iOS는 딱딱함 버리고 유연성 높여나가고
안드로이드는 유연성 포기하고 보안성 높여나가고



▲ 언제 이렇게 같아졌지?

[보안뉴스 문가용] 애플은 최근 iOS 8, 몇 가지 업데이트, 아이폰 6와 6+를 세상에 내놓았다. 그리고 세상은 그때그때마다 소란스러워졌다. 오류가 많았던 8.0.1 업데이트부터 가짜 지문 취약점에, 소비자 정보를 비밀리에 공유한다는 애플 페이에 대한 소문까지. 그런데 이게 다가 아니다. 터치 아이디를 위한 iOS 보안 백서를 최근 발표했기 때문이다. 하드웨어와 보안의 상관관계를 더 알아보고 싶은 사람에겐 꽤나 괜찮은 읽을거리이며 iOS 기능을 알아보려고 해도 한 번쯤 읽어볼만한 내용이다.


터치 아이디와 애플 페이를 탑재한 iOS 8에는 보안기능이 기존 iOS보다 많이 담길 수밖에 없다. 또한 기존의 iOS와 달리 애플 고유의 ‘딱딱함’을 많이 줄인 것이 이번 iOS이다보니 보안에 대한 접근과 기능이 달라질 수밖에 없다. 보안에 비중을 싣고 있는 언론에서는 안드로이드의 ‘과한 공개성’을 비난한다. 애플리케이션 사이에 필요 없는 상호작용이 일어난다고 한다. 그런데 이제 이런 비난을 iOS도 감수해야 할 운명이 되었다. 그리고 안드로이드나 iOS를 사용하는 기업은 죄다 보안 문제를 더 심각하게 고려해야 할 판이다.

예를 들어 안드로이드 환경에서 키로깅 및 데이터 도난이 발생할 수 있는 최악의 경우 중 하나는 사용자들이 데이터를 훔치거나 유출시키는 서드파티 키보드를 다운로드 받았을 때다. 이런 일이 안드로이드에서는 많이 일어났고, iOS는 이전 버전까지 서드파티 키보드 설치가 아예 불가능했다. 보안전문가들도 이 예를 들면서 iOS가 안드로이드보다 더 보안에 좋다는 주장을 해왔다.

하지만 iOS 8이 보안성에 있어 안드로이드와 별 차이가 없어진 가장 큰 이유는 새롭게 도입된 앱 엑스텐션(App Extensions)다. 앱 엑스텐션은 한 앱의 기능 중 일부를 다른 앱에서도 사용할 수 있도록 해주는 앱 기능 공유 개념이다. 애플은 자신들이 구축한 자신들만의 생태계를 보다 촘촘히 엮고자 이를 새로 도입했는데 이는 안드로이드에도 없던 개념이다. 방금 받은 애플리케이션으로도 SMS 메시지에 접근할 수 있게 된다는 건 편리함 이전의 다른 문제다.

또 다른 논란거리는 앱 그룹(App Groups)으로 같은 개발자가 개발한 앱들끼리는 데이터를 공유할 수 있도록 해주는 기능이다. 개념 자체가 새로운 것은 아니나 이전에는 서버에서나 가능할까 말까한, 그마저도 대부분은 비공식적으로 존재하던 것이었다. 즉 평범한 일반 사용자들은 알기 힘든 내용이었던 것이다.

앱 그룹은 개발자가 동일한 애플리케이션들끼리 같은 샌드박스를 공유하도록 하기 때문에 논란의 소지가 있다. 즉 하나로 묶인 애플리케이션 중 하나만 해킹당해도 다른 것들 모두가 해킹당한 것과 비슷한 효과를 낼 수 있는 것이다. 또한 같은 회사에서 개발한 앱이라고 해도 개발 팀이나 사람 자체는 다른 것이 보통이기 때문에 보안성도 당연히 같을 수 없다. 이런 차이가 커다란 취약점으로 이어질 가능성은 상당히 높은 편이다.

iOS와 안드로이드를 각각 특징지어주던 개성이 점점 흐려지고 있다. 단단한 요새 같아서 취약점이나 해커는 물론 사용자의 자유도도 제한했던 iOS는 이제 없다. 안드로이드 역시 특유의 유연함을 어느 정도 포기하고 보안성을 높인다는 보도를 이미 지난 달에 내보냈었다.

이런 식의 ‘닮아가기’는 계속해서 진행될 것으로 보인다. CISO들은 모바일 기기의 앱과 그 안에 저장된 데이터 보안에 더 신경을 쓸 수밖에 없게 될 것이라는 의미다. 다르게 보면 판이하게 달라 보이는 기기들이지만 그 내부는 점점 비슷해져, 기기의 특성을 일일이 공부해야 할 필요는 줄어들 것이니 이 점은 다소 긍정적이다.
@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>