2019.02.21

블로그 | '편리와 보안 사이의 선택'··· 애플의 결정은 실수였다

Evan Schuman |
애플이 보안보다 편의성을 선택했다. 해적판 또는 성인물 애플리케이션 배포 도구로 활용되고 있는 엔터프라이즈 개발자 인증 프로그램에 대한 이야기다. 

기업에서 내부 직원용 앱을 개발하고 이를 아이튠즈에서 이용할 수 있도록 지원하기 위해 애플이 엔터프라이즈 개발자 인증서 프로그램을 출시했다. 이때, 애플은 꽤 어려운 '편의성 vs. 보안' 결정을 내려야 했다. IT 관리자이 내부 앱을 포스팅하도록 유인하려면 어떻게 해야할까? 애플은 편의성을 선택했다. 그리고 그 결과는 익히 짐작할 수 있는 것이다. 

여러 보도에 따르면 해적 개발자들은 스포티파이, 앵그리버드, 포케몬 고, 마인크래프트 등의 인기 앱을 음성적으로 배포하는데 기업용 프로그램을 활용하고 있다. 또 성인용 앱과 도박 앱을 배포하기 위해 이 플랫폼을 이용한 개발자들도 있었다. 이들이 애플 기업용 플랫폼을 이용하기 위해 필요한 작업은 그저 애플 측에 합법적인 사업을 하고 있다고 거짓말하는 것이었다. 애플은 효력 있는 조사나 검증 작업을 진행하지 않았다. 

애플이 취할 수 있는 방법은 2가지다. 엔터프라이즈 인증 프로그램의 문턱을 높이거나 검증에 충분한 자원을 투입하는 것이다. 오랜 기간 애플을 관찰해온 이들은 애플이 어느 경로를 선택할지 짐작하고 있다. (힌트 : 엔터프라이즈 프로그램은 기업들이 iOS 기기를 쉽게 활용할 수 있도록 돕는데 목적이 있다. 직접적인 매출을 창출하지 않는다.) 별도의 인력을 할당하는 접근법은 애플이 아이폰 판매 목표를 달성하기 위해 구군분투하는 상황에서 가능성이 높지 않다. 

무슨 일이 있었는지 좀더 자세히 살펴보면 다음과 같다. 먼저 소프트웨어 해적 행위에 대한 로이터의 보도가 있었다. 보도에 따르면 음악 스트리밍에서 광고가 제거되거나 유료 게임이 무료화되는 등 인기 애플리케이션이 크랙되어 소비자들에게 제공된다. 이로 인해 합법적인 앱 제조사와 애플이 수익을 얻지 못하게 된다는 내용이었다. 그리고 애플은 이달 말까지 모든 개발자 계정에 대해 전화로 전송되는 코드를 사용하여 이중 인증 방식을 요구할 것이라고 이 미디어는 덧붙였다. 

애플의 2FA 접근에 대해 2가지 생각이 빠르게 떠올랐다. 먼저 코드를 문자로 보내는 행위는 중간자 공격을 감안해야 하는데, 이러한 해적들은 이러한 행위에 능숙하다. 훨씬 더 안전한 2FA 옵션들이 있다.

두번째, 해당 조치는 수신자가 계정을 만든 인물인지 확인하는 것일 뿐이다. 진정한 문제를 해결하는 접근이 아니다. 진짜 문제는 사기적 애플리케이션이다. 

성인물 앱 및 도박 앱에 대한 이야기는 테크크런치가 제시했다. 이 미디어는 애플의 편리한 접근 방식을 고려할 때 이러한 사기가 얼마나 쉬운지에 대해 기술하고 있다.
h
"개발자는 온라인 양식을 작성하고 애플에 299달러를 지불한다. 해당 양식에서 개발자는 내부 직원용으로만 사용할 수 있는 엔터프라이즈 인증 애플리케이션을 개발하겠다고 서약하기만 하면 된다."

애플이 1주~4주 사이의 기간에 전화를 통해 내부적으로만 애플리케이션을 배포한다는 점과 기업을 대표할 권한이 있다는 점을 확인하기는 한다. 그러나 전화와 웹을 통해 약간의 거짓 정보를 흘리고 구글의 공개 정보를 추가하면 어느 개발자라도 애플 엔터프라이즈 인증서를 받을 수 있다고 테크크런치는 지적했다. 

즉 애플은 보안 프로세서를 편리하게 만들었고 이는 부작용을 낳았다. 솔직히 말하자면 애플은 범죄자들에게 쉬운 길을 열어주는 한편 합법적인 IT 관리자들에게는 번거로움을 강요했다. 

애플이 이미 전화로 검증작업을 하고 있다는 점을 감안할 때 개발자가 제줄한 D-U-N-S 번호가 실제 활용되고 있는 것인지 해당 기업에게 확인하지 않을 이유는 무엇일까? 애플은 연락 담당자를 요청한 다음 모든 정보가 정확하고 합법적인지 확인할 수 있을 것이다. 연락 담당자와 연결되지 않는다면 승인을 지연시키거나 거부하는 것이 마땅하다. 

물론 전화에 응답하는 직원은 임시직일 가능성이 높으며 결과적으로 애플이 인증에 소비해야 할 자원을 늘릴 수 있다. 그러나 애플이 진정으로 검증하길 원한다면 이를 시행해야 한다. 온라인에 수많은 정보를 기입하고 그저 한 달 동안 전화를 기다리게 하는 것은 요식적인 검증 행위일 뿐이다. ciokr@idg.co.kr



2019.02.21

블로그 | '편리와 보안 사이의 선택'··· 애플의 결정은 실수였다

Evan Schuman |
애플이 보안보다 편의성을 선택했다. 해적판 또는 성인물 애플리케이션 배포 도구로 활용되고 있는 엔터프라이즈 개발자 인증 프로그램에 대한 이야기다. 

