에도 스마트폰상에서 보호해야 할 개인정보의 범위(예를 들어 IMEI, USIM 일련번호가 포함되는지 여부) 규정, 그리고 앱의 단말기 고유정보 수집·이용 등에서 요구되는 기준과 가이드라인이 필요할 것 같습니다.


많은 전문가들도 대부분 필요성을 인정하고 있다고 생각됩니다. 방통위는 이미 ‘월페이퍼’ 안드로이드 악성코드 이슈가 제기된 직후 스마트폰 민·관 합동 대응반을 통해 이와 관련 논의와 분석을 시작했다고 하더군요.


스마트폰 사용이 폭발적으로 확산되는 초기에 제대로된 ‘인식’을 갖추도록 하고 ‘실천’할 수 있도록 기반을 갖추는 것은 아주 중요합니다. 


스마트폰은 개인용 단말기이고, 단말기 자체의 정보부터 시작해 이 안에 담긴 다양한 정보, 서비스 이용정보가 악의적으로 도용될만한 위험성이 충분하다는 것은 분명하기 때문입니다.


특정 기업이 앱을 통해 휴대전화 고유정보와 개인정보를 동의나 고지 없이 마구 수집하고 있다면 이용자들은 당연히 개인정보유출 및 사생활 침해를 제기할 것입니다. 만일 고유정보를 사용한다면 반드시 명확한 사용목적과 범위 등을 밝히고 동의를 구해야 합니다.


얼마 전에 있었던 한가지 사례가 생각이 납니다. PC의 경우인데요, SK커뮤니케이션즈가 네이트온 메신저 피싱 피해 차단조치 강화를 이유로 PC 고유의 식별정보인 MAC주소와 컴퓨터이름을 수집하려는 방안을 시행하려다 개인정보유출 등을 우려한 사용자 비판과 우려, 이로 인한 회원탈퇴 움직임으로 철회한 일입니다.


고객 보호, 보안을 보다 강화하기 위한 조치였지만 아이러니하게도 결국 거센 이용자 저항에 부딪쳤습니다.


사용자들이 내 정보를 수집하는 것에 대한 거부감, 불쾌함이 그만큼 크다는 점을 알아야 할 것 같습니다.  



2010/08/30 08:00 2010/08/30 08:00

전세계 4100만명의 블랙베리 스마트폰 사용자를 보유하고 있는 리서치인모션(RIM, 림)이 최근 국내 기자들을 초청해 ‘스마트폰 보안’을 주제로 워크숍을 개최했습니다.

이날 관련기사(RIM “‘보안’은 블랙베리의 DNA”)에 언급하긴 했지만, 림이 제공하는 보안 솔루션에 더 무게를 두다보니 이들이 바라보는 보안위협과 대책을 자세하게 쓰지 못해 영 아쉬웠습니다.

워크숍 때 샌 모이 RIM의 아태지역 이사가 발표한 내용을 주축으로 스마트폰 보안위협과 고려해야 할 방안을 정리해 보겠습니다.

3대 스마트폰 위협요소

1. 분실이나 도난된 기기 안에 있는 데이터를 누군가가 가져간 경우 - 고객정보 유출

2. 탈착 가능한 플래시메모리를 빼내 스마트폰 안의 기업 데이터를 훔쳐가는 경우

3. 해커가 일반 애플리케이션에 악성코드를 집어 넣는 것 - 애플리케이션 스토어를 통한 사용자 악성코드(멀웨어) 다운로드

이같은 보안위협을 최소화하기 위한 방안으로는 가장 먼저 모바일 보안 정책을 수립해야 한다는 점을 강조했습니다.

1. 모바일 보안 정책 수립

스마트폰 사용에서 안전성을 확보하기 위해서는 반드시 모바일 보안 정책을 수립해야 한다. 기존에 데스크톱에 적용했던 보안 정책을 블랙베리와 같은 스마트폰에도 확장 적용해 사용하는 것이 그 출발점이다.

예를 들어, 데스크톱에 비밀번호 사용을 의무화하는 것처럼 스마트폰에도 비밀번호 사용을 의무화하고, 30일마다 변경하도록 하는 것이다. 또 비밀번호를 설정할 때에는 특수문자 등의 조합을 사용해야 한다.

2. 엔드투엔드 데이터 암호화

전송데이터를 암호화하는 것뿐 아니라 스마트폰 내에 저장된 데이터까지 모두 암호화해야 한다.

사용자는 스마트폰에서 인터넷뱅킹 거래 데이터만 암호화하길 원할 수 있지만 기업은 모든 데이터를 암호화하는 것이 중요하다.

3. 악성코드 방지 대책

PC에서 쓰는 안티바이러스 등 악성코드 방지 프로그램을 스마트폰에서 구동하는 것이 힘들다. 악성코드를 방지하기 위해서는 악성코드를 기기에 다운로드 하지 않도록 하는 방안을 다르게 접근해야 한다. 바로 애플리케이션 자체를 통제하는 것이다. 허가/불허된 애플리케이션을 리스트로 정의해 스마트폰에서 불허된 애플리케이션에 접속하는 것을 제한해야 한다.

