탈옥, 소비자로서 마땅히 할 수 있어야 하는 권리
모바일 OS가 가진 태생적인 약점이 문제의 근원이자 핵심
[보안뉴스 문가용] 보안업계에서 ‘탈옥이 문제가 아니야!’라고 말하려면 상당한 용기가 필요하다. 하지만 곰곰이 생각해보면 이는 이상한 현상이다. 왜 탈옥을 나쁘게만 볼까? 자신의 돈을 주고 구입한 기기인데 필요 없는 앱들이 와장창 깔려 있고, 성능이 제한되어 있어서 그걸 내 입맛대로 바꾸는 건데 왜 잘못인건가? 필요 없는 걸 지우고 필요한 것만 설치해서 최대한의 기능을 누리겠다는 건데... 이게 잘못이라면 조립식 PC도 전부 못쓸 물건들 아닌가?
.jpg)
▲ 그냥 좀 더 자유롭게 썼을 뿐인데...
그럼에도 모바일 OS 제조사들은 ‘탈옥하지 말라’고 소비자들에게 아무렇지도 않게 종용한다. ‘하면 A/S도 없다, 사건이 생기면 당신 책임’이라고 협박한다. 왜 그럴까? 소비자 입장에서 내 물건을 내가 바꾸는 건 자유인데, 왜 유독 모바일 업체들만 이런 비정상적인 판매 행위를 이들은 계속하는 것일까? 모바일 OS의 보안이 생산단계에서부터 형편없기 때문이다. 자본주의 사회에서 탈옥이 문제될 건 하나도 없는 건데, 자기들이 만든 제품의 부실함을 덮으려 소비자들을 공포로 세뇌시키고 있는 것이다. ‘탈옥하지마! 우리가 얼마나 못 만들었는지 알면 다쳐!’
모바일 OS 제조사들이 특히 게을렀던 부분은 소비자가 자기가 원하는 대로 기기의 환경을 바꿨을 경우의 수에 전혀 대비하지 않고 있다는 거다. 즉 정말 단순한 보안책만 강구하고 구현해 놓은 것이다. 이건 뭐 신입사원한테 관리자 권한이 다 허용된 PC를 업무용이라고 넘겨주는 것과 다를 바가 없다. 이는 비유가 아니라 실제 그러하다. 아니, 더 심할지도 모른다. 업무용 PC는 최소한의 네트워크 보안 혜택이라도 받을 수 있으니까.
내가 과장하는 건가? 아니다. 잘 생각해보라. 모바일에서의 소비 환경은 우리가 여태껏 해왔던 소비 패턴과 달라도 너무 다르다. 왜 모바일만 이런 용인을 받아야 할까? 공평하게 모든 것을 되돌려 놓아야 할 때다.
탈옥 외에는 방법이 없을 때
사실 탈옥은 일부 사용자들만이 하는 것이 아니다. 기업 IT 부서에서 특정한 목적을 가지고 혹은 기업 내 사용이 가능하도록 합법적으로 탈옥을 하기도 한다. 보안에 주 목적이 있을 때는 사실 위에서 말한 모바일 OS의 타고난 부실함 덕분에 탈옥만이 유일한 방법일 때가 많다. 예를 들어 이런 경우도 있다. 한 기업에서 직원들 업무용으로 모바일 기기를 5000대 구매했다. 그래서 사업도 잘 진행하고 일도 잘 했다. 그런데 어느 날 모바일 업자가 해당 기기의 생산을 종료하고 업데이트도 끝낸다고 한다. 그러면 이 기업 입장에서는 또 새로운 기기를 5000대 사야할까?
이게 사소한 문제가 아니다. 모바일이 사치품으로 주어진 것도 아니고 사업 특성상 모바일이 필요해서 준 것이라면 위 예시에 나온 기업 입장에선 벼락을 맞은 것과 비슷한 일이다. 5000대를 또 구입하자니 예산이 불가능하고, 업데이트 안 한 채 쓰자니 너무나 위험하다. 그렇다면 남은 선택지는 하나 스스로 업데이트를 만들어 모바일 기기를 단단하게 만드는 것이다. 애초에 이런 곤란한 선택지에 소비자 기업이 놓이게 된 것부터가 모바일 시장의 비정상적인 생태를 증명한다. 모든 것이 모바일과 관련된 업체들의 배만 불리도록 되어 있다. PC 시장도 비슷한 것 아니냐, 라고 반문할지도 모르겠다. 그렇다한들 PC 업그레이드가 이처럼 강제되는 주기는 모바일의 그것보다 훨씬 길다.
