2024-03-29 06:05 (금)
“모바일 기기, 보안관리하지 않으면 치명적 위협!”
상태바
“모바일 기기, 보안관리하지 않으면 치명적 위협!”
  • 길민권
  • 승인 2011.07.04 17:09
이 기사를 공유합니다

시만텍, 모바일 기기 보안 백서 발표
시만텍(www.symantec.co.kr)이 최근 스마트폰용 모바일 플랫폼을 양분하고 있는 애플 iOS 및 구글 안드로이드의 모바일 보안 구현 실태를 심도있게 비교, 분석한 ‘모바일 기기 보안 백서, 애플 iOS 및 구글 안드로이드 모바일 플랫폼 보안 모델 분석 보고서’를 발표했다.
 
시만텍은 이번 백서에서 애플 iOS 및 구글 안드로이드 모바일 플랫폼에 적용된 보안 모델이 웹 및 네트워크 기반 공격, 악성 코드 감염, 피싱 등의 사회 공학적 공격, 리소스 및 서비스 남용, 데이터 유출, 그리고 데이터 무결성 공격 등의 주요 보안 위협에 얼마나 효과적으로 대응하는지를 비교, 평가했다.
 
분석 결과 iOS와 안드로이드 모두 데스크탑 기반의 운영체제보다는 보안 수준이 높았지만 기존의 다양한 보안 위협에는 여전히 취약한 것으로 나타났다. 두 모바일 플랫폼 중에서는 엄격한 앱 승인 절차와 개발자 승인 프로세스를 고수하는 애플 iOS가 구글 안드로이드 보다 강력한 보안 모델을 적용, 대부분의 보안 공격에 적절히 대응하고 있는 것으로 확인됐다. 그러나, iOS 및 안드로이드 모두 피싱, 스팸 등 사회 공학적 기법을 접목한 공격에는 취약한 것으로 나타났다.
 
또한 iOS 및 안드로이드 기기 사용자들 모두 정기적으로 모바일 기기를 기업 시스템 관리자의 통제 밖에 있는 퍼블릭 클라우드 서비스나 집에 있는 개인 컴퓨터와 동기화시켜 주요 데이터를 저장 또는 백업하고 있었다. 이 경우 민감한 기업 데이터가 기업의 컴플라이언스, 보안 및 데이터 유출방지 정책을 벗어나 무방비로 노출되는 셈이다. 탈옥된 기기나 보안 해제된 기기의 경우 공격자들에게 좋은 먹잇감이 된다.
 
구체적으로 살펴보면 ▲전통적인 접근 제어 ▲애플리케이션 출처 확인 ▲암호화 ▲격리성 ▲허가 기반의 접근 제어 등 5가지 보안 모델별로 iOS 및 안드로이드 모바일 플랫폼을 비교, 분석한 결과 iOS가 접근 제어, 애플리케이션 출처 확인, 암호화 등이 안드로이드 보다 앞서는 것으로 확인됐다.
 


iOS의 암호화 시스템은 이메일과 이메일 첨부파일에 대해 강력한 보안을 제공하고, 기기상의 정보 삭제가 가능하지만 기기의 도난 또는 분실시 보안 대비책은 취약하다.
 
애플은 iOS 애플리케이션 출처 확인방식에 따라 공개적으로 이용 가능한 모든 애플리케이션을 검사한 후 앱스토어에 등록한다. 이 방식은 실패하거나 공격자가 피해갈 가능성을 배제할 수는 없지만 지금까지 악성 코드나 데이터 유출, 데이터 무결성 공격 및 서비스 거부 공격을 잘 막아내고 있는 것으로 확인됐다.
 
iOS 격리 방식은 전통적인 컴퓨터 바이러스와 웜을 완벽히 차단하고 스파이웨어가 접근할 수 있는 데이터를 제한한다. 또한 권한 상승을 통해 기기를 장악하려는 대부분의 네트워크 기반 공격을 차단한다. 그러나, 데이터 유출, 리소스 남용 또는 데이터 무결성 공격을 예방하지는 못한다.
 