만일 애플리케이션을 다운받아 설치한 후 나중에 업데이트를 통해 악성코드에 들어오는 경우는 애플리케이션이 액세스하는 수준에 제한을 두면 된다.

사전에 악성코드 감염을 예방할 수 있는 조치다.

4. 기업의 경우- 스마트폰 조달정책 필요

기업이 모바일 오피스 구현 등을 위해 스마트폰을 도입할 때에는 한 두가지 표준모델을 선정해야 보안관리하기 쉽다. 만일 사내에 이기종 스마트폰 모델을 5개 이상, 10여개 이상 사용한다면 보안관리가 어렵다.

기업은 스마트폰 SMS, MMS 및 전화에 대한 로그 감사를 수행하는 것이 중요하다.

애플리케이션 표준화도 중요하다. 최종 사용자가 모든 애플리케이션 사용을 허용할 것이 아니라 표준화되고 승인된 애플리케이션 사용을 허용하고, 다운로드 가능한 애플리케이션 수를 제한하는 것도 고려해볼만 하다.

5. DLP(Data Loss Prevention) 프로그램 필요

기업의 경우엔 직원에 의한 회사정보유출이나 스마트폰 분실시 정보유출을 막기 위해 DLP 프로그램을 반드시 고려해야 한다.

스마트폰에는 개인정보뿐 아니라 회사 정보를 담고있을 수 있다. 직원이 퇴사할 경우 스마트폰 안에 담긴 정보가 유출될 수 있다는 점을 반드시 생각해야 한다. 또 DLP를 적용할 때에는 직원마다 적용 수준을 다르게 둬야 한다.
 

2010/06/21 15:58 2010/06/21 15:58

사용자 삽입 이미지
조선일보가 20일 ‘스마트폰 도청 위험 청와대 지급보류’란 제목으로 지식경제부가 아이폰으로 도청을 시연했다고 보도했습니다.

국가보안기술연구소(NSRI)의 한 보안전문가가 아이폰에 전송된 이메일을 클릭해 도청 프로그램을 설치해, 도청에 성공했다는 내용이었습니다.

결국 이 기사는 오보로 판명됐고, 이날 조선일보 온라인판 기사에서 표현된 ‘아이폰’은 ‘스마트폰’으로 모두 교체됐습니다.

이 기사가 나온 후 ‘아이폰 도청’, ‘스마트폰 도청’, 그리고 스마트폰 위험성이 다시 이슈화 됐습니다. 여러 언론매체가 이 기사를 그대로 받아쓰기도 했습니다.

몇몇 보안전문가들은 이 보도를 접하고는 곧바로 ‘아이폰’ 도청 시연 여부에 의문을 제기했습니다.

권석철 터보테크 부사장은 “아이폰 운영체제는 구조상 멀티태스킹이 안되고, 애플 앱스토어를 통해서만 프로그램을 배포하기 때문에 도청이 안된다. 만일 시연에 성공했다면 탈옥폰일 것”이라며, “기사 내용이 잘못된 것 같다”고 지적했습니다.

이어 권 부사장은 “도청은 아니지만 아이폰에서 통화를 하다 전화통화 종료 버튼을 누르지 않은 채 홈버튼만 눌러 화면을 전환하게 되면 계속해서 연결돼 있어 자신이 하는 말을 상대방이 들을 수 있게 돼 있어, 사용자는 주의해야 한다”는 말도 덧붙였습니다.

또 이같은 스마트폰 보안문제를 마치 새로운 위협처럼 부각시켰다는 의견도 있었습니다.

신수정 인포섹 사장은 트위터를 통해 “역시 조선일보의 힘은 대단. 보안하는 사람은 누구나 알고 있는 이슈를 새로운 이슈인 것처럼 뒤집어지게 하는군”이라고 평가했습니다.

그래도 신 사장은 “PC해킹은 정보유출이 더 큰 이슈였는데 스마트폰 해킹은 도청이 더 큰 이슈가 될 수 있음... 선정적이긴 하지만 경각심을 주는데 일가견이 있다”며 스마트폰 도청 위협, 스마트폰 보안 인식을 가져야 한다는 점도 강조했습니다.

다른 보안전문가는 “가능성으로는 당연히 스마트폰을 포함한 모든 디지털기기가 해킹이나 도청 위협에 노출돼 있지만, 잘못된 정보를 이용하거나 위험성만을 너무 부추기면 사용자들이 이용을 꺼리게 만드는 결과를 초래할 수 있다”고 지적했습니다.

결국 이날 지식경제부는 이날 이 보도에 대한 해명자료를 내고, 조선일보 기사에 언급된 시연회에서 “아이폰은 시연되지 않았고 타 스마트폰으로 시연한 바 있다”고 밝혔습니다.

또 “일반적으로 스마트폰은 PC기능과 통신의 결합상품으로 PC 보안 위협과 부가적 보안위협(통신기능에 따른 도청, 분실시 정보유출)이 있을 수 있다”면서도 “스마트폰 보안위협에 과도한 우려는 경계할 필요가 있다”는 점을 분명히 했습니다.

