[ET단상]스마트폰 악성코드 대책 시급

 [ET단상]스마트폰 악성코드 대책 시급

 조현숙 ETRI 지식정보보안연구부장 hscho@etri.re.kr

 

 국내 스마트폰 가입자가 지난 10월 말 기준, 2000만명을 넘었다. 초기의 스마트폰은 언제 어디서나 모바일 인터넷으로 접속해 원하는 정보를 얻는 것이 주요한 활용수단이었지만 지금은 앱 이용률이 점점 높아지는 추세다.

 앱은 다운로드가 쉽고, 구입비용도 저렴하다. 이 때문에 필요하지 않아도 흥미만 있으면 별다른 고민 없이 즉흥적으로 설치하기도 한다. 그러다 보니 데스크톱PC에서의 웹 접속에 비해 개인정보 유출 등의 보안 침해 사고에 대한 체감지수가 그리 높지 않다.

 스마트폰의 개인 정보를 조회, 네트워크를 통해 정보 유출을 시도하거나 사용자의 과금을 유발시키는 악성코드는 생각보다 상당히 일반적이다. 또 QR코드를 스캔하면 특정 URL을 접속할 수 있게 하고 이를 통해 스마트폰에 악성코드를 직접 다운로드해 설치하게 할 수 있다.

 더욱 더 심각하게는 악성코드가 개인이 항상 휴대하고 다니는 스마트폰의 리소스(카메라, 마이크, 블루투스 등)에 접근하고 조작할 수 있다는 점이다. 예를 들어, 예전에는 도청을 원하는 곳에 카메라나 마이크를 미리 설치해야만 도청이 가능했지만 지금은 간단히 회의 참석자의 스마트폰에 저장된 개인 일정에 ‘상품기획’ ‘회의’ 등 특정 이름으로 저장된 시간대에 사용자가 알 수 없도록 스마트폰의 녹음 기능을 활성화해서 녹음할 수 있다. 물론, 공격자에게 전송하는 악성코드를 심어 놓음으로써 도청도 가능하다. 이는 매우 극단적인 상황을 가정했지만 충분히 가능하다.

 현재의 스마트폰 시장은 아이폰과 안드로이드폰이 대부분이고 무서운 속도로 안드로이드폰이 확산되고 있는 양상이다. 아이폰과 안드로이드폰에서의 앱의 설치 및 이용 환경은 매우 상반된다. 아이폰은 애플의 앱스토어를 통해서만 다운이 가능하고, 개발한 앱을 앱스토어에 등록하기 위해서는 해당 앱의 코드를 검토하고 일정수준의 규칙준수 확인 과정을 애플에 요청해야 한다.

 또 애플은 자신들의 잣대로 해당 앱의 등록 여부를 결정한다. 즉, 애플이 허락하지 않으면 사용자가 원한다고 해도 특정한 앱을 사용할 수 없는 폐쇄적인 구조다. 반대로 안드로이드폰은 매우 개방적이다. 안드로이드 마켓을 운용하는 구글은 사용자가 원하는 다양한 앱을 사용할 수 있도록 열어놓는 한편, 누구나 앱스토어에 앱을 등록할 수 있도록 허용하고 있다. 이렇듯 안드로이드폰은 소프트웨어 개발 환경을 무료로 공개하고 앱 개발과 배포가 자유로운 개방형 모델로 사용자 의지에 의한 활용성은 높다. 하지만, 앱에 대한 강력한 사전 점검을 통해 앱스토어에 등록을 제어하지는 않기 때문에 보안에 취약하다는 것이 일반적인 시각이다.

 안드로이드폰 사용자는 앱을 내려받기 전에 이전 사용자들의 평가를 살펴보고, 앱을 설치한 이후 배터리 사용시간이 갑자기 줄어들거나 폰 실행 속도가 현저히 느려진다면 일단은 악성코드인지를 의심해야 한다. 또 앱을 스마트폰에서 제거하거나 다운로드한 곳에 정보를 즉각 제공하는 것이 중요하다.

 궁극적으로 사용자가 다운로드하고자 하는 앱이 정보 유출 등의 악성코드가 숨겨져 있지 않음을 누군가가 보증해 준다면 사용자 입장에서는 안심할 수 있을 것이다.

 사용자가 원하는 앱을 안심하고 다운로드할 수 있도록 하는 환경 조성이 필요한 시점이다. 다시 말해, 모바일 앱 유통 채널인 앱스토어 보안, 앱스토어를 통한 모바일 앱에 대한 보증이 필요하다. 이를 위해 인터넷 뱅킹에서 사용되는 공인인증서를 활용해 앱스토어를 운용하는 주체가 모바일 앱에 보증 서비스를 제공하는 것도 하나의 대안이 될 수 있을 것이다.