[박춘식 교수의 보안이야기] 통신 또는 시큐리티 회사가 계속해서 스마트폰을 노린 바이러스의 신종을 발견하였다고 보고하고 있다. 스마트폰에서 마음대로 메일을 송신하거나 전화를 걸어서 다른 사람의 단말에 바이러스를 마구 퍼뜨리거나 전화를 도청하는 일이 계속 발생하고 있다.
 
한편 바이러스의 발신처가 된 경우, 사회적인 신뢰를 일시에 잃어버릴 수 있는 곤혹스러운 기능을 누군가가 밤낮으로 개발하고 있다. 현시점에서는 심각한 피해는 보고되고 있지 않지만, 스마트폰의 폭발적인 보급으로 인하여, 시큐리티 회사 등은 감염의 대유행이 일어나기 전야라고 보고 있다. 개인이나 기업은 아직 보이지 않는 적에게 어떻게 준비해야 하는가.
 
스마트폰을 노리는 바이러스의 보고 수는 1년 사이에 65배로 증가하고 있다. 시큐리티 기업인 미국의 맥아피에 의하면 2011년 7~9월 사이에 발견된 안드로이드를 탑재한 스마트폰의 바이러스는 394종으로 6종에 불과했던 2010년의 7~9월에 비해서 급증하였다.
 
발견된 바이러스는 날마다 바뀌는 기능도 다양하다. 일단 스마트폰이 바이러스에 감염된다면 스마트 폰 주인이 알지 못하는 사이에 전화부에 등록된 사람에게 마음대로 전화 발신을 하거나 바이러스 감염의 우려가 있는 사이트로 유도하는 메일을 일제히 송신하는 경우도 있다. 통화시의 음성을 녹음하여, 음성파일을 생면부지의 컴퓨터로 보내버리는 도청 바이러스도 보고되고 있다.
 
이러한 바이러스의 증식은 스마트폰의 OS로 약 50%를 차지하는 안드로이드 단말의 보급과 상응하는 면이 있다. 안드로이드는 설계도(소스코드)가 무상 공개되어 있기 때문에 악의를 가진 사람이 바이러스를 만들어 낼 위험성을 배제하기가 어렵다. 한편, 미국 애플의 아이폰 ＯＳ는 소스코드가 비공개로 안전성이 비교적 높은 편이다. 단지, 바이러스가 증식하고 있는 반면에 심각한 피해는 지금까지 보고되고 있지 않다. 스마트폰의 보급과 바이러스의 증가로 잠재적인 위협은 착실히 증가되고 있지마는 아주 근소한 차로 문제들이 피해가고 있는 것인지도 모른다.
 
많은 스마트폰이 원래 가지고 있는 샌드박스 라고 불리는 안전성을 높이는 메커니즘이 일정한 방어 효과를 올리는 면이 있다. 샌드박스는 스마트폰이 외부로부터 주입되는 소프트웨어를 한정적인 영역에서 작동시킨다. 이 때문에 부주의로 바이러스를 포함한 어플리케이션을 다운로드 할지라도, 바이러스가 작동하기 어렵게 된다. 단지 샌드박스도 만능은 아니며 기술적인 방호벽을 뛰어넘어서 불법을 자행하는 바이러스가 이미 존재하는 지도 모른다. 즉, 사용자가 피해를 느끼고 있지 않을지도 모르는 것이다.
 
현재의 스마트폰은 지금까지 바이러스와 오랫동안 격투를 계속해왔던 PC에 비해서 시큐리티 약점을 가지고 있다. 단말이 적은 제약도 있으며 시큐리티 대책으로 할당되는 정보처리능력에 한계가 있는 것이 첫 번째이다. 게다가 이용자 마다 권한 설정을 하는 것이 어렵거나 파일 암호화 등의 기능도 부족하는 등의 문제도 지적되고 있다.
 
더욱이 스마트폰의 바이러스 감염 위험을 높이는 것이 스마트폰이 사용하는 다양한 통신 수단인면도 있다. 종래의 휴대전화가 기본적으로 통신회사의 회선만을 사용하는 것에 대해서 스마트폰은 무선 LAN도 이용 가능하기 때문이다.
 