스마트폰 악성코드 유포사례가 드물고, 스마트폰 사용 안전수칙 준수시 보안사고는 방지될 수 있다는 것이 그 이유입니다.

최근 스마트폰 열풍이 불면서 연초부터 몇달 간 스마트폰 보안위협이 최고의 화두가 됐었습니다.

그 사이 전문가들은 스마트폰 보안위험성이 너무 과도하게 부각돼 혼란이 더 심해진다는 지적도 함께 제기했습니다.

특히 스마트폰 해킹 공개시연을 통해 위험성을 너무 부각시키는 것은 자제해야 한다는 목소리까지 나왔었습니다.

해킹시연은 특히 전문가들이 통제한 환경에서 이뤄지고, 때로는 의도한 결과를 얻을 수 있게 특별히 제작된 악성코드나 프로그램을 사용할 수 있기 때문이라는 점에서 경각심과 예방을 강조하자는 차원을 넘어선 결과를 불러올 수 있다는 점에서 지적된 것입니다.

결국 이날 조선일보 보도는 오보 해프닝이 됐습니다.

특히 언론이나 전문가들이 정확한 정보를 올바로 전달해야 한다는 점. 그 중요성을 새삼 느끼게 해준 해프닝이 됐다고 봅니다. 저에게도 해당되는 일입니다.

그리고 여전히 보안은 중요합니다. PC나 스마트폰, 인터넷을 이용할 때 사용자는 보안수칙을 염두에 두고 생활에서 실천해야 합니다.

그런 의미에서 방송통신위원회에서 발표했던 ‘스마트폰 이용자 10대 안전수칙’을 붙여보겠습니다.

① 의심스러운 애플리케이션 다운로드하지 않기

- 스마트폰용 악성코드는 위・변조된 애플리케이션에 의해 유포 될 가능성이 있으므로 의심스러운 애플리케이션의 다운로드 자제

② 신뢰할 수 없는 사이트 방문하지 않기

- 의심스럽거나 알려지지 않은 사이트를 방문할 경우 정상 프로그램으로 가장한 악성프로그램이 사용자 몰래 설치될 수 있으므로. 신뢰할 수 없는 사이트 방문 자제

③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기

- 멀티미디어메세지(MMS)와 이메일의 첨부파일 기능은 악성코드 유포 수단으로 사용되는 경우가 많으므로 발신인이 불명확하거나 의심스러운 메시지 및 메일은 열어보지 말고 즉시 삭제 필요

④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기

- 단말기를 분실 혹은 도난당했을 경우 개인정보 유출 및 악성코드 설치 방지를 위하여 단말기 비밀번호 설정 필요

⑤ 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기

- 악성코드 감염 가능성을 줄일 뿐만 아니라 단말기의 불필요한 배터리 소모를 막기 위해서는 블루투스 등 무선 인터페이스는 사용 시에만 활성화

⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기

- 이상증상 발생 시 스마트폰 매뉴얼에 따라 조치하며 조치 후에도 이상증상이 지속될 경우 악성코드에 의한 감염 가능성이 있으므로 백신 프로그램을 통한 단말기 진단 및 치료 필요

⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기

- 스마트폰용 악성프로그램은 특정 프로그램이나 파일에 숨겨져 유포될 수 있으므로, 프로그램 및 파일 다운로드 ․ 실행 시 스마트폰용 백신프로그램으로 바이러스 유무 검사 후 사용

⑧ PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기

- 스마트폰과 PC간 데이터 백업, 복사, 전송 등의 작업수행 과정에서 PC에 숨어있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 PC에 대한 백신 프로그램 설치 및 정기점검 필요

⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기

- 스마트폰 플랫폼 구조를 변경(예: Jailbreak) 사용할 경우, 기본적인 보안기능 등에 영향을 주어 문제가 발생할 수 있으므로 이용자 스스로 구조 변경 자제

⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트 하기

- 해커들은 보안 취약점을 이용하고 다양한 공격기법을 사용하고 있으므로 이용자는 자신이 사용하는 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하여 사용

2010/05/20 18:00 2010/05/20 18:00

사용자 삽입 이미지
[IT 전문 블로그 미디어=딜라이트닷넷] 지난 3월 말 정부가 전자금융거래 공인인증서 의무화 규제를 풀기로 한 뒤, 민관 차원에서 공인인증서를 대체할 수 있는 사용자 보안(인증) 방안에 대한 활발한 조사 연구가 진행되고 있습니다.

명확하게 표현하자면 ‘동등한 수준의 안전성을 가진 공인인증서 대체수단’에 관한 가이드라인을 마련하고 있지요.(기밀성, 무결성, 부인방지, 인증 기능을 충족하는 기술)

그런데 다른 한편으로는 스마트폰에서 모바일 뱅킹 등 다양한 인터넷거래서비스를 이용할 때 사용자들이 공인인증서를 보다 편리하게 쓸 수 있도록 하는 기술도 활발히 모색되고 있습니다. 

