방송통신위원회에 의하면 지난 3월 23일을 기준으로 스마트폰 가입자가 1,000만 명을 돌파했으며, 이제는 2,000만 명 시대에 다가서고 있다. 2009년 말 KT를 통해 우리나라에도 아이폰이 출시된 이후 2년도 안 돼 폭발적으로 증가한 것이다. 가파른 가입자 수 증가에서 볼 수 있듯이 다양한 스마트폰과 아이패드, 갤럭시탭과 같은 모바일 기기에 대한 수요와 관심은 급격하게 증가하고 있다.

관심과 수요가 증가함에 따라 모바일 기기의 성능 또한 하루가 멀다 하고 발전해 판매량과 성능 면에서 이미 PC 영역까지 넘보고 있으며, 그 격차도 빠르게 줄고 있다. 실제로 모건스탠리는 2012년에는 전 세계적으로 스마트폰이 PC의 판매량을 추월할 것으로 예상하고 있다.

모바일 기기는 개인 및 기업에게 ‘손 안의 작은 컴퓨터’로써 역할을 톡톡히 해 다양한 편의를 제공하는 것은 물론 생활방식까지 변화시키고 있다. 또한 기업의 업무에 사용해도 손색이 없을 정도의 컴퓨팅 파워와 함께 사무실 운영과 생산성 향상에서 오는 비용이익 등의 이유로 기업들의 모바일 오피스 도입이 급물살을 타고 있다.

이러한 환경의 변화는 모바일 라이프에 대한 보안 위협 또한 빠르게 증가시키고 있으며, 이에 대해 정부 및 기업들의 리스크 관리와 개인들의 인식 변화가 필요한 시점이라 볼 수 있다. 따라서 현재 존재하며 향후 발생할 수 있는 모바일 보안 위협들에 대해 살펴보고, 안전한 모바일 라이프 영위를 위한 노력과 방법에 대해 알아보고자 한다.

모바일 라이프에서의 보안
최근 스마트폰과 태블릿 PC 등의 모바일 기기에 안드로이드나 iOS와 같은 범용적인 운영체제가 탑재되면서 기존 PC 환경과 같이 전 세계적으로 동일한 보안 위협에 노출되고 있다. 따라서 해커들도 점차 모바일 환경으로 눈을 돌리고 있으며, PC 못지 않은 정보를 가지고 있는 모바일 기기에서 취약한 부분을 찾아내어 개인 및 기업의 정보를 빼내기 위해 노력하고 있다. 이해를 돕기 위해 지금도 존재하고 있는 위협들로 구성된 가상의 범죄 시나리오를 살펴보도록 하자.

# 해커 A는 최근 모바일 오피스를 도입한 중견기업의 중요한 영업 정보를 빼내달라는 의뢰를 받았다. 그는 먼저 해당 기업의 임원진에 대해 조사를 한 후, 임원 B를 타깃으로 설정했다. 해커 A는 악의적인 기능을 수행하는 악성코드를 인기 앱에 삽입한 후 미리 수집한 B 임원의 회사계정 메일로 내용을 잘 포장하여 전송했다.

임원 B는 무료란 말에 호기심에 설치해 사용해봤다. 중요 임원회의 시간이 되어 임원 B는 앱을 종료하고 회의에 참석했지만 이 앱은 사용자 모르게 계속 백그라운드에서 동작하며 중요한 회의의 내용을 도청·녹음해 외부로 전송하기 시작했다. 이후 임원 B의 통화 내용은 물론 모바일 기기로 입력되는 모든 값을 기록으로 남기고 회의 시 모바일 기기에 남긴 메모까지 수집할 수 있었다.

점심시간, 임원 B는 식사 후 커피전문점에서 커피를 마시며 모바일 뱅킹을 통해 유학 중인 딸에게 생활비를 송금한 후 회사의 인트라넷에 접속해 중요한 업무를 처리했다. 하지만 송금을 요청했던 것은 해커 A였고 임원 B의 딸인 것처럼 페이스북 계정을 만들어 B씨에게 생활비를 요청한 해커 A의 계략에 따라 임원 B는 해커 A가 설치한 가짜 무선 AP(Access Point)에 접속해 송금을 했된 것이다.

이 가짜 무선 AP를 통해 해커 A는 임원 B의 인터넷 사용내역을 엿볼 수 있었고, 금융정보와 인트라넷의 계정정보 또한 수집할 수 있었다.

