2011.11.30

곳곳에 구멍··· ‘2012년, 모바일 보안 지뢰밭’

Taylor Armerding | CSO
보안 연구자들에 따르면 최근 스마트폰에는 여러 취약점이 존재하고 있다. 기술의 진보와 벤더들의 노력이 2012년에 지속되겠지만, 이것들은 단지 전체의 일각에 불과하다.

모바일 기기들은 2012년과 그 이후 지배력이 더욱 높아질 것이 확실시 된다. 산업 애널리스트들은 2015년 모바일 기기의 출하대수가 PC의 출하대수를 추월하여 최대 10억 대에 이를 것으로 전망하고 있다.

이에 따른 이점도 있겠지만 동시에 커다란 위험도 도사리고 있다. 스마트폰을 통해 이메일에서부터 협업 그리고 화상 채팅에 이르는 모든 것을 처리할 수 있는 등 모바일 기기가 확대됨으로써 사용자의 편의성과 생산성이 증가할 것이라는 것은 분명한 사실이다. 스마트폰은 또한 GPS의 용도로, 바코드 스캐너로, 좋아하는 노래를 검색하고 저장하는 용도로, 고해상도 사진과 HD 비디오를 촬영하기 위해, 그리고 사회적이고 직업적인 인맥을 확대하기 위한 수단으로 사용하는 것도 가능하다.

그러나 스마트폰이 결코 안전한 도구는 아니다. 즉 스마트폰을 사용하는 사용자들과 기업들은 커다란 위험에 빠질 수도 있다. 비교적 취약한 채로 보급이 확산된다는 것은 모바일 기기가 스파이웨어에서부터 악의적인 애플리케이션의 공격 시도 대상이 되는 경우가 많아진다는 것을 의미한다.

보안 전문가들은 산업계가 그러한 위험을 이미 알고 있다고 주장한다. IBM의 IT 보안 연구 팀 엑스포스(X-Force)는 모바일 기기를 타겟으로 하는 33개의 소프트웨어 취약성이 2012년 출현할 것으로 예상했다. 그러한 수치는 얼핏 적은 것 같아 보일 수 있지만 직전 12개월 대비 2배로 증가된 것이다.

인벤시아(Invencea)의 공동 창립자 겸 최고경영자 애넙 고시는 그러한 공격 중 상당수가 브라우저를 통해 유입된다며 “맬웨어 코드 개발자들에게는 손쉬운 공격 벡터”라고 지적했다. 그리고 그는 새로운 버전의 브라우저가 출시될 때마다 좀 더 많은 보안 기능이 추가되고 있지만 “각 버전이 가지고 있는 취약성이 감소하고 있지는 않다”라고 덧붙였다.

아울러 매일 최대 7만 5,000개에 이르는 맬웨어 변종이 출현하고 있다는 것은 “방어하고 대응하는 전체 모델이 근본적으로 흔들리고 있다는 것을 의미한다”라고 고시는 지적했다.

공격 기법도 다양해지고 있다. 이메일의 첨부 문서, 원하는 기능을 제공한다고 선전하지만 결국은 개인 정보를 빼내는 서드파티 앱, 또는 단순히 서핑 도중 취약성을 이용한 감염 등등이 그것이다. 최근 발표에 따르면 60개의 페이스북 포스팅과 100개의 트윗 중 1개에 맬웨어가 포함돼 있을 정도다.

씨지털(Cigital)의 CTO이자 BSIMM(Building Security In Maturity Model)의 공동 창립자인 게리 맥그로우는 위협에 대한 인식이 중요하다며, 인식을 시작으로 모바일 기기를 위한 보안을 개선하려는 노력이 나타날 것이라고 말했다.

그는 “하지만 모바일 생태계는 매우 복잡한 분야다. 버라이즌과 AT&T 등의 이동통신사에서부터 HTC와 같은 기기 제조업체 그리고 칩 제조업체 등 모바일 기기를 제조 그리고 사용하는 사람들과 구글과 애플 등 운영 체제를 개발하는 사람들 등 매우 다른 사람들이 다른 부분을 담당하고 있다”고 지적했다.

맥그로우는 이어 “그들은 이 문제에 대해 매우 심각하게 고민하고 있지만 모바일 커머스를 위한 비즈니스 모델은 아직까지 충분히 정립되지 못하고 있다. 업계에서는 경쟁업체에 비해 앞서가려는 노력만이 이루어지고 있기 때문에 위험 관리에 대한 논의가 수행되기는 어려운 실정”이라고 지적했다.