공인인증서가 지금까지 주로 마이크로소프트 인터넷익스플로러를 통해 ‘액티브X’라는 플러그인 방식으로만 제공되면서 지적됐던 특정 플랫폼 종속 문제와 이로 인한 사용자 불편을 개선할 수 있는 기술이 잇달아 개발되고 있는 것입니다.

한국인터넷진흥원(KISA)은 이미 스마트폰에서도 PC에서처럼 하나의 공인인증서로 자유롭게 이용할 수 있도록 인증서 저장소와 저장위치를 표준화하는 기술규격을 만들었습니다.

그리고 KT와 함께 하나의 공인인증서를 사용해 여러 뱅킹, 증권, 결제 서비스를 아이폰에서 편리하게 이용할 수 있도록 아이폰용 공인인증서 공용 앱(App)을 개발했습니다. 이름이 SHOW 인증서입니다.

원래는 4월 중순부터 애플 앱스토어를 통해 배포, 서비스한다고 했지만 아직 제공되지는 않고 있습니다.

그 이유를 확인해보니, 좀 지연돼 애플에서 현재 막바지 검수를 받는 단계에 있답니다. KISA와 KT는 조만간, 5월 초 앱스토어를 통해 서비스될 것으로 예상하고 있습니다. 

그리고 KISA는 KT, SKT, LGT 등 이통사들과 안드로이드용 공인인증서 서비스, 대용량 USIM 기반 공인인증서 서비스 개발도 추진하고 있습니다.

민간 보안업체인 비티웍스는 최근 스마트폰 웹브라우저만 있으면 별도의 앱을 설치하지 않고도 공인인증서 기반의 전자서명을 처리하는 기술(‘BTW-SSLSign’)을 개발했습니다.

표준 웹브라우저가 제공하는 SSL(Secure Socket Layer) 프로토콜을 이용하기 때문에 스마트폰 플랫폼이나 웹브라우저 종류에 관계없이 공인인증서 전자서명을 처리합니다.

특정 웹 환경에 종속돼 있지도, 별도의 플러그인이나 앱을 설치할 필요가 없기 때문에 높은 사용자 편의성을 제공하고, 인터넷서비스 제공업체의 개발·관리 부담도 해소할 수 있다는 것이 비티웍스의 설명입니다.

아직은 특정 인터넷서비스에 상용화돼 있지는 않지만 은행, 증권사 등 금융기관을 대상으로 활발히 이 기술을 소개하고 있답니다.

얼마 전에는 한국전자통신연구원(ETRI)도 비슷한 기술을 개발했다고 발표했습니다. 지난 4월 28일 발표된 ‘스마트서명(Smart Sign)’인데요.

하나의 ‘스마트사인앱’을 설치하면 모든 스마트폰 웹브라우저에서 공인인증서 전자서명을 이용할 수 있도록 하는 기술입니다. 모바일뱅킹과 같은 서비스 앱에서도 ‘스마트사인앱’의 전자서명 기능을 호출해 사용할 수 있다고 합니다. 

‘스마트사인 앱’은 공인인증서 비밀키를 각 애플리케이션에 제공 후 전자서명을 수행하는 공인인증서 공통앱 방식과는 달리, 직접 전자서명을 제공하므로 비밀키 유출 위험이 없고 각 애플리케이션이 중복하여 전자서명 기능을 갖고 있을 필요도 없다는 것이 특징입니다.

ETRI는 이번 스마트서명 기술이 특정 플랫폼이나 특정 회사의 기술에 종속되지 않는 중립성을 확보해 모든 환경에서 사용할 수 있는 높은 적용성을 갖는다고 밝혔습니다.

아직은 이 기술은 프로토타입만 개발된 상태랍니다. 6월 중 아이폰용 ‘스마트사인앱’을 내놓고 8월 중에는 안드로이드 버전을 출시한다고 합니다.

또 ETRI는 이미 이 기술에 대한 특허를 출원했고, 국내외 표준화기구를 통해 표준화도 추진할 예정이라고 하네요. 당연히 민간업체에 이 기술을 이전하겠지요.

이 뿐만 아닙니다. ETRI는 전자서명 비밀키를 USIM에 저장하고 USIM 내부에서 전자서명을 수행해 비밀키 유출 가능성을 차단하는 USIM 저장 및 서명 기능을 개발해 하반기 중 발표할 예정이라고 합니다.

이렇게 스마트폰 웹 기반 전자거래를 안전하고 보다 ‘편리하게’ 이용할 수 있는 공인인증서 관련 기술이 활발히 연구개발되고 그 결과물이 나오고 있다는 점, 그 자체는 참 긍정적인 일입니다.  더 나은 기술이 개발되고 있으니 말이지요.

그런데
보기에는 그리 좋지는 않다는 생각이 드는군요.  결과적으로 인터넷과 정보보호 업무를 담당하는 정부 산하기관, 출연연구기관인 KISA와 ETRI가 동시에 같은 목적을 가진 앱을 경쟁적으로 내놓게 되는 형국이 됐기 때문입니다.

