2012.09.24

모바일 보안 취약 유형 ‘그리고 대처법’

Michael Cooney | Network World

“보안과 관련해, 대부분의 모바일 기기는 잠재적 공격 대상인 처지다.”

GAO(Government Accountability Office)가 지난 주 발간한 모바일 보안 보고서의 결론이다. GAO 보고서는 모든 모바일 플랫폼에 공통된 모바일 취약성과 이런 취약성을 고칠 수 있는 여러 방법을 소개하고 있다. 다음은 보고서 발췌 내용이다.

• 비밀번호가 설정되지 않은 모바일 기기가 많다. 사용자를 인증하고, 기기에 저장된 데이터에 대한 접속을 관리하는 비밀번호가 취약한 경우가 많다. 많은 기기들이 비밀번호, PIN(Personal Identification Numbers), 패턴 화면 잠금 기술들을 제공하고 있다. 일부 기기에는 지문을 확인해 인증을 하는 생체 측정 리더를 보유하고 있기도 하다.

그러나 관련 조사 보고서에 따르면 이런 기능들을 사용하지 않는 사용자들이 많고, 비밀번호나 PIN을 사용하고 있는 경우에도 1234나 0000 같이 쉽게 파악할 수 있는 번호를 사용하는 경우도 다반사였다. 비밀번호나 PIN을 이용해 기기를 잠그지 않으면, 인가되지 않은 사용자가 전화기의 중요한 정보에 접근해 이를 잃어버리거나 도난 당할 수 있다.

• 모바일 기기를 이용해 중요한 거래를 하면서 이중 인증을 사용하지 않는 때가 있다. 연구에 따르면, 소비자들은 모바일 기기를 이용해 중요한 온라인 거래를 할 때 이중 인증 대신 고정 비밀번호를 사용한다. 이런 고정 비밀번호는 보안 측면에서 단점이 있다. 비밀번호를 추측하기 쉽고, 잃어버리기 쉽다. 또 도난이나 도청을 당할 가능성도 있다.

이중 인증은 일반적으로 전통적인 비밀번호와 PIN에 비해 더 높은 보안 수준을 제공한다. 이는 중요한 거래에 아주 중요하다. 이중 인증이란 사용자가 알고 있거나, 보유하고 있는 것, 또는 본인과 관련된 것 등 2가지 다른 요소를 이용해 인증을 하는 인증 시스템을 의미한다. 일부 이중 인증에서는 모바일 기기를 2번째 인증 요소로 사용하도록 되어 있다. 모바일 기기를 이용해 패스코드를 생성하거나, 이 코드를 문자 메시지를 통해 휴대폰으로 전송한다. 이중 인증을 사용하지 않는다면, 권한이 없는 사용자가 중요한 정보에 접근을 하거나 모바일 기기를 악용하는 위험이 높아진다.

• 무선 전송을 암호화 하지 않는 경우가 있다. 모바일 기기에서 발송한 이메일은 암호화 되어 있지 않는 경우가 대부분이다. 또 많은 애플리케이션들이 네트워크를 통해 수신 또는 송신하는 데이터를 암호화하지 않아 쉽게 가로채기를 당할 확률이 있다.

예를 들어, (보안 http가 아닌) http를 이용하는 암호화 되지 않은 WiFi를 통해 데이터를 전송하면, 이를 쉽게 가로채기 할 수 있다. 그리고 무선 전송을 암호화 하지 않을 때 쉽게 데이터를 가로채기 할 수 있다.

• 모바일 기기에 맬웨어가 있을 수 있다. 소비자들이 맬웨어가 들어있는 애플리케이션을 다운로드 할 수도 있다. 또 게임이나 보안 패치, 유틸리티, 기타 겉으로는 유용한 애플리케이션으로 가장한 맬웨어를 다운로드 받기도 한다. 사용자가 적법한 애플리케이션과 맬웨어가 포함된 애플리케이션을 구별하기란 쉽지 않기 때문이다.

예를 들어, 애플리케이션에 맬웨어를 덧씌울 수 있고, 소비자는 이를 알지 못한 상태에서 모바일 기기에 애플리케이션을 다운로드 받는다. 그러면 데이터를 쉽게 가로챌 수 있다. 무선 전송을 암호화 하지 않으면, 도청을 통해 데이터를 가로챌 수 있고 권한이 없는 사용자가 중요한 정보에 접근을 할 수 있게 된다.