저녁 회식시간, 해커 A는 악성 앱을 통해 얻은 정보로 B 임원의 것과 유사하게 설정한 스마트 폰을 임원 B의 스마트 폰과 바꿔치기해 훔치는데 성공한다. 해커 A는 루팅(탈옥)된 임원 B의 스마트 폰의 취약점을 이용해 인트라넷에 접속한 후 중요 메일 및 문서 등을 모조리 수집할 수 있었다.

이로써 해커 A는 입수한 중요정보를 넘겨 보수를 받을 수 있었고 덤으로 수집된 민감한 개인정보로 부수입도 챙길 수 있었다. 임원 B가 속한 중견기업은 결국 경쟁사에 다수의 기밀들이 넘어가 기업의 존폐를 위협할 만한 큰 손실을 입게 되었다.
위 시나리오는 크게 3가지 위협으로 나뉠 수 있다. 첫 번째는 악성 코드가 삽입된 앱으로 인한 도청 및 감청, 정보유출과 여전히 존재하는 Wi-Fi의 보안 문제다. 두 번째는 도난(분실)로 인한 정보 유출과 사용자의 편의를 돕지만 보안을 약화시키는 루팅 및 탈옥이다.

그리고 마지막 세 번째는 쉬운 계정정보 등의 사용자 부주의가 현재 가장 일반화된 보안 위협이다. 물론 위 시나리오처럼 하루 사이에 저 사건이 모두 일어나지는 않겠지만, 시간이 주어진다면 충분히 가능한 시나리오이며, 분명 대비해야 할 위협들임에 틀림없다.

모바일 보안위협 대응방안
기업들의 대응방안
최근 모바일 오피스 구축사례가 늘어나면서 많은 IT 업체들이 모바일 기기 보안시장을 새로운 블루오션으로 보고 관련 솔루션을 개발하고 있다. 주목할 점은 인텔과 모토로라 등 모바일 기기와 밀접한 IT 제조사들이 보안의 중요성을 인식하고 보안업체를 인수하는 등 발 빠르게 움직이고 있다는 것이다.

제조 단계의 보안과 함께 시장이 가장 활발한 곳이 모바일 기기 관리, 즉 MDM(Mobile Device Management) 분야다. 기기의 분실 및 도난에 초점을 맞춘 원격 잠금 및 데이터 삭제 등의 기능과 모바일 오피스에서 유용할 매체제어(카메라 및 USB 제어 등), 문서 암호화 등의 기능들이 그것이며, 삼성SDS, LG CNS, 모바일아이언 등의 기업이 더 나은 모바일 보안 솔루션 제공을 위한 경쟁을 하고 있다.

SK텔레콤의 대응방안
이에 SK텔레콤은 기업용 모바일 보안 통합 솔루션인 ‘스마트 시큐리티(Smart Security)’ 를 출시하고 SK 그룹 15개 관계사 및 현대중공업, 한독약품 등 다수의 그룹들에 꼭 필요한 기능을 커스터마이징해 공급하며, 모바일 생태계(Ecosystem) 전반에 대한 노하우를 가지고 시장을 이끌어 가고 있다. 현재 스마트 시큐리티가 제공하는 기능은 크게 ▷Device ▷Network ▷Contents ▷사용자 인증 등 4개 영역에서 다음과 같이 구성돼 있다.

Device 보안
첫째는 Device에 대한 보안으로, 가장 큰 위협이 될 수 있는 모바일 기기의 분실 및 도난에 대해 [신고→잠금→백업→삭제→회수→해제→복원]의 프로세스 사이클을 가지고 있으며, 분실된 모바일 기기에 대한 GPS 정보를 통해 위치를 추적할 수 있다. 통신사의 강점을 살려 24시간 고객센터 대응과 통신망을 통한 추적 등 신속한 처리가 장점이다.

또한 USB, SD카드, Bluetooth, 카메라, 테더링 등의 매체에 대한 제어기능과 보안 프로그램에 대해 삭제나 프로세스를 죽이지 못하도록 하는 보호조치를 통해 사용자 임의로 보안 기능을 무력화하는 행위를 방지할 수 있다. 또한, USIM 칩의 변경과 안드로이드의 루팅(Rooting) 및 iOS의 탈옥(Jailbreak) 여부의 탐지를 통해 구성원 개개인의 기기에 대한 보안성을 상시 유지할 수 있다.

네트워크 보안
둘째는 Network에 대한 보안으로, Wi-Fi를 사용함으로써 일어날 수 있는 사내에 설치된 AP에 대한 불법 사용자의 접근 및 Rouge AP를 통한 정보 가로채기 등의 위협도 Wireless IPS를 모듈화해 운용함으로써 대응할 수 있다. 도청과 감청 이슈에 대해서는 비화통신으로 안전한 통화가 가능하도록 기능 고도화를 통해 ‘국정원 보안가이드라인 SL3’ 이상의 수준 높은 보안을 제공하면 된다.