그간 공인인증서 관련 논란의 중심에는 KISA가 있었고, 그 때문에 KISA에서는 스마트폰 공인인증서 이용 표준 기술규격을 만들고, 아이폰 공인인증서 공용 앱 등도 개발했습니다.

그래서인지 갑자기 ETRI가 ‘스마트사인’을 개발했다고 발표한 뒤, KISA도 적잖이 당혹스러워하는 눈치입니다.

이미 KISA가 하고 있는 일인데, ETRI가 이 기술을 왜 개발했는지 모르겠다는 겁니다. KISA 관계자 사이에서는 “(공익적으로 제공해야 하는 기술을 개발해) 특허까지 출원한 것은 적절치 못하다”는 반응까지 나왔습니다.

ETRI 발표 이전까지 KISA는 이를 개발한다는 사실을 전혀 알고 있지 못했다고 합니다.

그러나 ETRI는 당연히 해야 할 일을 했다는 입장입니다.

ETRI 관계자는 “원래 공인인증서를 개발한 것이 ETRI이고, 10여 전에 개발한 공인인증서가 최근 사용 환경이 변화함에 따라 새롭게 업그레이드하는 차원에서 작년 말부터 개발을 진행한 것”이라며, “(KISA가 개발한) 공인인증서 공용 앱 등과는 서비스가 다르다”고 설명했습니다.

보도자료를 통해 김흥남 원장은 “10여년 전 공인인증서 기술을 개발해 안전한 인터넷 서비스 발전에 기여했던 ETRI가 스마트폰 사용의 제약 요건이었던 공인인증서 기술을 개발함으로써, 안전한 모바일 서비스 발전에 다시금 기여할 수 있게 된 점을 매우 뜻깊게 생각한다”고도 이미 밝혔습니다.  

앞서 이야기한 비티웍스와 ETRI와의 관계도 남다릅니다. 비티웍스는 ‘ETRI연구소기업’입니다. 

더욱이, 아주 공교롭게도 이 ETRI의 스마트서명 기술은 비티웍스와 BC카드, 케이사인, 숭실대학교가 공동으로 참여하고 있는 지식경제부 지원 과제인 ‘모바일ID 보안 및 프라이버시 보호를 위한 스마트지갑 개발’ 과제를 통해 개발됐다고 합니다.

국가(정부) 예산이 들어간다는 점에서 기관끼리 머리를 맞댔다면... ETRI가 육성하는 ETRI연구소기업이면서 관련 과제를 함께하는 민간기업과 협력했다면... 하는 생각을 지울 수 없습니다.

적어도 기술을 각각 개발하는데 들어가는 비용이나 시간, 인력 등을 효율적이면서도 더 신속하고 보다 나은 결과를 가져오지 않았을까요?

이로 인해 앞으로 혼란이 가중될까 우려됩니다.

조만간 KT와 KISA는 애플 앱스토어를 시작으로 안드로이드 마켓에서 관련 앱을 등록해 제공할 겁니다.

ETRI가 개발한 기술도 조기 상용화해 민간에 기술이전하게 되면 정식 출시되겠지요.

모바일 전자거래 서비스 제공기관은 어떤 방식을 채택하고 지원해야 할 지 고민하게 될 겁니다. 업체별로 선택해 제공하게 되면 또 여러 방식의 스마트폰 공인인증서 처리 기술을 사용자들이 쓰게 되는 결과가 빚어질 수도 있겠습니다. 적어도 경쟁에서 이겨 하나가 대세로 굳어지기 전까지는요. 

앞으로 허용했으니 공인인증서를 대체할 다른 보안 기술도 제공될 텐데요.

여러 웹이나 앱 방식의 스마트폰 공인인증서 처리 기술이 채택된다면 너무 과도한 다양성으로 인한 사용자 혼란을 줄 수 있지 않을지 우려됩니다.  

‘전자금융거래시 공인인증서 사용의무 규제완화 방안’을 마련한 국무총리실과 금융위, 방통위 등 관계부처, 그리고 민·관 협의체에서 스마트폰 공인인증서 처리기술에 대한 대책도 논의가 이뤄져야 할 수도 있겠습니다.


2010/05/03 08:30 2010/05/03 08:30

NSHC와 하우리가 아이폰 전용 백신으로 개발한 ‘바이로봇 산네’가 애플 앱스토어에 공식 등록됐습니다.

‘전자금융서비스 안전점검’을 위해 개발된 제품으로 소개가 되고 있네요.

하우리에 확인한 결과, 구정 전에 등록됐답니다. 지난 12일에 등록된 것으로 보입니다.

NSHC는 지난달 21일 이 제품 출시를 알리면서 애플 앱스토어에 등록을 신청했다고 밝힌 바 있습니다. 그치만 당시 등록이 거절됐지요.

이 발표가 난 이후 아이폰 백신 관련 논란이 일었습니다. 그 때문인지 개발사인 하우리와 NSHC측은 이와 관련한 언급을 아주 조심스러워하고 있습니다.

애플 앱스토어에 등록된 ‘바이로봇 산네’는 파일시스템 점검, 시스템 로그정보, 파일 무결성 점검, 네트워크 상태 점검 등 점검 위주의 기능을 제공하고 있습니다.