기업에서 내부 직원용 앱을 개발하고 이를 아이튠즈에서 이용할 수 있도록 지원하기 위해 애플이 엔터프라이즈 개발자 인증서 프로그램을 출시했다. 이때, 애플은 꽤 어려운 '편의성 vs. 보안' 결정을 내려야 했다. IT 관리자이 내부 앱을 포스팅하도록 유인하려면 어떻게 해야할까? 애플은 편의성을 선택했다. 그리고 그 결과는 익히 짐작할 수 있는 것이다. 

여러 보도에 따르면 해적 개발자들은 스포티파이, 앵그리버드, 포케몬 고, 마인크래프트 등의 인기 앱을 음성적으로 배포하는데 기업용 프로그램을 활용하고 있다. 또 성인용 앱과 도박 앱을 배포하기 위해 이 플랫폼을 이용한 개발자들도 있었다. 이들이 애플 기업용 플랫폼을 이용하기 위해 필요한 작업은 그저 애플 측에 합법적인 사업을 하고 있다고 거짓말하는 것이었다. 애플은 효력 있는 조사나 검증 작업을 진행하지 않았다. 

애플이 취할 수 있는 방법은 2가지다. 엔터프라이즈 인증 프로그램의 문턱을 높이거나 검증에 충분한 자원을 투입하는 것이다. 오랜 기간 애플을 관찰해온 이들은 애플이 어느 경로를 선택할지 짐작하고 있다. (힌트 : 엔터프라이즈 프로그램은 기업들이 iOS 기기를 쉽게 활용할 수 있도록 돕는데 목적이 있다. 직접적인 매출을 창출하지 않는다.) 별도의 인력을 할당하는 접근법은 애플이 아이폰 판매 목표를 달성하기 위해 구군분투하는 상황에서 가능성이 높지 않다. 

무슨 일이 있었는지 좀더 자세히 살펴보면 다음과 같다. 먼저 소프트웨어 해적 행위에 대한 로이터의 보도가 있었다. 보도에 따르면 음악 스트리밍에서 광고가 제거되거나 유료 게임이 무료화되는 등 인기 애플리케이션이 크랙되어 소비자들에게 제공된다. 이로 인해 합법적인 앱 제조사와 애플이 수익을 얻지 못하게 된다는 내용이었다. 그리고 애플은 이달 말까지 모든 개발자 계정에 대해 전화로 전송되는 코드를 사용하여 이중 인증 방식을 요구할 것이라고 이 미디어는 덧붙였다. 

애플의 2FA 접근에 대해 2가지 생각이 빠르게 떠올랐다. 먼저 코드를 문자로 보내는 행위는 중간자 공격을 감안해야 하는데, 이러한 해적들은 이러한 행위에 능숙하다. 훨씬 더 안전한 2FA 옵션들이 있다.

두번째, 해당 조치는 수신자가 계정을 만든 인물인지 확인하는 것일 뿐이다. 진정한 문제를 해결하는 접근이 아니다. 진짜 문제는 사기적 애플리케이션이다. 

성인물 앱 및 도박 앱에 대한 이야기는 테크크런치가 제시했다. 이 미디어는 애플의 편리한 접근 방식을 고려할 때 이러한 사기가 얼마나 쉬운지에 대해 기술하고 있다.
h
"개발자는 온라인 양식을 작성하고 애플에 299달러를 지불한다. 해당 양식에서 개발자는 내부 직원용으로만 사용할 수 있는 엔터프라이즈 인증 애플리케이션을 개발하겠다고 서약하기만 하면 된다."

애플이 1주~4주 사이의 기간에 전화를 통해 내부적으로만 애플리케이션을 배포한다는 점과 기업을 대표할 권한이 있다는 점을 확인하기는 한다. 그러나 전화와 웹을 통해 약간의 거짓 정보를 흘리고 구글의 공개 정보를 추가하면 어느 개발자라도 애플 엔터프라이즈 인증서를 받을 수 있다고 테크크런치는 지적했다. 

즉 애플은 보안 프로세서를 편리하게 만들었고 이는 부작용을 낳았다. 솔직히 말하자면 애플은 범죄자들에게 쉬운 길을 열어주는 한편 합법적인 IT 관리자들에게는 번거로움을 강요했다. 

애플이 이미 전화로 검증작업을 하고 있다는 점을 감안할 때 개발자가 제줄한 D-U-N-S 번호가 실제 활용되고 있는 것인지 해당 기업에게 확인하지 않을 이유는 무엇일까? 애플은 연락 담당자를 요청한 다음 모든 정보가 정확하고 합법적인지 확인할 수 있을 것이다. 연락 담당자와 연결되지 않는다면 승인을 지연시키거나 거부하는 것이 마땅하다. 

물론 전화에 응답하는 직원은 임시직일 가능성이 높으며 결과적으로 애플이 인증에 소비해야 할 자원을 늘릴 수 있다. 그러나 애플이 진정으로 검증하길 원한다면 이를 시행해야 한다. 온라인에 수많은 정보를 기입하고 그저 한 달 동안 전화를 기다리게 하는 것은 요식적인 검증 행위일 뿐이다. ciokr@idg.co.kr

X