문제의 핵심은 탈옥을 했다는 게 아니라 OS 그 자체
물론 탈옥을 함부로 하게 되면 취약해지는 게 사실이긴 하다. 그러면 사원 전체가 모바일 기기의 탈옥을 단 한 대도 하지 않고 쓰면 그 기업은 안전해질까? 그렇지 않다. 탈옥은 수많은 해킹 경로 중 하나만 제공할 뿐이고, 탈옥이 된 모바일 기기가 있든 없든 뚫릴 곳은 다 뚫린다. 결국 시스템 자체, OS 자체가 불안전하다는 뜻이 될 수밖에 없다. 간단히 생각해서 OS마다 업데이트가 얼마나 자주, 빈번하게, 귀찮도록 반복되는지 생각해보라. OS가 안전하다면 우리의 업데이트 숙제는 지금과 사뭇 달랐을 것이다. OS는 단단히 지어진 견고한 보호시설이 아니다. 그 점을 소비자나 제조사나 모두 기억해야 한다.
나는 부수고 해부하고 다시 조립해 맞추는 걸 굉장히 즐긴다. 그래서 맘껏 망가트리려고 이쪽 업계(보안)로 들어셨다. 회사에서 하는 일도 주기적으로 모바일 앱을 낱낱이 망가트려 해부하고 보안점검을 하는 것이다. 그리고 탈옥하지 말라고 그렇게 강조하는 모바일 OS 업체들에게 미안하지만, 난 탈옥 여부와 상관없이 수없이 많은 앱과 취약점을 통해 여러 모바일 및 시스템, 네트워크에 자유롭게 드나들어왔다. 탈옥하지 말라는 말이 핵심을 벗어난 것이라는 건 내 이런 경험이 증언한다.
탈옥하지 말라고 강조하는 게 잘못된 건 단순히 모바일 OS의 소비 강요 행태가 잘못되어서만은 아니다. 말했다시피 여러 앱들을 분해해가며 느낀 건 ‘탈옥하지 말라’고 하는 게 보안에도 더 해악이기 때문이다. 탈옥하지 않아도 모바일 OS가 워낙에 부실해 뚫리고 공격당하기 마련인데, ‘탈옥’에만 초점을 맞추고 책임을 소비자에게 돌리니 소비자들 입장에선 더 나은 보안 방책에 대해 배울 수도 없고 익힐 수도 없다. ‘탈옥’을 강조하면 할수록 결과적으로 보안에서 더 멀어진다는 것이다.
신뢰는 뭐에 쓰는 물건인고?
조금만 생각해보면 알 수 있는 이런 뻔한 문제점 혹은 이상한 점들이 있음에도, 모바일 관련 업체들이 얼마나 광고와 홍보를 잘했는지 대부분의 사람들은 모바일 OS의 보안성을 별로 의심하지 않도록 길들여져 왔다. 탈옥만 하지 않으면, 순한 양처럼 모바일 회사가 시키는 대로 얌전히 전화기를 사용만하면, 우리는 안전할 것이라고 무의식적으로 믿고 안도한다. 즉 소비자들은 아직 모바일 OS를 신뢰하고 있다는 뜻이다. 그리고 그 신뢰는 OS를 넘어 OS에서 작동하는 각종 앱들에게도 뻗친다. 앱의 보안은 OS의 그것보다 훨씬 더 처참한데도 말이다.
이런 마케팅 과정으로 생긴 잘못된 신뢰를 덜어낼 필요가 있다. 모바일 보안은, 역설적이긴 하지만, 지금의 생태계를 믿지 않는 데서부터 출발하리라고 본다. 그리고 모바일 환경을 이루는 네 가지 주요 요소인 앱, 데이터, 아이덴티티, 접근을 처음부터, 신뢰라는 기름기를 쫙 빼고 다시 생각해봐야 한다. 기기자체의 보안을 넘어 모바일의 본질에 대한 ‘진짜 보안’에 다가가야 우리는 루팅된 모바일 폰을 붙잡고 눈물을 흘리지 않을 수 있을 것이다.
모바일 OS는 안전하지 않다. 모바일 OS는 안전하지 않다. 모바일 OS는 안전하지 않다.
모바일 보안을 생각하기 전에 이 말을 세 번 복창하고 시작하면 더 큰 도움이 될 것이다. 탈옥이란 단어는 아직 모바일 보안에서 물 타기 용일 뿐이다.
