2020.02.20

기고ㅣ모바일 보안이 심각한 진짜 이유는 따로 있다

에반 슈만 | Computerworld
버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다. 

많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다. 
 
ⓒGetty Images

오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다.

이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다. 

그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다.

보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다. 

모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다. 

또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다. 

예를 들어 많은 모바일 브라우저가 웹사이트 SSL 인증서의 품질을 평가하지 못하도록 제한한다. 마찬가지로 이메일 헤더를 다 보여주지 않거나, 이메일 소스 정보에 접근조차 안 되는 이메일 앱이 많다. 

이밖에 보고서는 모바일 사용자 인터페이스(GUI)가 ‘수락, 답장, 전송, 좋아요’ 등 반응을 하기 쉽도록 설계된 점도 문제라고 덧붙였다. 즉, 모바일 디바이스의 하드웨어와 소프트웨어는 이용 가능한 정보를 제한하는 반면에, 사용자가 결정을 내리는 과정은 너무나도 쉽게 만들었다는 지적이다.

결정적으로 사람들의 모바일 디바이스 사용 습관 역시 문제라고 보고서는 언급했다. 걷거나 대화하고 운전하는 등 온갖 다른 일을 하면서 모바일 디바이스를 사용하는 습관 때문에 화면에 들어오는 정보에 차분히 집중하기가 어렵다. 이렇게 인지적 제한을 받는 상황에서 화면에 뜨는 알림을 그냥 눌러버리는 경우가 많다. 자신도 모르게 알림에 반응할 공산이 크다는 설명이다.

요컨대 모바일 디바이스로 이메일을 처리하는 경우 (기업에서 놀라울 정도로 흔한 모습이다) 데스크톱을 사용할 때보다 훨씬 공격에 취약하다. 

해커들이 이 사실을 놓쳤을 리 없다. 해커들은 어떤 운영체제의 모바일 디바이스가 피싱 공격에 걸려들기 쉬운지 이미 파악하고 있으며, 실제로도 수많은 해킹에 성공해왔다. 

어떻게 대처해야 할까? 
첫째, 이제 모든 보안 교육은 모바일을 대상으로 해야 한다. 물론 교육으로 도움이 되는 부분은 한계가 있겠지만, 그래도 일단 시작하는 것이 좋다. 

둘째, 모바일을 가정하고 모의 해킹 테스트를 만들어야 한다. 그래야 테스트가 실제 공격이었다면 어떻게 대처해야 할지 사람들이 더 빨리 인지하게 된다. 

셋째, 스마트폰 제조사이자 주요 모바일 운영체제 업체인 구글과 애플에게 버라이즌이 앞서 제기했던 2가지 우려 사항을 해결하도록 요구해야 한다. 

바로 '많은 모바일 브라우저가 웹사이트 SSL 인증서의 품질을 평가하지 못하도록 제한한다'는 것과, '이메일 헤더를 다 보여주지 않거나, 이메일 소스 정보에 접근조차 안 되는 이메일 앱이 많다'는 것이다.  

2가지 문제 모두 진작에 해결됐어야 하지만, 가장 무책임한 것은 후자다. 물론 데스크톱 컴퓨터에서도 이메일 헤더를 확인하는 사용자는 드물지만, 포춘 1,000대 기업 정도의 대기업이라면 이미 이메일 클릭 전에 헤더 확인을 의무화할 수 있도록 직원을 교육하고 있다. 

일부 해커들은 보기에 그럴듯한 가짜 도메인 이름까지 만들기도 한다. 하지만 대부분은 굳이 그렇게 하지 않는다. 그 때문에 이메일 헤더만 훑어봐도 확실한 상황 판단이 가능하다.

따라서 어떤 모바일 디바이스에서도 전체 헤더에 쉽게 접근할 수 있어야 한다. 비즈니스나 마케팅적으로도 그렇고, 보안상으로 볼 때 애플과 구글이 이 문제를 해결하지 않을 이유는 없다. 구글과 애플은 이 문제가 사용자들의 주 관심사가 될 것이며, 추후 어떤 스마트폰을 살 지에 영향을 미칠 것이라는 점을 알아야 한다. 

확연히 보이는 허점인 SSL 인증서 문제를 해결해서 나쁜 것은 없다. 그러나 더 걱정되는 사실이 있다. 해커들이 허술하게 검증하는 인증기관을 속여(심지어 별로 어렵지 않다) 적법하지 않은 도메인에 합법적인 자격 증명을 받을 수 있다는 것이다. 

물론 인증서 확인은 중요하다. (웹사이트 SSL 인증서 품질 평가를 위해 브라우저가 할 수 있는 일이 얼마나 될지는 모르겠지만, 있다면 꼭 실천하기 바란다.) 하지만 그 전에 인증기관의 검증 방법에 확실한 개선이 있었으면 한다. 