이 때문에 경우에 따라서는 감염의 가능성이 높아지게 된다. 바이러스에 대한 취약성을 가진 스마트폰이 폭발적으로 보급되고 이것을 노린 바이러스가 급증한다. 스마트폰에 관계하는 통신회사나 시큐리티 회사의 전문가들의 대부분은 스마트폰의 바이러스 피해가 표면화되는 것은 시간의 문제라고 보고 있다. 일단 피해가 확산된 경우, 축소를 위해서는 종래보다도 어려운 대응이 요구되는 우려가 있다.
 
스마트폰의 서비스는 주력이 되는 통신회선을 제공하고 있는 휴대전화회사에 덧붙여 단말 제조사나 OS 개발자를 포함한 다양한 관계자가 관여되어 있기 때문이다. 심각한 사태가 확산된 경우, 해결을 위해서는 각 관계자들이 복잡한 협력이나 조정을 해야 하기 때문이다. 현 시점에서는 잠재적인 위험에 지나지 않는 스마트폰의 바이러스 감염에 대해서 가능한 대비책은 있는 것인가.
 
제1은 OS 엎데이트다. 계속해서 나오는 바이러스에 대항하기 위해서는 스마트 폰 OS는 대책을 갖추면서 버전업을 하고 있다. 오래된 OS로는 바이러스 감염의 확률이 높아지게 된다. 엎데이트 안내가 오면 곧 바로 엎데이트 해야만 한다. 제2는 부주의로 어플리케이션을 다운로드 하지 않도록 해야 한다. 어플리케이션의 다운로드시에는 계약 내용을 잘 읽지 않고 OK 버튼을 눌러버리기 때문이다.
 
그러나 잘 읽어보면 GPS 정보를 제공하는 등 개인정보가 유출되어버리는 조건이 기재되어 있는 경우도 있다. 설치하는 경우에는 이러한 점에 주의하여 의심스러우면 다운로드를 피하도록 한다. 제공처의 신뢰성도 확인해야 한다. 제3의 대책은 다소의 비용이 수반되지만, 최종 수단이라 자리매김하면 좋다. 이것은 바이러스 대책 소프트웨어의 활용이다.
 
시큐리티 각사는 2011년에 계속해서 스마트폰용 제품을 발매하였다. 통신회사 경유로 이용될 수 있는 서비스도 늘어나고 있다. 단지 대부분의 상품이 년간으로 수 만원으로 싸다고는 말할 수 없는 어려운 점이 있다. 스마트 폰 용 바이러스ス에 특히 주의를 해야만 하는 것은 사원에게 단말을 지급하는 기업일 것이다.
 
사원의 스마트폰이 바이러스 감염되어 그대로 사내 시스템에 접속되면 정보 유출 등의 피해를 받을 우려가 있기 때문이다. 기업용 스마트 폰에 관한 시큐리티 강화의 조언을 하는 서비스가 늘어나고 있다. 국내외에서 모든 지점에서 정보단말의 시큐리티 상태를 일원 관리할 수 있는 시스템도 제공되고 있다. 스마트폰이나 PC도 동시에 관리 가능하다. 사원이 바이러스 감염의 우려가 있는 어플리케이션을 다운로드하여도 기동할 수 없기 때문에 바이러스의 확산을 막을 수 있다.
 
스마트폰의 바이러스 감염의 위험은 국내만 한정해서 생각해서는 되지 않을 정도로 스마트폰의 세계 각국의 보급 속도가 빠르다. 그래서 바이러스 대책이라고 하면 PC라고 하는 시대는 이제 옛말이다. 종래의 휴대전화와 다르게 스마트폰은 세계 공통 규격의 OS를 탑재하고 있다. 세계 어디로부터 바이러스 공격을 받을 우려를 가지고 있기 때문이다. 주의하지 않는 동안 감염되어 누군가에게 피해를 주는 일이 없도록 조속한 대책이 필요하다.(일본경제신문 / 2012.01.08)
[박춘식 서울여자대학교 정보보호학과 교수]