글 : 아담 엘리(Adam Ely)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
모바일 OS가 가진 태생적인 약점이 문제의 근원이자 핵심
[보안뉴스 문가용] 보안업계에서 ‘탈옥이 문제가 아니야!’라고 말하려면 상당한 용기가 필요하다. 하지만 곰곰이 생각해보면 이는 이상한 현상이다. 왜 탈옥을 나쁘게만 볼까? 자신의 돈을 주고 구입한 기기인데 필요 없는 앱들이 와장창 깔려 있고, 성능이 제한되어 있어서 그걸 내 입맛대로 바꾸는 건데 왜 잘못인건가? 필요 없는 걸 지우고 필요한 것만 설치해서 최대한의 기능을 누리겠다는 건데... 이게 잘못이라면 조립식 PC도 전부 못쓸 물건들 아닌가?
▲ 그냥 좀 더 자유롭게 썼을 뿐인데...
그럼에도 모바일 OS 제조사들은 ‘탈옥하지 말라’고 소비자들에게 아무렇지도 않게 종용한다. ‘하면 A/S도 없다, 사건이 생기면 당신 책임’이라고 협박한다. 왜 그럴까? 소비자 입장에서 내 물건을 내가 바꾸는 건 자유인데, 왜 유독 모바일 업체들만 이런 비정상적인 판매 행위를 이들은 계속하는 것일까? 모바일 OS의 보안이 생산단계에서부터 형편없기 때문이다. 자본주의 사회에서 탈옥이 문제될 건 하나도 없는 건데, 자기들이 만든 제품의 부실함을 덮으려 소비자들을 공포로 세뇌시키고 있는 것이다. ‘탈옥하지마! 우리가 얼마나 못 만들었는지 알면 다쳐!’
모바일 OS 제조사들이 특히 게을렀던 부분은 소비자가 자기가 원하는 대로 기기의 환경을 바꿨을 경우의 수에 전혀 대비하지 않고 있다는 거다. 즉 정말 단순한 보안책만 강구하고 구현해 놓은 것이다. 이건 뭐 신입사원한테 관리자 권한이 다 허용된 PC를 업무용이라고 넘겨주는 것과 다를 바가 없다. 이는 비유가 아니라 실제 그러하다. 아니, 더 심할지도 모른다. 업무용 PC는 최소한의 네트워크 보안 혜택이라도 받을 수 있으니까.
내가 과장하는 건가? 아니다. 잘 생각해보라. 모바일에서의 소비 환경은 우리가 여태껏 해왔던 소비 패턴과 달라도 너무 다르다. 왜 모바일만 이런 용인을 받아야 할까? 공평하게 모든 것을 되돌려 놓아야 할 때다.
탈옥 외에는 방법이 없을 때
사실 탈옥은 일부 사용자들만이 하는 것이 아니다. 기업 IT 부서에서 특정한 목적을 가지고 혹은 기업 내 사용이 가능하도록 합법적으로 탈옥을 하기도 한다. 보안에 주 목적이 있을 때는 사실 위에서 말한 모바일 OS의 타고난 부실함 덕분에 탈옥만이 유일한 방법일 때가 많다. 예를 들어 이런 경우도 있다. 한 기업에서 직원들 업무용으로 모바일 기기를 5000대 구매했다. 그래서 사업도 잘 진행하고 일도 잘 했다. 그런데 어느 날 모바일 업자가 해당 기기의 생산을 종료하고 업데이트도 끝낸다고 한다. 그러면 이 기업 입장에서는 또 새로운 기기를 5000대 사야할까?
이게 사소한 문제가 아니다. 모바일이 사치품으로 주어진 것도 아니고 사업 특성상 모바일이 필요해서 준 것이라면 위 예시에 나온 기업 입장에선 벼락을 맞은 것과 비슷한 일이다. 5000대를 또 구입하자니 예산이 불가능하고, 업데이트 안 한 채 쓰자니 너무나 위험하다. 그렇다면 남은 선택지는 하나 스스로 업데이트를 만들어 모바일 기기를 단단하게 만드는 것이다. 애초에 이런 곤란한 선택지에 소비자 기업이 놓이게 된 것부터가 모바일 시장의 비정상적인 생태를 증명한다. 모든 것이 모바일과 관련된 업체들의 배만 불리도록 되어 있다. PC 시장도 비슷한 것 아니냐, 라고 반문할지도 모르겠다. 그렇다한들 PC 업그레이드가 이처럼 강제되는 주기는 모바일의 그것보다 훨씬 길다.