비정상 파일이나 프로그램 설치 및 위·변조, 비정상 네트워크 통신 시도를 탐지하며 정상폰 유·무, 원격 포트 사용 점검 등을 확인한다고 소개하고 있습니다. 이렇게 점검하네요.

엔진 업데이트 메뉴를 눌러보면 최신 엔진을 사용 중이라고 나옵니다.

일단 백신으로는 앱스토어 등록이 좌절돼 애플이 수용하는 수준에서 현재 하나은행, 기업은행 등이 제공하는 아이폰 뱅킹의 스마트폰 전자금융거래 사용자 보안 기능을 제공할 수 있는 기능 위주로 반영한 것 같습니다.

효용성에 대한 사용자 평가가 어떨지는 더 지켜봐야할 것 같습니다.
 
더불어 앞으로 나오게 될 많은 스마트폰 보안 보안 솔루션과 정부 대책이 어떻게 나올지도... 
  

2010/02/16 18:26 2010/02/16 18:26

최근 숭실대 컴퓨터학과 이정현 교수팀이 국내 공급되고 있는 삼성, LG의 ‘윈도 모바일 6.1’이 탑재된 스마트폰 4종을 대상으로 해킹에 성공했다고 발표해 화제를 모았습니다. <관련기사>

혹시 자세한 자료를 원하거나 궁금하신 분이 있을까 싶어 이정현 교수가 제공한 해킹 시나리오 플래시를 붙이겠습니다. 물론 실제 시연 동영상은 아닙니다.

일단 단말기 사용자가 웹을 통해 숨겨진 악성코드를 다운로드하는 것에서 감염시나리오가 구성돼 있습니다. 사용자가 클릭한 것이 성인인증을 받아야 하는 콘텐츠일 경우, 개인정보를 입력하게 되고 다운로드·설치돼 있는 악성코드가 정보를 단말기에 저장시킨 환경에서 여러 공격이 성사됩니다.

SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 단말기 시스템 다운, SMS 공격의 다섯가지 시나리오가 나와 있습니다.


단순화한 자료여서 구체적으로 이용한 윈도 모바일 취약점 등은 알 수 없고 과정과 결과만을 보여주고 있습니다.

숭실대 이정현 교수팀은 이같은 감염 및 공격 시나리오로 아직 애플 아이폰 보다도 더 많이 팔린 삼성 옴니아(1,2)를 비롯해 미라지, LG 인사이트 스마트폰에서 이같은 공격을 성공시켰다고 했습니다.

이번 해킹은 의심스런 파일을 설치하지 안하거나 백신을 설치하는 등 휴대폰 보안관리를 위한 사용자 노력은 일단 배제하고, 윈도 모바일 자체가 취약하다는 사실을 보여줬습니다.

아직까지 이렇다 할 휴대폰-스마트폰 보안 사고가 없었던 국내에서는 많은 사용자들이 그 위험성을 인지하게 되는 계기가 됐을 것임은 분명합니다.

그런데 일각에서는 이번에 이용한 해킹 기법이 실제 일어날 확률은 매우 낮은데 시연을 통해 위험성만을 크게 부각시켰다는 (전문가) 의견이 나오고 있습니다.

또 자칫 국내 사용자들의 인식이 ‘아이폰만 안전하니, 아이폰만 써야겠구나’하는 의도친 않은 방향으로 흐르게 될 수도 있다는 우려가 제기되기도 합니다.

결론적
으로, 개인 스마트폰 이용자들은 어떠한 운영체제가 탑재된 휴대전화를 사용하던 간에 평소 보안관리에 주의해야 하는 것만은 사실입니다. 이게 이번 스마트폰 해킹 시연에서 가장 중요한 포인트라고 생각합니다.

은 분들이 아시다시피, 애플은 앱스토어를 통해서만 애플리케이션 등 무언가를 휴대폰에 다운로드할 수 있도록 하고 있습니다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 일정수준의 정해진 규칙을 따르게 합니다.

애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없습니다. (그래서 많은 사용자들이 ‘탈옥(jail break)’에 대한 유혹을 경험하기도 합니다.) 폐쇄적이긴 하지만 보안성은 강합니다.


윈도 모바일을 제공하는 마이크로소프트나 안드로이드를 제공하는 구글은 다릅니다. 오픈 정책이라고 해야 할까요? 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 또 연결할 수 있도록 열어놓고 있습니다.

글의 경우, 모든 애플리케이션을 안드로이드마켓에 올릴 수 있도록 하고 있습니다. 구글은 이에 대한 사전 필터링 프로세스를 갖고 있지 않지만, 만일 악성코드가 등록되더라도 자연스레 커뮤니티에서 퇴출될 것이기 때문에 자정 노력에 맞기겠다는 입장인 것으로 알고 있습니다.

한마디로 정책이 다릅니다. 플랫폼을 오픈하고 있기 때문인데, 보안에는 취약할 수는 있습니다.