검증은 단순히 ‘본인이 맞는지 확인’하는 것이 아니다. (해커 명단을 계속 업데이트하는 것이 아니라면 이 과정에 무슨 의미가 있는지 모르겠다.) 필요한 인증서를 갖춘 도메인임을 확인하는 것도 아니다. 

이를 확인하는 것이 필요하긴 하지만, 매우 낮은 보안 수준이다. 도메인을 확인하는 것은 물론 유명 브랜드의 도메인과 유사한지도 점검해야 한다. 적어도 유명 브랜드의 도메인 소유자에게 연락해 문제가 있는지 확인하라는 것이다. 

인증서를 사용하기 편하게 만들어야 한다면, 지능적인 인증 절차를 도입하자. 그래야 인증서의 진위를 확인하기 쉬워진다. 오늘날의 방식으로는 거물급 해커라면 가짜 인증서 대신 인증기관을 속여 진짜 인증서를 발급받을 가능성이 크다. 두 가지 문제 모두 해결해야 한다. 

* 에반 슈만은 IT 분야 전문 기자이자 칼럼니스트다. ciokr@idg.co.kr



2020.02.20

기고ㅣ모바일 보안이 심각한 진짜 이유는 따로 있다

에반 슈만 | Computerworld
버라이즌의 최근 데이터 유출 조사 보고서(Data Breach Investigations Report)가 ‘모바일 그 자체가 보안 위험을 초래한다’는 주장을 내놨다. 

많은 보안 전문가들이 오랫동안 '모바일'과 '보안'이 양립되기엔 모순적인 측면이 있다고 언급해왔다. 하지만 오늘날 기업 내 모바일 디바이스 사용이 급증한다는 점에서 이러한 소극적 태도가 오히려 모순적으로 보인다. 
 
ⓒGetty Images

오늘날 지식근로자가 전체 업무 시간의 98%에서 모바일 디바이스를 사용해 일을 하고 있는 것으로 추정되고 있다. 물론 노트북도 여전히 포함돼 있다. (엄밀히 따지면 노트북도 모바일 디바이스로 간주할 수 있다.) 노트북의 큰 화면과 키보드 때문인데, 그마저도 앞으로 3년 후면 무의미해질 것으로 예측된다.

이는 곧 모바일 보안이 무엇보다 우선돼야 한다는 것을 의미한다. 지금까지는 대개 엔터프라이즈급 모바일 VPN과 백신 그리고 안전한 통신방식(ex_시그널) 등으로 모바일 보안에 대응해 왔다. 

그런데 2019 버라이즌 데이터 유출 조사 보고서가 지금까지와는 다른 주장을 제기했다. 무선 네트워크와는 별개로 모바일 그 자체가 보안 위험을 일으킨다는 것이다.

보고서에 따르면 모바일은 기술적 공격이 아닌 ‘소셜 엔지니어링 공격’에 훨씬 더 취약하다. 이를테면 SNS나 이메일을 통한 스피어 피싱, 정상적인 웹페이지를 가장한 스푸핑 공격 등이다. 

모바일이 소셜 엔지니어링 공격에 취약한 이유는 ‘디바이스 디자인’과 ‘사람들의 사용 습관’ 때문이라고 보고서는 밝혔다. 우선, 디자인을 살펴보자. 비교적 화면이 작은 모바일 디바이스는 확인할 수 있는 내용이 제한된다. 또한 여러 개의 페이지를 나란히 보기 어렵고, 왔다 갔다 해야 한다. 즉, 모바일에서는 각종 이메일과 알림의 진위를 확인하기가 번거롭다. 

또한 모바일 운영체제와 앱이 이메일이나 웹페이지가 가짜인지 확인하는 데 필요한 정보의 가용성을 제한하고 있다고 보고서는 지적했다. 

예를 들어 많은 모바일 브라우저가 웹사이트 SSL 인증서의 품질을 평가하지 못하도록 제한한다. 마찬가지로 이메일 헤더를 다 보여주지 않거나, 이메일 소스 정보에 접근조차 안 되는 이메일 앱이 많다. 

이밖에 보고서는 모바일 사용자 인터페이스(GUI)가 ‘수락, 답장, 전송, 좋아요’ 등 반응을 하기 쉽도록 설계된 점도 문제라고 덧붙였다. 즉, 모바일 디바이스의 하드웨어와 소프트웨어는 이용 가능한 정보를 제한하는 반면에, 사용자가 결정을 내리는 과정은 너무나도 쉽게 만들었다는 지적이다.