• 보안 소프트웨어를 사용하지 않는 모바일 기기가 많다. 악성 애플리케이션, 스파이웨어, 맬웨어 기반 공격을 방어하는 보안 소프트웨어를 기본 탑재하지 않은 모바일 기기가 많다. 또 사용자 역시 보안 소프트웨어를 설치하지 않는다.  보안 소프트웨어들이 동작을 느리게 하고 배터리 수명을 잡아먹긴 하지만, 이런 소프트웨어가 없으면 위험 또한 증가한다. 해커들이 바이러스, 트로이의 목마, 스파이웨어, 스팸 같은 맬웨어를 배포해 비밀번호나 기밀 정보를 드러내도록 하는 것이다.

• 운영 시스템이 시대에 뒤떨어져 있을 수 있다. 모바일 기기 운영 시스템의의 보안 패치나 픽스가 제때 설치되지 않는 경우가 종종 있다. 소비자 기기에 보안 업데이트를 제공하는데 몇 주 또는 몇 달이 걸리기도 한다. 취약성 특징에 따라 패치 절차가 복잡하거나, 여러 회사가 관여해야 할 수도 있다.

예를 들어, 구글은 안드로이드 OS의 보안 취약성을 없애는 업데이트를 개발해 제공한다. 그러나 특정 기기에 맞춰 이런 취약성 픽스를 포함한 업데이트를 만드는 것은 기기 제조업체의 몫이다. 따라서 기기 소프트웨어를 수정할 때까지 시간이 걸리기도 한다. 제조업체가 업데이트를 개발해도 소비자의 기기에 이를 전송하는 것은 각 통신 사업자가 결정한다. 그러나 통신 사업자들이 업데이트 제공을 늦출 수도 있다. 이 업데이트가 기기의 다른 기술적 부분이나 설치된 소프트웨어를 간섭하는지 테스트하는데 시간이 필요하기 때문이다.




2012.09.24

모바일 보안 취약 유형 ‘그리고 대처법’

Michael Cooney | Network World

“보안과 관련해, 대부분의 모바일 기기는 잠재적 공격 대상인 처지다.”

GAO(Government Accountability Office)가 지난 주 발간한 모바일 보안 보고서의 결론이다. GAO 보고서는 모든 모바일 플랫폼에 공통된 모바일 취약성과 이런 취약성을 고칠 수 있는 여러 방법을 소개하고 있다. 다음은 보고서 발췌 내용이다.

• 비밀번호가 설정되지 않은 모바일 기기가 많다. 사용자를 인증하고, 기기에 저장된 데이터에 대한 접속을 관리하는 비밀번호가 취약한 경우가 많다. 많은 기기들이 비밀번호, PIN(Personal Identification Numbers), 패턴 화면 잠금 기술들을 제공하고 있다. 일부 기기에는 지문을 확인해 인증을 하는 생체 측정 리더를 보유하고 있기도 하다.

그러나 관련 조사 보고서에 따르면 이런 기능들을 사용하지 않는 사용자들이 많고, 비밀번호나 PIN을 사용하고 있는 경우에도 1234나 0000 같이 쉽게 파악할 수 있는 번호를 사용하는 경우도 다반사였다. 비밀번호나 PIN을 이용해 기기를 잠그지 않으면, 인가되지 않은 사용자가 전화기의 중요한 정보에 접근해 이를 잃어버리거나 도난 당할 수 있다.

• 모바일 기기를 이용해 중요한 거래를 하면서 이중 인증을 사용하지 않는 때가 있다. 연구에 따르면, 소비자들은 모바일 기기를 이용해 중요한 온라인 거래를 할 때 이중 인증 대신 고정 비밀번호를 사용한다. 이런 고정 비밀번호는 보안 측면에서 단점이 있다. 비밀번호를 추측하기 쉽고, 잃어버리기 쉽다. 또 도난이나 도청을 당할 가능성도 있다.