윈도 모바일의 경우는 단말기 성능만 좋아진다면 윈도가 설치된 PC와 같이 무엇이든 사용할 수 있게 될 것입니다. 그리고 PC에서와 같이 악성코드 감염 등 많은 보안위협이 나타날 수도 있습니다.

이에 관해 이정현 교수는 “애플과 같은 프로세스로 보다 안전한 스마트폰을 만들려면 플랫폼이 있어야 하는데, 우리(휴대폰제조사)는 플랫폼이 없어 가슴아프다”라고 말했습니다. (삼성전자가 ‘바다’를 발표하긴 했지만요.) 보안성과 관련해서는 애플의 방식이 맞다는 의미로 해석됩니다. 많은 분들이 동의하실 겁니다.

이번 해킹 결과가 공개된 후 아직까지 마이크로소프트는 공식 입장을 밝히진 않았습니다.

윈도 모바일 휴대폰만 대상이 된 것에, 그리고 현실에서 일어나지 않은 해킹 시나리오를 이용한 것에 약간 억울한 느낌을 감지할 수 있습니다.

아마도 본격적으로 스마트폰 확산기가 도래한 시점에서 애플, 구글과 ‘전쟁’을 벌이는 마이크로소프트로서는 이번 해킹 발표로 인해 상당한 타격을 입게 된 것이 사실입니다. 앞으로 무궁무진한 모바일 분야 경쟁에서 뒤쳐진다면 그동안 PC로 인해 누렸던 영화는 금세 추억으로 남겨지게 될 수도 있겠지요.

더욱이 국내에서는 대부분이 윈도OS가 탑재된 PC를 사용하고 PC 기반 인터넷도 인터넷익스플로러(IE)에만 최적화된 서비스를 제공하는 등 PC용 OS와 인터넷브라우저 시장에서 누구도 따라올 수 없는 ‘제왕’이었던 만큼 “반(反)MS, 반윈도, 반IE”를 외치는 안티세력이나 안티정서도 상당합니다.

특히 윈도를 대상으로 한 수많은 공격으로 드러난 ‘보안 취약성’은 그동안에도 심각한 아킬레스건이었습니다.

안그래도 최근 MS는 중국 공격자들의 구글 해킹으로 IE의 보안취약성마저 도마에 오르고 있는 상황이지요. 심지어 독일, 프랑스 등 유럽 정부가 국민들에게 IE를 쓰지 말라는 권고까지 하고 있다는 기사를 보기도 했는데, 여러모로 난감한 상황일 겁니다.

이번 해킹 대상이 된 휴대폰 제조업체인 삼성전자와 LG전자도 별다른 입장을 내놓지는 않았습니다.

삼성전자는 “삼성 모바일 닷컴 홈페이지에서 안철수연구소 보안 프로그램을 제공하고 있고, 무료로 다운로드를 할 수 있다”면서 윈도 모바일용 백신을 제공하고 있다는 점을 강조했습니다. 그리고 앞으로 윈도, 안드로이드 등 다양한 모바일 OS가 탑재된 스마트폰을 사용자들에게 제공할 예정이랍니다.

LG전자도 “지난달 27일 출시한 스마트폰 ‘210시리즈’는 최신 윈도모바일 6.5 OS가 탑재돼 있고, 안철수연구소의 백신을 이용자들이 다운로드할 수 있도록 제공하고 있다”고 설명했습니다. 앞으로 출시될 다른 모델에도 제공할 예정이고요. 그리고 이번 해킹 대상이 된 휴대폰(인사이트)은 이미 단종된 상태랍니다.

스마트폰 보안 시장은 제조사들이-아직은 안철수연구소 뿐이지만-보안 업체와 계약해 제공하는 B2B2C 모델로 시작하는군요.

SK텔레콤도 어제(4일) ‘모바일 위험관리 종합대책’으로 모바일 백신 등 단말기 보안 솔루션을 개발해 고객에게 제공할 예정이라고 발표했구요.

많은 보안 업체들이 스마트폰 보안 제품 개발에 나선 상황에서, 이러한 B2B2C 모델이 앞으로도 자리가 잡게 될지 또다른 관전 포인트 중 하나입니다.

2010/02/05 16:31 2010/02/05 16:31


최근 주목되는 신생 보안업체 두 곳이 있습니다.

쉬프트웍스와 NSHC라는 회사인데요, '아이폰'을 비롯한 스마트폰의 등장으로 IT산업에 큰 변화가 일어나고 있는 요즘, 두 업체에 부쩍 관심이 쏠리고 있습니다. 

두 업체는 모두 해커 출신이 설립해 대표로 있습니다. 무척 젊은 대표들입니다.  

무엇보다 아이폰, 안드로이드폰 같은 스마트폰용 보안 솔루션을 앞서 개발했다는 공통점이 있습니다.

프트웍스(대표 홍민표)는 아직 국내 출시되지도 않은 안드로이드 전용 백신(브이가드)을 가장 먼저 개발했습니다.

전세계 이용자들이 다운로드 할 수 있도록 현재 구글 마켓에 등록 절차를 밟고 있다고 합니다. 

