군내 스마트폰 이용자수 증가...군사기밀 유출 등 보안사고 우려 커져 Secure OS, 무선침입탐지 시스템, 앱 검증 등의 보안대책 고려해야 

[보안뉴스= 이동훈 고려대학교 교수] 2009년 아이폰의 도입과 함께 급격히 증가하기 시작한 국내 스마트폰 이용자는 현재 그 수가 우리나라 전체 인구의 절반 이상인 약 3,000만 명에 달한다. 이에 따라 군내 스마트폰 이용자수도 증가하면서 군사기밀 유출이나 군사시설 및 작전 노출 등 각종 보안사고에 대한 우려가 커지고 있다.

실제로 스마트폰을 사용하는 군 간부의 수는 늘어나고 있지만, 군은 급격히 성장하는 스마트폰 사용 환경에 대한 적절한 보안조치를 확립하지 못한 실정이며, 군 내부 스마트폰 사용자들의 보안의식 결여로 인해 군사기밀 유출과 같은 각종 사고가 발생하고 있다.

대표적으로 2010년 11월 연평도 포격 사건 당일 육군 하사에 의해 촬영된 병사들의 대화 동영상이 스마트폰을 통해 인터넷에 올라 군 검찰에 의해 사법처리된 경우가 있으며, 2012년 1월에는 스마트폰과 관련된 군 군단의 보안조치에 불만을 품은 부사관이 군 내부 보안 지시 내용을 담은 공문을 스마트폰으로 촬영해 언론에 유출한 사건도 있었다.

이처럼 군 내부 스마트폰 사용 환경에는 스마트폰을 이용하는 군인의 낮은 보안의식으로 인한 각종 사고의 위험과 함께 범용 운영체제와 다양한 기능을 내장하고 있는 스마트폰의 특징으로 인한 다양한 보안위협이 존재한다. 대표적인 보안위협은 다음과 같다.

첫째, 현재 군에서 사용되고 있는 스마트폰의 보안이 대부분 단말기·운영체제 제조사에 의존하고 있다는 점이다. 즉, 안드로이드 등의 특정 운영체제에 대한 심각한 보안취약점이 발견될 경우 해당 취약점을 이용한 공격으로 인해 정보유출 피해가 발생할 수 있다.

둘째는 스마트폰의 분실 및 도난이다. 스마트폰을 분실하는 경우 스마트폰에 저장되어 있는 연락처, 메시지, 이메일, 메모 등 군과 관련된 민감한 정보들이 유출될 수 있다. 스마트폰은 사용자의 다양한 정보를 평문 그대로 DB 또는 파일의 형태로 메모리에 저장하는데, 물리적으로 기기를 획득하게 된 경우 스마트폰에 저장된 모든 정보는 공격자에게 그대로 노출될 수 있다. 따라서 군용 스마트폰의 경우에는 저장되는 정보를 암호화하여 안전하게 저장하는 것이 필수적으로 요구된다.
셋째, 악성코드 및 악성 앱에 의한 정보의 유출 및 기기의 통제이다. 스마트폰에 악성 앱이 설치되거나 악성코드에 감염되면 해당 스마트폰은 공격자에 의해 다양하게 이용될 수 있다.

스마트폰에 저장된 민감한 정보를 빼내는 것은 물론, 마이크를 이용하여 통화 내용을 도청하거나 스마트폰에 기본적으로 내장되어 있는 카메라를 이용하여 주변 상황을 관찰하는 행위도 가능하다. 또한, GPS를 이용하여 개인의 위치는 물론 군사시설이나 작전위치 등이 노출될 수도 있다.

따라서 군 전용 마켓과 같은 통제된 환경에서 군용으로 개발된(보안 검증을 받은) 애플리케이션만 설치가 가능하도록 하는 등 무분별한 애플리케이션 설치에 대한 조치가 필요하며, 스마트폰 바이러스나 악성코드를 탐지하기 위한 보안 소프트웨어의 개발 및 지속적인 관리도 필수적으로 요구된다.

마지막으로 스마트폰의 군 외부 네트워크 접속문제가 있다. 현재 군은 간부들을 대상으로 등록절차를 거쳐 스마트폰을 사용하도록 규정하고 있다. 그러나 군에서 사용하는 업무용 컴퓨터를 외부 네트워크와 단절시킨 것과는 달리 스마트폰을 통한 인터넷 접속은 통제하지 않고 있다. 따라서 군 스마트폰이 공격자의 표적이 될 경우, 다양한 경로를 통해 군사기밀이 유출될 위험이 크기 때문에 적절한 보안대책 마련이 시급하다.

이처럼 스마트폰의 사용으로 인해 발생하는 다양한 위험들로부터 안전한 스마트폰 사용환경을 구축하기 위해서는 다음과 같은 사항이 고려되어야 한다. 가장 먼저 스마트폰에 탑재된 기존 범용 운영체제에서 보안이 강화된 Secure OS로의 전환이 고려되어야 한다. Secure OS는 강력한 접근제어와 접근통제, 시스템 모니터링, 상세한 로그 등 다양한 보안기능을 지원해야 한다.

그 다음은 Wi-Fi 네트워크는 물론, 3G, 블루투스 등 스마트폰의 다양한 외부 통신 기능을 아우르는 무선 침입탐지 및 방어 시스템(WIDPS)의 구축이다. 이는 알려진 위협 및 제로데이(Zero-day) 위협을 실시간으로 분석, 무선 공격 및 비정상적 행위를 감지함으로써 네트워크를 안전하게 보호하는 것을 목적으로 한다.

이 외에도 국가 인증을 획득한 암호 모듈을 이용한 데이터 암호화 및 통신 채널 암호화, 스마트폰 분실 및 도난을 대비한 스마트폰 데이터 원격 삭제, 스마트폰 바이러스 및 악성코드 보호 프로그램 설치, 군 스마트폰용 애플리케이션 검증 및 관리 방안 등도 고려되어야 한다.

그러나 철저한 기술적 보호조치가 수립되더라도 스마트폰 사용자의 보안의식이 결여된다면 보안사고는 끊임없이 발생할 것이다. 따라서 스마트폰에 대한 안전한 사용과 함께 이에 따른 강력한 책임 부여가 필요하다. 또한, 군 스마트폰 사용자 보안정책을 제정하고 이를 기반으로 군 내부 스마트폰 사용자들에 대한 감사 및 관리가 철저히 수행되어야 한다.

군 스마트폰 보안을 위한 기술적인 조치와 함께 군 스마트폰을 이용하는 장병들의 보안의식 함양을 위한 노력이 동시에 이루어질 때 비로소 안전한 군 내부 스마트폰 사용 환경을 구축할 수 있을 것이다.
[글_이 동 훈 고려대학교 사이버국방학과 교수]


[사이버국방리포트 원본 링크] www.boannews.com/board/view.asp?idx=37







<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>