정보 처리 및 업무 환경의 큰 변화가 일어나고 있음을 시사
모바일의 여러 가지 문제 중 애플리케이션 관련 내용 주로 다뤄
[보안뉴스 문가용] 모바일의 장점은 무궁무진하다. 민첩해지고 효율이 높아지며 그러므로 생산성이 향상된다. 그러나 모바일은 단점도 무궁무진하다. 아주 다양한 루트로 악용이 가능한 취약점이 되기 때문이다.
특히 요즘은 모바일 앱들이 보안담당자의 악몽이 되고 있다. 사용자는 그저 앱을 이용해 사진을 찍고 공유했을 뿐인데 해커는 그 사진을 타고 넘어 들어와 연락처를 훔치고, 그 연락처로 회사 보안망도 뚫어내기 때문이다.
이 문제를 해결하기 위해 미국국립표준기술연구소(NIST)에서 서드파티 모바일 애플리케이션에 관한 가이드라인 초안을 마련했다. 정식 이름은 ‘서드파티 모바일 애플리케이션 검열을 위한 기술 고려 사항(Technical Considerations for Vetting 3rd Party Mobile Applications)’으로 기업이나 단체에서 모바일 앱이 주는 장점은 최대한 누리면서 단점은 방지할 수 있도록 도움을 줄 것으로 보인다. 아직 ‘초안’ 단계라 9월 18일까지 추가 제안을 받을 예정이다.
“사용자들은 모바일 애플리케이션에 대한 이해도를 높일 필요가 있습니다. 그래야 모바일이 야기할 수 있는 위험이 줄어들 수 있습니다.” NIST의 컴퓨터 보안 부서에서 근무 중인 토니 카리지아니스(Tony Karygiannis)가 강조한다. “모바일 애플리케이션 상당수가 필요 이상의 데이터에 접근하고 있으며, 모바일 기기들은 생각보다 다양한 경로로 정보를 수집해 저장하고 있습니다.”
카리지아니스는 달력, 소셜 미디어, 와이파이 센서 등 글로벌 위치 시스템과 연결되어 있는 애플리케이션을 통해 누구나 소리 소문 없이 추적당할 수 있다고 주장한다. “멀웨어 앱 중에는 사용자 몰래 전화를 걸어 녹음한 후 그 내용을 다른 곳에 전송까지 하는 기능을 가진 것도 있습니다.”
NIST에서 작성한 가이드라인은 모바일 애플리케이션 시장과 그에 따른 경제 모델의 빠른 변화에 발맞추기 위한 것으로 기존 소프트웨어 시장의 경제 모델과는 확연히 다른 특징을 가지고 있다. 개발자들은 시장 진입을 서두르기 때문에 충분한 실험을 거치지 않는 게 보통인데, 이럴 때의 위험성은 기존에 CD로 소프트웨어를 판매하던 때와는 파급력이 비교조차 불가능할 정도로 크다. 게다가 기존 CD 소프트웨어 시장보다 앱 시장의 제품 순환 속도가 훨씬 빠르기 때문에 이렇게 무성의한 태도로 계속해서 앱을 만들어 시장에 내놓는 현상이 필연적으로 발생한다.
사무 환경에서도 이는 큰 변화를 뜻한다. PC가 주요 업무 수단일 때는 회사에서 PC에 설치하는 소프트웨어에 더 많은 신경을 쓰고 관리할 수 있었다. 그러나 모바일이 적극 업무 환경에 들어서기 시작하면서 이런 작업이 불가능해졌다. 직원들이 무슨 앱을 써서 작업을 하는지 기업은 잘 알지 못한다. 보안 사고가 안 일어나면 이상할 정도다. 그리고 실제 보안 사고가 빈번하게 일어나는 세상이다.
그래서 NIST는 조직에서 보안, 프라이버시, 기능성, 접근성, 안정성 문제를 인지할 수 있는 툴과 방법을 모두 갖춘 앱 검열 시스템을 마련하라고 촉구하고 있다. 또한 보안 관리자와 소프트웨어 분석가들의 역할에 대해서도 언급하고 있다. 내용은 다음과 같다.
- 모바일 앱에 잠재하고 있는 보안 및 프라이버시 침해 위험성에 대해 이해하고 그 위험을 줄이기 위한 전략을 갖출 것
- 직원들에게 모바일 보안과 프라이버시 교육을 시킬 것
- 소프트웨어 업데이트를 개인적으로 하게 하지 말고 회사에서 지정한 공식 절차를 거치도록 할 것(업데이트 된 모바일 앱을 새로운 모바일 앱으로 취급할 것)
- 보안 관련 앱 업데이트를 빠르게 검열하기 위한 절차를 확립할 것
- 검열 절차나 과정은 앱의 기능이나 특성에 따라 달라질 수 있다는 걸 인지시킬 것
- 모바일 앱을 시험하고 위험성이나 사용 여부를 결정하는 기준은 회사 전체의 운영 방향이나 사업 목표여야 한다. 모바일 앱은 커다란 시스템의 일부라는 걸 명심할 것
이 초안은 여기서 무료 열람 및 다운로드가 가능하다.
ⓒDARKReading
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