안드로이드용 백신은 전세계적으로도 아직 몇 개 없는 것으로 알려져 있는데요, 제품 성능과 수준이 어느정도인지는 모르지만 개발된 것만큼은 세계에서 두세번째 손가락 안에 꼽힐 것으로 추측됩니다.

쉬프트웍스는 아이폰 전용 백신도 이미 개발해 테스트중이고, '애플 앱스토어'에 등록할 절차도 진행하고 있습니다.

이뿐만 아니라 다른 신규 모바일 보안 제품 개발을 계속 추진하고 있답니다.

NSHC(대표 허영일) 역시 아이폰용 백신(악성코드/해킹 방지 프로그램) '산네'와 입력보안 제품(엔-필터)을 개발했습니다. 이중에서 '엔-필터'의 경우는 얼마전 보도자료를 통해 정식으로 출시를 발표했지요.

두 제품은 모두 전자금융거래(인터넷뱅킹) 서비스 제공시 금융기관들이 사용자들에게 의무적으로 내려받아도록 제공해야 하는 보안 솔루션들과 같은 역할을 합니다. 

입력보안 프로그램은 이용자가 인터넷뱅킹에 접속하면 자동으로 내려받는 '키보드 보안' 제품과 같은 역할을, '산네'는 해킹방지프로그램과 같은 역할을 하지요.

'엔필터'는 가상키패드를 이용해 스마트폰에서 입력하는 모든 개인정보, 금융정보 등을 암호화합니다.

이 아이폰용 입력보안 제품의 경우엔 전세계 최초로 개발되지 않았을까 하는 생각이 듭니다.

전자금융서비스에서 사용이 의무화된 탓에 국내 사용자들이 널리 쓰고 있는 키보드 보안 프로그램이 해외에는 거의 없는 것처럼 말이지요.

혹시 은행에서 제공하는 아이폰 뱅킹 서비스에 적용될 수 있을지 관심이 갑니다.

이같은 아이폰용 보안 제품, 안드로이드용 보안 제품은 시만텍도, 안철수연구소도 아직 공식적으로 제공하지 않고 있습니다.

생 업체들인만큼 이미 거대화된 업체들보다 발빠르게 제품을 개발, 출시할 수 있었을 겁니다.

아마 조만간 모든 백신 업체, 다양한 보안 업체들이 이같은 스마트폰용 보안 제품을 출시할 것입니다.

특정 분야에서는 벤처가 대기업보다 더 빠르게 전문화된 제품을 선보일 수 있었던 것처럼 말이지요. 

조금 시간이 지나면 다른 주류 보안업체들도 출시할테니 혹시 인지도나 신뢰성면에서 뒤질 수는 있습니다.

그런데 요즘 나타나는 변화의 물결을 보면 꼭 그렇지만도 않을 것 같다는 생각도 듭니다.

아이폰을 비롯한 스마트폰은 기존 세상에 변화를 일으키고 있습니다. 기존 틀에 박힌 생각대로만은 돌아가지는 않을 것 같습니다.

스마트폰과 '앱스토어' 같은 모바일 오픈마켓이 결합되면서, 휴대폰 사용자들의 이용행태와 소비방식을 크게 바꾸고 산업지형까지 뒤흔들고 있기 때문입니다.

그렇게 몰고 오는 변화는 '혁명'이라는 단어로까지 표현되고 있습니다. 그만큼 파장이 크다는 이야기일 것입니다.

업에 미치는 변화는 (좀 과장하면) 이제 개인들도 이제 마음만 먹으면 누구나 오픈마켓에 자신이 개발한 모바일 콘텐츠와 애플리케이션을 올려 소위 '대박'을 칠 수도 있는 시대가 왔을 정도입니다.

이것이 IT산업에도 모처럼 활력이 되고 있는 것 같습니다.

휴대폰과 통신업계뿐 아니라 소프트웨어, 인터넷서비스 업체들은 이같은 변혁에 주목해 다양한 스마트폰용 모바일 서비스를 잇달아 내놓는 등 발빠른 대응에 나서고 있습니다.

한발 늦었다가는 자칫 향후 산업에서 도태될 수 있기 때문입니다.

그래서 소프트웨어, 포털업체들도 앞다퉈 각종 스마트폰용 서비스를 내놓고 있는 것일테지요.

그런 면에서 기존에 보안 시장에서 1, 2위 하던 업체들이 모바일로 인한 변화에 빠르게 대응하지 못한다면,
앞으로 펼쳐질 무궁무진한 시장에서 쉬프트웍스나 NSHC같은 신생업체들이 그들을 제치고 앞설 수 있는 가능성도 충분하다고 생각합니다.

아마 제가 몰라서 그렇지, 쉬프트웍스나 NSHC같은 회사들이 훨씬 많을 것입니다. 

이들이 보안산업을 더욱 성장, 발전시킬 차세대 주역으로 성장할 수 있길 기대합니다.  모바일로 인한 제2의 '벤처' 신화가 생겨날 지 주목되는군요. 

2010/01/05 15:30 2010/01/05 15:30