이중 인증은 일반적으로 전통적인 비밀번호와 PIN에 비해 더 높은 보안 수준을 제공한다. 이는 중요한 거래에 아주 중요하다. 이중 인증이란 사용자가 알고 있거나, 보유하고 있는 것, 또는 본인과 관련된 것 등 2가지 다른 요소를 이용해 인증을 하는 인증 시스템을 의미한다. 일부 이중 인증에서는 모바일 기기를 2번째 인증 요소로 사용하도록 되어 있다. 모바일 기기를 이용해 패스코드를 생성하거나, 이 코드를 문자 메시지를 통해 휴대폰으로 전송한다. 이중 인증을 사용하지 않는다면, 권한이 없는 사용자가 중요한 정보에 접근을 하거나 모바일 기기를 악용하는 위험이 높아진다.

• 무선 전송을 암호화 하지 않는 경우가 있다. 모바일 기기에서 발송한 이메일은 암호화 되어 있지 않는 경우가 대부분이다. 또 많은 애플리케이션들이 네트워크를 통해 수신 또는 송신하는 데이터를 암호화하지 않아 쉽게 가로채기를 당할 확률이 있다.

예를 들어, (보안 http가 아닌) http를 이용하는 암호화 되지 않은 WiFi를 통해 데이터를 전송하면, 이를 쉽게 가로채기 할 수 있다. 그리고 무선 전송을 암호화 하지 않을 때 쉽게 데이터를 가로채기 할 수 있다.

• 모바일 기기에 맬웨어가 있을 수 있다. 소비자들이 맬웨어가 들어있는 애플리케이션을 다운로드 할 수도 있다. 또 게임이나 보안 패치, 유틸리티, 기타 겉으로는 유용한 애플리케이션으로 가장한 맬웨어를 다운로드 받기도 한다. 사용자가 적법한 애플리케이션과 맬웨어가 포함된 애플리케이션을 구별하기란 쉽지 않기 때문이다.

예를 들어, 애플리케이션에 맬웨어를 덧씌울 수 있고, 소비자는 이를 알지 못한 상태에서 모바일 기기에 애플리케이션을 다운로드 받는다. 그러면 데이터를 쉽게 가로챌 수 있다. 무선 전송을 암호화 하지 않으면, 도청을 통해 데이터를 가로챌 수 있고 권한이 없는 사용자가 중요한 정보에 접근을 할 수 있게 된다.

• 보안 소프트웨어를 사용하지 않는 모바일 기기가 많다. 악성 애플리케이션, 스파이웨어, 맬웨어 기반 공격을 방어하는 보안 소프트웨어를 기본 탑재하지 않은 모바일 기기가 많다. 또 사용자 역시 보안 소프트웨어를 설치하지 않는다.  보안 소프트웨어들이 동작을 느리게 하고 배터리 수명을 잡아먹긴 하지만, 이런 소프트웨어가 없으면 위험 또한 증가한다. 해커들이 바이러스, 트로이의 목마, 스파이웨어, 스팸 같은 맬웨어를 배포해 비밀번호나 기밀 정보를 드러내도록 하는 것이다.

• 운영 시스템이 시대에 뒤떨어져 있을 수 있다. 모바일 기기 운영 시스템의의 보안 패치나 픽스가 제때 설치되지 않는 경우가 종종 있다. 소비자 기기에 보안 업데이트를 제공하는데 몇 주 또는 몇 달이 걸리기도 한다. 취약성 특징에 따라 패치 절차가 복잡하거나, 여러 회사가 관여해야 할 수도 있다.

예를 들어, 구글은 안드로이드 OS의 보안 취약성을 없애는 업데이트를 개발해 제공한다. 그러나 특정 기기에 맞춰 이런 취약성 픽스를 포함한 업데이트를 만드는 것은 기기 제조업체의 몫이다. 따라서 기기 소프트웨어를 수정할 때까지 시간이 걸리기도 한다. 제조업체가 업데이트를 개발해도 소비자의 기기에 이를 전송하는 것은 각 통신 사업자가 결정한다. 그러나 통신 사업자들이 업데이트 제공을 늦출 수도 있다. 이 업데이트가 기기의 다른 기술적 부분이나 설치된 소프트웨어를 간섭하는지 테스트하는데 시간이 필요하기 때문이다.


X