매 순간 스마트폰과 함께하는 사람을 '포노 사피엔스'라고 한다. 오장육부에 스마트폰을 더한 '오장칠부'라는 말이 나올 정도로 현대인에게 스마트폰은 신체의 일부가 됐다.
일상은 모바일로 이동한다. 모바일뱅킹은 오래 전에 PC 기반 인터넷뱅킹을 앞질렀다. 코로나19 사태에 따라 근무 환경도 모바일로 전환한다. 업무 메일 확인과 결재는 물론 영상회의와 원격지 교육도 모바일로 일상화한다. 이제 신용카드와 운전면허증도 스마트폰 안으로 들어왔다. 스마트폰 터치 몇 번으로 신원을 인증하고, 지구 반대편에서 물건이 배송된다.
스마트폰을 통해 유통되는 정보가 많아지면서 사이버 범죄도 급증세를 보이고 있다. 긴급 재난지원금을 사칭하는 스미싱부터 가족을 사칭하는 메신저 피싱까지 스마트폰을 이용한 공격은 점점 더 진화하고 있다. '75만원이면 어떤 스마트폰도 털어 드린다'는 해킹 상담 광고도 쉽게 찾아볼 수 있다.
지금까지 보안은 기업 내부 시스템과 PC 보안에 집중됐다. PC 보안에 대해서는 어느 정도 공감대가 형성됐기 때문이다. 이에 따라 PC에는 백신 외 여러 가지 보안 소프트웨어(SW)가 설치되고, 망 분리를 비롯한 다양한 보안 체계가 갖춰진다. 그러나 스마트폰 이용량 급증에도 모바일 보안에 대한 관심은 아직 시작 단계에 불과하다.
스마트폰은 기기 자체 변화 속도가 빠르고 운용체계(OS) 버전도 다양하다. 그만큼 취약점이 다양하고 위협에 노출될 가능성도 짙다. 앞으로는 포노 사피엔스 시대에 맞게 모바일 보안에 더 집중해야 한다.
서비스 제공 기업은 무엇보다 사용자를 인증하는 과정에 상당한 주의를 기울여야 한다. 금융사는 보안 매체나 이체 금액에 따라 인증과 보안장치를 차등 적용한다. 이상거래탐지시스템(FDS)으로 정당한 사용자인지 모니터링하기도 한다. 애플리케이션(앱)에 대한 위·변조 여부 등 악성 행위를 보다 정교하게 체크해야 할 필요도 있다. 인공지능(AI)을 활용해서 정상 애플리케이션(앱)과 악성 앱을 빠르게 식별할 수 있는 연구도 다양하게 진행되고 있다.
서비스 이용자 입장에서는 항상 보안을 염두에 두고 스마트폰을 관리해야 한다. 신뢰 경로를 통해서만 앱을 설치하고, 보안 패치를 업데이트하자. 또 앱이 각종 접근 권한을 요구하면 꼭 필요한 것인지 확인하고 허용하자. 스마트폰에 보안 카드를 이미지로 보관하거나 비밀번호를 텍스트로 저장하면 통째 유출돼 악용될 여지가 있다. 현명한 포노 사피엔스라면 모바일 일회용 비밀번호(OTP)를 발급받아야 한다. 지하철 같은 공공장소에서 무료 와이파이로 비밀번호를 입력하면 타인에게 이를 노출할 위험이 있으니 주의해야 한다.
데이터 경제 시대에 맞게 이종 산업 간 데이터 결합도 고려해 보자. 스마트폰 제조사, 통신사, 금융사가 협력하면 FDS를 더 정교하게 운영할 수 있다. 기지국 정보를 활용해 사전에 자택과 직장으로만 모바일 뱅킹 접속 지역을 제한하는 것이다. 이외 지역에서 접속은 악성 의심 행위로 분류, 거래 허용 여부를 판단할 수 있다. 현재 운영하는 방식보다 더 정밀하게 정상 사용자를 식별하고 인증할 수 있게 된다.
공격자는 스마트폰에 원격 제어 프로그램을 설치해서 중요한 정보를 탈취하기도 한다. 금융사는 이에 대한 대응책으로 모니터링 과정에서 수집한 다양한 악성 프로그램 정보를 통신사와 공유할 수도 있다. 이렇게 공유된 정보를 활용해서 통신사는 다른 스마트폰 사용자에게 경고 메시지를 보내 악성 프로그램을 삭제하도록 유도할 수 있다. 악성 프로그램에 대한 정보 공유가 빨라지면 해킹 위협은 현격히 줄어들 것이다.
보안은 작은 관심에서부터 시작한다. 포노 사피엔스라면 보안을 항상 염두에 두고 스마트폰을 활용해야 한다. 모바일 보안에 관해 충분히 고민하는 안전하고 스마트한 세상을 기대해 본다.
김유경 NH농협은행 부행장 겸 정보보호최고책임자(CISO) iscrakim@nonghyup.com