그는 특히 확신할 수 없는 서드파티 앱과 같은 부분에서 사용자들이 취약하다는 점에 동의하며 “모바일 기기를 사용하여 가스 요금을 지불할 수 있지만, 다른 사람의 가스 요금을 지불하는데 악용될 수도 있다”고 말했다.

정보보호 컨설팅 업체 인터피더스 그룹(Intrepidus Group)의 잭 래니어는 경쟁력 확보를 위해 노력하는 과정에서 보안에 대한 우선순위가 뒤쳐질 수 있다는 것에 동의하며 개발자들은 십 년 전 PC의 시대에서 저질렀던 실수를 반복하고 있다고 지적했다. 그는 “우리는 이전에 배웠던 교훈을 잊고 있다”고 말했다.

래니어는 모바일 보안에 대해 “본질적으로 브라우저와 관련한 것은 아니다”라며, 모바일 기기가 취약하다는 것에는 동의했지만 데스크톱과 노트북에 비해 본질적으로 취약한 것은 아니라고 지적했다.

그는 단지 규모의 문제라며 “버그가 있는 상황을 가정해보자. 최신 버전의 안드로이드는 수정되었지만, 모든 사람들은 다른 버전의 안드로이드를 사용하고 있다. 그러므로 버전이 많아지면 많아질수록 취약성은 증가한다”고 말했다.

전문가들은 궁극적으로는 최종사용자들에게 많은 보안 기능이 제공되겠지만 만약 악의적인 PDF 파일에 속아 그것을 연다면, 기술만으로 그것을 막는 것은 불가능하다고 입을 모았다.

맥그로우와 래니어는 그것에 대한 대응으로 업체들이 모바일 기기 관리에 좀 더 적극적인 자세를 취해야 한다고 입을 모았다. 래니어는 여전히 “인식 부족은 사라지지 않을 것”이라고 말했고, 그에 덧붙여 맥그로우는 “기술만으로 사람 자체를 보호할 수는 없다”고 말했다. ciokr@idg.co.kr



2011.11.30

곳곳에 구멍··· ‘2012년, 모바일 보안 지뢰밭’

Taylor Armerding | CSO
보안 연구자들에 따르면 최근 스마트폰에는 여러 취약점이 존재하고 있다. 기술의 진보와 벤더들의 노력이 2012년에 지속되겠지만, 이것들은 단지 전체의 일각에 불과하다.

모바일 기기들은 2012년과 그 이후 지배력이 더욱 높아질 것이 확실시 된다. 산업 애널리스트들은 2015년 모바일 기기의 출하대수가 PC의 출하대수를 추월하여 최대 10억 대에 이를 것으로 전망하고 있다.

이에 따른 이점도 있겠지만 동시에 커다란 위험도 도사리고 있다. 스마트폰을 통해 이메일에서부터 협업 그리고 화상 채팅에 이르는 모든 것을 처리할 수 있는 등 모바일 기기가 확대됨으로써 사용자의 편의성과 생산성이 증가할 것이라는 것은 분명한 사실이다. 스마트폰은 또한 GPS의 용도로, 바코드 스캐너로, 좋아하는 노래를 검색하고 저장하는 용도로, 고해상도 사진과 HD 비디오를 촬영하기 위해, 그리고 사회적이고 직업적인 인맥을 확대하기 위한 수단으로 사용하는 것도 가능하다.

그러나 스마트폰이 결코 안전한 도구는 아니다. 즉 스마트폰을 사용하는 사용자들과 기업들은 커다란 위험에 빠질 수도 있다. 비교적 취약한 채로 보급이 확산된다는 것은 모바일 기기가 스파이웨어에서부터 악의적인 애플리케이션의 공격 시도 대상이 되는 경우가 많아진다는 것을 의미한다.

보안 전문가들은 산업계가 그러한 위험을 이미 알고 있다고 주장한다. IBM의 IT 보안 연구 팀 엑스포스(X-Force)는 모바일 기기를 타겟으로 하는 33개의 소프트웨어 취약성이 2012년 출현할 것으로 예상했다. 그러한 수치는 얼핏 적은 것 같아 보일 수 있지만 직전 12개월 대비 2배로 증가된 것이다.