결정적으로 사람들의 모바일 디바이스 사용 습관 역시 문제라고 보고서는 언급했다. 걷거나 대화하고 운전하는 등 온갖 다른 일을 하면서 모바일 디바이스를 사용하는 습관 때문에 화면에 들어오는 정보에 차분히 집중하기가 어렵다. 이렇게 인지적 제한을 받는 상황에서 화면에 뜨는 알림을 그냥 눌러버리는 경우가 많다. 자신도 모르게 알림에 반응할 공산이 크다는 설명이다.

요컨대 모바일 디바이스로 이메일을 처리하는 경우 (기업에서 놀라울 정도로 흔한 모습이다) 데스크톱을 사용할 때보다 훨씬 공격에 취약하다. 

해커들이 이 사실을 놓쳤을 리 없다. 해커들은 어떤 운영체제의 모바일 디바이스가 피싱 공격에 걸려들기 쉬운지 이미 파악하고 있으며, 실제로도 수많은 해킹에 성공해왔다. 

어떻게 대처해야 할까? 
첫째, 이제 모든 보안 교육은 모바일을 대상으로 해야 한다. 물론 교육으로 도움이 되는 부분은 한계가 있겠지만, 그래도 일단 시작하는 것이 좋다. 

둘째, 모바일을 가정하고 모의 해킹 테스트를 만들어야 한다. 그래야 테스트가 실제 공격이었다면 어떻게 대처해야 할지 사람들이 더 빨리 인지하게 된다. 

셋째, 스마트폰 제조사이자 주요 모바일 운영체제 업체인 구글과 애플에게 버라이즌이 앞서 제기했던 2가지 우려 사항을 해결하도록 요구해야 한다. 

바로 '많은 모바일 브라우저가 웹사이트 SSL 인증서의 품질을 평가하지 못하도록 제한한다'는 것과, '이메일 헤더를 다 보여주지 않거나, 이메일 소스 정보에 접근조차 안 되는 이메일 앱이 많다'는 것이다.  

2가지 문제 모두 진작에 해결됐어야 하지만, 가장 무책임한 것은 후자다. 물론 데스크톱 컴퓨터에서도 이메일 헤더를 확인하는 사용자는 드물지만, 포춘 1,000대 기업 정도의 대기업이라면 이미 이메일 클릭 전에 헤더 확인을 의무화할 수 있도록 직원을 교육하고 있다. 

일부 해커들은 보기에 그럴듯한 가짜 도메인 이름까지 만들기도 한다. 하지만 대부분은 굳이 그렇게 하지 않는다. 그 때문에 이메일 헤더만 훑어봐도 확실한 상황 판단이 가능하다.

따라서 어떤 모바일 디바이스에서도 전체 헤더에 쉽게 접근할 수 있어야 한다. 비즈니스나 마케팅적으로도 그렇고, 보안상으로 볼 때 애플과 구글이 이 문제를 해결하지 않을 이유는 없다. 구글과 애플은 이 문제가 사용자들의 주 관심사가 될 것이며, 추후 어떤 스마트폰을 살 지에 영향을 미칠 것이라는 점을 알아야 한다. 

확연히 보이는 허점인 SSL 인증서 문제를 해결해서 나쁜 것은 없다. 그러나 더 걱정되는 사실이 있다. 해커들이 허술하게 검증하는 인증기관을 속여(심지어 별로 어렵지 않다) 적법하지 않은 도메인에 합법적인 자격 증명을 받을 수 있다는 것이다. 

물론 인증서 확인은 중요하다. (웹사이트 SSL 인증서 품질 평가를 위해 브라우저가 할 수 있는 일이 얼마나 될지는 모르겠지만, 있다면 꼭 실천하기 바란다.) 하지만 그 전에 인증기관의 검증 방법에 확실한 개선이 있었으면 한다. 

검증은 단순히 ‘본인이 맞는지 확인’하는 것이 아니다. (해커 명단을 계속 업데이트하는 것이 아니라면 이 과정에 무슨 의미가 있는지 모르겠다.) 필요한 인증서를 갖춘 도메인임을 확인하는 것도 아니다. 

이를 확인하는 것이 필요하긴 하지만, 매우 낮은 보안 수준이다. 도메인을 확인하는 것은 물론 유명 브랜드의 도메인과 유사한지도 점검해야 한다. 적어도 유명 브랜드의 도메인 소유자에게 연락해 문제가 있는지 확인하라는 것이다. 

인증서를 사용하기 편하게 만들어야 한다면, 지능적인 인증 절차를 도입하자. 그래야 인증서의 진위를 확인하기 쉬워진다. 오늘날의 방식으로는 거물급 해커라면 가짜 인증서 대신 인증기관을 속여 진짜 인증서를 발급받을 가능성이 크다. 두 가지 문제 모두 해결해야 한다. 

* 에반 슈만은 IT 분야 전문 기자이자 칼럼니스트다. ciokr@idg.co.kr

X