콘텐츠 보안
셋째는 Contents에 대한 보안으로, 관리되는 모바일 기기 별 정보를 주기적으로 수집해 설치 및 실행 중인 앱의 목록을 확인 할 수 있다. 또, 기업용 Anti Malware 제품을 모듈화해 악의적인 앱 이슈 발생 시 해당 앱을 Black List하고 악의적인 앱이 설치된 모바일 기기에 대해 원격에서 관리해 주는 다각적인 대응을 할 수 있다.

사용자 인증
마지막으로 기업의 인사 DB와의 연동으로 모바일 기기에서 수집된 정보를 통해 조직 및 개인별로 특정 권한의 부여가 가능하게 관리할 수 있다. 특히, 모바일 기기 인증 시 일정 횟수 이상 실패 후 화면 잠금, 강력한 비밀번호 설정 통제, 화면 잠금 정책 제어 등 기기를 분실하거나 도난당해도 무차별적인 비밀번호 입력을 통한 정보 유출을 막을 수 있다.

기업뿐만 아니라 개인 고객을 위한 보안 솔루션도 많이 출시되어 경쟁하고 있다. 가장 보편적인 것으로 모바일 백신이 있고 단말마다 차이가 있으나 대부분 무료로 제공되고 있으며 티스토어 및 안드로이드 마켓에서 쉽게 다운로드하여 설치 가능하다.

SK텔레콤에서 제공하는 개인 고객용 보안 솔루션으로는 원격 화면 잠금, 공장초기화, 메모리 및 데이터 삭제 등 분실 시 발생할 수 있는 정보 유출을 막아주는 ‘스마트폰키퍼’가 있으며. 각종 유해 앱으로 인한 피해를 방지하고 앱의 실행 등을 제어하는 ‘그린T’, ‘스마트폰 지킴이’, ‘울타리’ 등의 보안 솔루션이 있다. 이 앱과 솔루션은 티스토어를 통해 개인 고객들에게 무상 제공되고 있다.

법·제도적 차원의 대응방안
이미 정부에서는 모바일 시대의 보안강화를 위해 ‘스마트 모바일 시큐리티 종합계획’과 같이 국가차원의 대응전략 및 가이드를 준비하고 있다. 또한, 법과 제도의 차원에서도 이미 「개정 정통망법」, 「좀비PC방지법」, 「개인정보보호법」 등의 법제화를 통해 변화의 움직임을 보이고 있다. 이밖에 스마트폰에 청소년 보호수단 탑재를 의무화하는 법률 개정안과 소비자가 저장된 위치정보를 삭제할 수 있도록 제조사 및 공급자가 기술적 조치를 취하는 것을 의무화하는 「위치정보의 보호 및 이용 등에 관한 법률」 개정안을 발의하는 등 모바일 환경의 보안 위협에 대해 좀 더 세분화된 법률들이 발의되고 있다.

하지만 모바일 보안에 대한 근본적인 대책 없이 제재만을 위한 법제도의 변화는 지양해야 할 부분이며 모바일 환경과 클라우드, 위치기반서비스(LBS), 증강현실 등 타 IT 기술과 융합화되는 환경 변화에 한발 앞서는 정부 차원의 전략적 대응이 필요할 것이다.

맺음말
지금까지 모바일 보안에 대한 전반적인 이슈와 대응방안에 대해 알아보았다. 물론 더욱 복잡하고 어려운 위협들도 존재하고 하루가 멀다 하고 늘어나는 추세이지만, 위의 내용만이라도 이해하고 대처한다면 기업 혹은 개인의 중요한 가치와 자산을 지키는데 큰 도움이 될 것이다.

무엇보다 중요한 건 ‘내가 알고 있는 것을 사용하고 정당한 방법으로 정당한 대가를 치른 후 사용한다’는 인식을 가져야 한다는 것이다. 이를 바탕으로 정부 및 업계의 지원과 관리가 뒷받침된다면 모바일 기기에 대한 보안 위협에서 한결 자유로울 수 있을 것이라 생각한다. 기업이든 기관이든 안전한 모바일 라이프는 개인의 보안의식으로부터 출발하는 것이다.
<글 : 이 창 화 │ SK텔레콤 정보기술원 IT보안팀 매니저(plusneo@sk.com)>

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>