iOS의 접근 허가 방식은 애플리케이션이 기기의 위치정보를 확보하거나 SMS 메시지 전송 또는 소유자의 허락 없이 전화통화를 시도할 수 없도록 한다.
 
iOS는 피싱이나 기타 웹기반 공격 등 사회 공학적 기법을 접목한 공격에 취약하다. 반면 구글 안드로이드는 전반적으로 전통적인 데스크탑 및 서버 기반의 운영체제보다 훨씬 향상된 보안 모델을 사용하고 있지만 중대한 2가지 단점이 지적됐다. 첫째, 안드로이드의 출처확인 시스템은 공격자가 익명으로 악성 코드를 제작 및 배포할 수 있게 해준다. 둘째, 안드로이드의 접근 허가 시스템은 매우 강력하긴 하지만 사용자에게 중요한 보안 결정을 떠넘긴다.
 
그러나, 대다수 사용자들은 그러한 결정을 내릴 수 있을 정도로 기술적인 전문가들이 아니기 때문에 사회 공학적 기법을 접목한 공격이 발생하고 있다.
 
안드로이드의 출처확인 보안방식에 따라 디지털 서명이 된 애플리케이션만이 안드로이드 기기에 설치될 수 있다. 그러나, 공격자들은 익명의 디지털 인증서를 사용해 구글 인증 없이도 가짜 서명을 만들고, 이를 인터넷을 통해 배포할 수 있다. 또한 악성 코드를 합법적인 애플리케이션에 삽입한 후 인터넷을 통해 재배포할 수도 있다.
 
안드로이드가 기본적으로 채택한 격리 정책에 따라 애플리케이션끼리 사실상 서로 격리되어 있다. 또한 애플리케이션 제약이 없는 SD 카드의 모든 데이터를 읽을 수 있는 등 몇몇 경우를 제외하고는 안드로이드 OS 커널 등의 안드로이드 시스템과도 대부분 격리되어 있다.
 
안드로이드는 애플리케이션 설치 여부를 사용자가 결정하도록 하고 있어 사회공학적 공격에 노출되어 있다. 기술적 지식이 부족한 대다수 사용자들은 올바른 결정을 내리기 어려워 악성 코드 감염에 따른 서비스 거부 공격, 데이터 유출 등의 2차 공격에 취약하다.
 
안드로이드는 현재 기본적으로 암호화 보안기능을 내장하고 있지 않다. 대신 데이터 보호를 위해 격리 및 접근 허가 방식에 의존하고 있다. 따라서 사용자가 안드로이드폰을 탈옥하거나 SD 카드를 도난 당하는 경우 심각한 데이터 유출 문제에 직면할 수 있다.
 
iOS와 마찬가지로 안드로이드도 피싱이나 기타 웹기반 공격 등 사회 공학적 공격에 취약하다.
 
시만텍코리아 윤광택 이사는 “기업의 모바일 기기 이용은 생산성 증가로 이어질 수 있지만 기업 입장에서 반드시 관리해야 할 수많은 새로운 보안 위험을 동반한다”며, “주요 모바일 플랫폼별 보안 모델과 장단점 등을 파악해 모바일 기기를 보다 효과적으로 활용하고, 수반되는 보안 위협을 보다 지혜롭게 관리해야 한다”고 강조했다.
 
이번 ‘모바일 기기 보안 백서: 애플 iOS 및 구글 안드로이드 모바일 플랫폼 보안 모델 분석보고서’에 대한 보다 자세한 정보는 http://go.symantec.com/mobile-paper 에서 찾아볼 수 있다.
 
한편, 시만텍은 기업내 안전한 모바일 기기 사용을 위해 다음과 같은 ‘기업의 모바일 기기 보안 및 관리 10계명’을 권고하고 있다.
 