문제의 핵심은 탈옥을 했다는 게 아니라 OS 그 자체
물론 탈옥을 함부로 하게 되면 취약해지는 게 사실이긴 하다. 그러면 사원 전체가 모바일 기기의 탈옥을 단 한 대도 하지 않고 쓰면 그 기업은 안전해질까? 그렇지 않다. 탈옥은 수많은 해킹 경로 중 하나만 제공할 뿐이고, 탈옥이 된 모바일 기기가 있든 없든 뚫릴 곳은 다 뚫린다. 결국 시스템 자체, OS 자체가 불안전하다는 뜻이 될 수밖에 없다. 간단히 생각해서 OS마다 업데이트가 얼마나 자주, 빈번하게, 귀찮도록 반복되는지 생각해보라. OS가 안전하다면 우리의 업데이트 숙제는 지금과 사뭇 달랐을 것이다. OS는 단단히 지어진 견고한 보호시설이 아니다. 그 점을 소비자나 제조사나 모두 기억해야 한다.
나는 부수고 해부하고 다시 조립해 맞추는 걸 굉장히 즐긴다. 그래서 맘껏 망가트리려고 이쪽 업계(보안)로 들어셨다. 회사에서 하는 일도 주기적으로 모바일 앱을 낱낱이 망가트려 해부하고 보안점검을 하는 것이다. 그리고 탈옥하지 말라고 그렇게 강조하는 모바일 OS 업체들에게 미안하지만, 난 탈옥 여부와 상관없이 수없이 많은 앱과 취약점을 통해 여러 모바일 및 시스템, 네트워크에 자유롭게 드나들어왔다. 탈옥하지 말라는 말이 핵심을 벗어난 것이라는 건 내 이런 경험이 증언한다.
탈옥하지 말라고 강조하는 게 잘못된 건 단순히 모바일 OS의 소비 강요 행태가 잘못되어서만은 아니다. 말했다시피 여러 앱들을 분해해가며 느낀 건 ‘탈옥하지 말라’고 하는 게 보안에도 더 해악이기 때문이다. 탈옥하지 않아도 모바일 OS가 워낙에 부실해 뚫리고 공격당하기 마련인데, ‘탈옥’에만 초점을 맞추고 책임을 소비자에게 돌리니 소비자들 입장에선 더 나은 보안 방책에 대해 배울 수도 없고 익힐 수도 없다. ‘탈옥’을 강조하면 할수록 결과적으로 보안에서 더 멀어진다는 것이다.
신뢰는 뭐에 쓰는 물건인고?
조금만 생각해보면 알 수 있는 이런 뻔한 문제점 혹은 이상한 점들이 있음에도, 모바일 관련 업체들이 얼마나 광고와 홍보를 잘했는지 대부분의 사람들은 모바일 OS의 보안성을 별로 의심하지 않도록 길들여져 왔다. 탈옥만 하지 않으면, 순한 양처럼 모바일 회사가 시키는 대로 얌전히 전화기를 사용만하면, 우리는 안전할 것이라고 무의식적으로 믿고 안도한다. 즉 소비자들은 아직 모바일 OS를 신뢰하고 있다는 뜻이다. 그리고 그 신뢰는 OS를 넘어 OS에서 작동하는 각종 앱들에게도 뻗친다. 앱의 보안은 OS의 그것보다 훨씬 더 처참한데도 말이다.
이런 마케팅 과정으로 생긴 잘못된 신뢰를 덜어낼 필요가 있다. 모바일 보안은, 역설적이긴 하지만, 지금의 생태계를 믿지 않는 데서부터 출발하리라고 본다. 그리고 모바일 환경을 이루는 네 가지 주요 요소인 앱, 데이터, 아이덴티티, 접근을 처음부터, 신뢰라는 기름기를 쫙 빼고 다시 생각해봐야 한다. 기기자체의 보안을 넘어 모바일의 본질에 대한 ‘진짜 보안’에 다가가야 우리는 루팅된 모바일 폰을 붙잡고 눈물을 흘리지 않을 수 있을 것이다.
모바일 OS는 안전하지 않다. 모바일 OS는 안전하지 않다. 모바일 OS는 안전하지 않다.
모바일 보안을 생각하기 전에 이 말을 세 번 복창하고 시작하면 더 큰 도움이 될 것이다. 탈옥이란 단어는 아직 모바일 보안에서 물 타기 용일 뿐이다.
글 : 아담 엘리(Adam Ely)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
