“스마트폰 1000만시대!”
이제 지하철이나 버스에서 스마트폰으로 메일을 보내거나 게임을 하는 사람을 보는 것은 일상적인 모습이 됐다. 아이폰에서 출발한 열풍이 아이패드로 이어져 언제 어디서나 인터넷에 접속할 수 있게 됐다. 이제 필요한 정보를 찾을 수 있는 스마트 기기는 패션과 트렌드를 넘어서 우리의 새로운 문화로 자리매김했다.
그러나 국내 스마트폰 가입자 1000만 돌파는 우리에게 정보보호의 문제를 선제적으로 해결해야 하는 과제를 안겨줬다. 아직은 보안사고에 따른 구체적 피해가 보고되고 있지는 않지만, 스마트 기기는 보안에 안전한 기기가 절대 아니다.
PC에 비해 이용자가 상대적으로 적고, 대상기기가 다양해 공격 대상에서 잠시 비켜 있을 뿐, 조만간 그 공격 대상이 스마트 기기로 확산되리라는 것을 쉽게 예측할 수 있다. 인터넷상에서 사이버 범죄의 사업화 현상처럼 조만간 스마트 기기가 새로운 범죄의 주 대상이 될 것이다.
스마트 기기가 본격적으로 보급된 작년까지는 스마트폰의 위협이 전문가와 미디어 단계에서 우려하는 수준이었다면, 이제는 새로운 공격의 형태를 띠고 우리를 위협하는 단계로 전환되고 있다. 미국 룩아웃(Lookout)의 조사에 의하면 아이폰 앱의 25%, 안드로이드폰 앱의 50%에서 제3자에게 정보를 유출하는 코드를 발견했다고 한다. 또 시만텍은 작년에만 모바일 운영시스템과 관련해 163개의 보안 취약점이 발견됐다고 보고했다.
한국정보화진흥원의 2010 정보문화실태조사에 따르면 이용자들의 59%가 악성코드 감염, 해킹, 개인정보 유출 등 스마트폰의 보안위협을 우려하고 있다. 모바일 기기는 아이폰, 안드로이드, 심비안 등 다양한 OS 플랫폼의 공존, 앱의 사전 보안 점검체계, 금융서비스 제한적 이용 등으로, PC 환경과는 달리 공격도 만만치 않다.
전화번호부, 메시지, 위치정보 등 개인정보와의 결합으로 위협의 형태와 정도는 더욱 심각할 수 있다. 또 전화의 특성상 24시간 꺼지지 않는다는 점, PC보다도 많은 스마트기기의 보급이 조만간 이루어질 것이라는 점에서 대비가 시급하다.
보안 전문가들이 우려 하듯이 좀비화된 스마트폰에 의한 DDoS 공격은 2~3년 내에 발생할 가능성이 매우 높아지고 있다. 3·4 DDoS 공격은 파일 공유사이트를 해킹해 악성코드를 심어놓고, 감염이 된 좀비PC를 조정, 트래픽을 집중적으로 유발시키고 마지막에는 자기 파괴를 지시하는 등 이번 사태는 사이버 전쟁의 양상마저 띠었다. 3·4 DDoS 공격의 경우 7·7 DDoS 이후 확립된 악성코드 샘플수집 및 정보 공유체계로 단기간에 공격 징후를 파악해 사전에 방어할 수 있었다.
하지만 공격자 역추적 기술 및 난독화된 공격코드의 자동분석 등 공격자를 앞지를 기술개발이 시급하다. 스마트 보안기술로는 이동통신망의 모바일 구간의 공격트래픽 탐지 및 대응을 위한 침해방지 기술개발이 필요하다. 특히 스마트폰은 인터넷 연결 환경이 아닌 3G 환경에서 지속적인 접속이 되기 때문에 3G 패킷의 과부화와 요금피해가 있을 수도 있다. 따라서 음성, MMS, 데이터 트래픽의 선별적 차단이 가능한 기술개발이 요구된다.
최근 업무 생산성 향상 차원에서 기업 모바일오피스 환경을 구현하거나 스마트폰과 스마트패드에 기반을 둔 다양한 고객 서비스가 개발되고 있다. 하지만 하루가 다르게 변화하고 있는 스마트폰의 단말 환경과 소셜네트워크서비스(SNS)를 이용한 사회공학적 공격으로 정보보호는 더욱 복잡하고 까다로워지고 있다.
비약적으로 확산되고 있는 SNS는 친구와 다양한 전문가를 온라인에서 만날 수 있는 기회를 제공하지만, 해커에게도 우리에게 쉽게 접근할 수 있는 수단이 될 수 있다. SNS를 활용한 주요 공격 기법 중 하나는 복잡한 웹주소를 짧게 만들어 이메일이나, 웹페이지상에 공유하기 위해 만들어진 단축 URL을 활용해 사용자들에게 피싱이나 악성코드 유포사이트로 유도하는 것이다. 현재 스마트 기기이용자의 인증과 권한을 제어하기 위한 모바일 클라우드 환경에서의 인증기술 및 악성코드 차단기술 등을 개발 중이다.
스마트폰의 모든 보안 문제를 기술로서 해결하는 데는 한계가 있다. 보안의 어려움은 부주의한 단 한 명의 이용자, 패치가 이루어지지 않은 단 한대의 스마트기기를 통해서, 전체 시스템에 침입이 이루어질 수 있다는 점이다. 최근 미디어와 보안 전문가들의 많은 우려와 관심은 원자력 발전소를 공격한 스턱스넷(Stuxnet), 3·4 DDoS와 같은 새로운 방식의 복잡하고 고도화된 공격에 집중돼 있지만, 대부분의 사고는 기본적인 보안조치 미비와 이용자의 무관심에 기인한다.
지금 이루어지고 있는 스마트 혁명을 지속하고, 스마트 사회를 가속화하기 위해서는 무엇보다도 정보보호 기술 그 자체의 스마트화가 필요하다.
‘끝없는 보안패치’에서 보듯이 정보보호 기술은 사용하기 불편하고 귀찮은 기술로 여겨져 왔다. 현재와 같이 보안수준의 강화가 이용의 제한과 복잡함으로 귀결되면 보안기술과 산업의 미래는 어두울 수밖에 없다.
이제는 이용자의 입장에서 정보보호 기술과 적용을 고민해야 한다. 미래의 정보보호 기술은 시스템 개발 이후 정보보호가 추가되는 것이 아니라 설계단계부터 보안기능이 적용될 수 있어야 하며, 이용자에게 보안의 부담을 최소화할 수 있어야 한다.
우리나라의 보안시장 규모는 아직 1조가 채 안 되는 작은 시장이지만, 정보보호기술은 미래인터넷, 모바일 서비스, 콘텐츠, 스마트기기 등 모든 방송통신 서비스에 사용되는 공통기술로 성장 가능성은 무한하다. 스마트 사회의 보안위협은 역설적으로 보안기업에게는 글로벌 기업으로 성장할 수 있는 기회가 될 것이다.
정경호 방송통신위원회 정보보호 PM khc@kca.kr
-
김명희 기자기사 더보기