인벤시아(Invencea)의 공동 창립자 겸 최고경영자 애넙 고시는 그러한 공격 중 상당수가 브라우저를 통해 유입된다며 “맬웨어 코드 개발자들에게는 손쉬운 공격 벡터”라고 지적했다. 그리고 그는 새로운 버전의 브라우저가 출시될 때마다 좀 더 많은 보안 기능이 추가되고 있지만 “각 버전이 가지고 있는 취약성이 감소하고 있지는 않다”라고 덧붙였다.

아울러 매일 최대 7만 5,000개에 이르는 맬웨어 변종이 출현하고 있다는 것은 “방어하고 대응하는 전체 모델이 근본적으로 흔들리고 있다는 것을 의미한다”라고 고시는 지적했다.

공격 기법도 다양해지고 있다. 이메일의 첨부 문서, 원하는 기능을 제공한다고 선전하지만 결국은 개인 정보를 빼내는 서드파티 앱, 또는 단순히 서핑 도중 취약성을 이용한 감염 등등이 그것이다. 최근 발표에 따르면 60개의 페이스북 포스팅과 100개의 트윗 중 1개에 맬웨어가 포함돼 있을 정도다.

씨지털(Cigital)의 CTO이자 BSIMM(Building Security In Maturity Model)의 공동 창립자인 게리 맥그로우는 위협에 대한 인식이 중요하다며, 인식을 시작으로 모바일 기기를 위한 보안을 개선하려는 노력이 나타날 것이라고 말했다.

그는 “하지만 모바일 생태계는 매우 복잡한 분야다. 버라이즌과 AT&T 등의 이동통신사에서부터 HTC와 같은 기기 제조업체 그리고 칩 제조업체 등 모바일 기기를 제조 그리고 사용하는 사람들과 구글과 애플 등 운영 체제를 개발하는 사람들 등 매우 다른 사람들이 다른 부분을 담당하고 있다”고 지적했다.

맥그로우는 이어 “그들은 이 문제에 대해 매우 심각하게 고민하고 있지만 모바일 커머스를 위한 비즈니스 모델은 아직까지 충분히 정립되지 못하고 있다. 업계에서는 경쟁업체에 비해 앞서가려는 노력만이 이루어지고 있기 때문에 위험 관리에 대한 논의가 수행되기는 어려운 실정”이라고 지적했다.

그는 특히 확신할 수 없는 서드파티 앱과 같은 부분에서 사용자들이 취약하다는 점에 동의하며 “모바일 기기를 사용하여 가스 요금을 지불할 수 있지만, 다른 사람의 가스 요금을 지불하는데 악용될 수도 있다”고 말했다.

정보보호 컨설팅 업체 인터피더스 그룹(Intrepidus Group)의 잭 래니어는 경쟁력 확보를 위해 노력하는 과정에서 보안에 대한 우선순위가 뒤쳐질 수 있다는 것에 동의하며 개발자들은 십 년 전 PC의 시대에서 저질렀던 실수를 반복하고 있다고 지적했다. 그는 “우리는 이전에 배웠던 교훈을 잊고 있다”고 말했다.

래니어는 모바일 보안에 대해 “본질적으로 브라우저와 관련한 것은 아니다”라며, 모바일 기기가 취약하다는 것에는 동의했지만 데스크톱과 노트북에 비해 본질적으로 취약한 것은 아니라고 지적했다.

그는 단지 규모의 문제라며 “버그가 있는 상황을 가정해보자. 최신 버전의 안드로이드는 수정되었지만, 모든 사람들은 다른 버전의 안드로이드를 사용하고 있다. 그러므로 버전이 많아지면 많아질수록 취약성은 증가한다”고 말했다.

전문가들은 궁극적으로는 최종사용자들에게 많은 보안 기능이 제공되겠지만 만약 악의적인 PDF 파일에 속아 그것을 연다면, 기술만으로 그것을 막는 것은 불가능하다고 입을 모았다.

맥그로우와 래니어는 그것에 대한 대응으로 업체들이 모바일 기기 관리에 좀 더 적극적인 자세를 취해야 한다고 입을 모았다. 래니어는 여전히 “인식 부족은 사라지지 않을 것”이라고 말했고, 그에 덧붙여 맥그로우는 “기술만으로 사람 자체를 보호할 수는 없다”고 말했다. ciokr@idg.co.kr

X