<시만텍이 제안하는 기업 모바일 기기 보안 및 관리 10계명>
  1. 모바일 기기에 저장된 데이터는 반드시 암호화한다.

모바일 기기를 분실해 SIM 카드를 도난 당하더라도 기기에 적절한 암호화 기술이 적용되어 있으면 데이터 접근이 불가능하다. 따라서 모바일 기기에 저장되어 있는 업무 관련 데이터뿐 아니라 개인 정보까지도 암호화할 필요가 있다.
 
 

  1. 스마트폰에 보안 소프트웨어를 설치한다.
스마트폰용 보안 소프트웨어는 해커의 접근을 차단하고 사이버 범죄자들이 정보를 빼내거나 공유 네트워크를 이용하고 있는 사용자들의 정보를 엿보지 못하게 차단하는 기능을 한다. 또한 스팸 메시지 제거 및 바이러스와 여러 보안 위협을 사전에 탐지하고 제거한다.
 
  1. 모든 소프트웨어를 최신 상태로 유지한다.
PC와 마찬가지로 모바일 기기에 설치된 보안 소프트웨어를 비롯한 모든 소프트웨어를 지속적으로 업데이트해 기업의 기밀 정보를 위협하는 새로운 악성코드 변종이나 바이러스로부터 모바일 기기를 보호해야 한다.
 
  1. 모바일 기기 사용을 위한 강력한 보안 정책을 수립하고 실행한다.
암호화 및 보안 소프트웨어 업데이트뿐만 아니라 전 임직원을 대상으로 비밀번호 관리 및 애플리케이션 다운로드 정책을 실행한다. 모바일 기기에 비밀번호를 설정하면 기기 분실이나 도난 시 민감한 정보의 유출 방지에 도움이 된다.
 
  1. 모르는 사람이 보낸 문자 메시지는 열어보지 않는다.
모르는 사람이 보낸 문자 메시지는 악성코드 감염이나 피싱 공격 등에 악용될 가능성이 높다. 따라서 이메일과 마찬가지로 모르는 사람이 보낸 문자 메시지는 함부로 열어보지 않도록 주의를 기울여야 한다.
 
  1. 클릭하기 전에 한번 더 생각한다.
잘 알지 못하는 사람이나 오랫동안 연락이 없었던 지인으로부터 친구 초대나 팔로어 요청을 받았을 때 무조건 수락하지 말고, 출처가 불확실하거나 모르는 사람이 보낸 이메일, 메신저 대화, 링크 등을 함부로 클릭하지 않는다. 특히 휴가와 같이 집을 비울 때 위치를 알리는 소셜 네트워킹 메시지를 포스팅하지 않는다. 또, 정기적으로 프라이버시 설정을 통해 사용자 계정과 정보를 안전하게 보호한다.
 
  1. 중요한 정보를 열어 볼 때 주변을 우선 확인한다.
비밀번호를 입력하거나 기밀정보 등 민감한 데이터를 확인할 때 주변에 다른 사람이 지켜보고 있지 않은지 반드시 확인해야 한다.
 
  1. ‘기기’가 아니라 ‘정보’ 자체를 보호해야 한다
IT부서는 모바일 기기 보호에만 역량을 집중하기 보다는 조직의 정보가 저장되는 영역을 파악하고 우선적으로 보호해야 한다.
 
  1. 기기 분실이나 도난시 대응 방안을 숙지한다.
모바일 기기의 분실이나 도난 시 어떤 행동을 취해야 하는 지 알고 있어야 한다. 기기를 정지시키고 정보가 유출되지 않도록 보호하는 방법을 사전에 마련해둘 필요가 있다.
 
  1. 모바일 관리가 핵심이다.
잘 관리된 기기가 안전한 기기임을 기억해야 한다. 기업은 네트워크에 연결된 모든 기기들이 정책을 준수하고 악성코드로부터 보호될 수 있도록 모바일 관리 솔루션을 도입해야 한다. [데일리시큐=길민권 기자]
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★