2011.12.22

칼럼 | "모바일 보안, PC 보안에서 배워라"

Roger Grimes | InfoWorld
일반 시민들에서부터 경제계 거물이나 영화배우, 정치인까지 모든 모바일 사용자들은 최근 전화나 음성 메일로 해킹을 당하고 있다. 대부분의 가해자들은 숙련된 해커가 아니다. 일반인이나 퇴직자, 심지어 기자들도 있다.

물론 사용자도 일부 비난 받을만한 여지가 있지만, 휴대폰 제조업체들과 모바일 통신업체들은 그 이상의 비난을 받아야 한다.

휴대폰을 공격하는 것이 특별히 새로운 것은 아니다. 역설적인 이야기이지만, 우리 스스로 해킹을 멈춰야 한다. 20년동안 PC 기반의 네트워크 세상에서 악성코드와 해커에게 당했지만, CPU와 스토리지를 새 폼 팩터로 이전하는 것처럼 이같은 모든 교훈을 무시하고 있기 때문이다. 필자만이 우리가 스마트폰 세상에서 모든 PC 기반의 악성코드 증상을 가지고 살 운명이라고 생각하는 것일까.

현재의 모든 휴대폰은 사용자에게 접속 권한을 주기 위해 암호, PIN, 잠금 패턴을 제공한다. 대부분의 사용자들은 이같은 기능을 강제하지 않으면 무시하고 있다. 그러나 이같은 보안 메커니즘은 더 나은 보호 기능을 통해 제공하지 못한다. 보안 메커니즘은 복잡성을 요구하지 않아, PIN은 4개의 숫자이고, 패턴은 가능한 쉽게 만들고 있다. 필자가 아는 대부분의 사람들은 패턴 방법을 위에서 아래까지 직선을 사용해, 마치 해커가 패턴 조합을 시도해 볼 필요도 없을 정도로 쉽게 만든다.      

필자는 사용자들이 쉽게 접속하기 위함이라고 이해한다. 무작위로 전화해 누군가에게 물으면, 9자리 숫자의 PIN을 가지고 있는 사람은 매우 적다. 많은 사용자들이 성가신 보안 기능을 없애며 아무것도 하지 않는다.

그러나 휴대폰 제조업체, 네트워크 업체, 통신업체들은 악의적인 해킹을 억제하기 위해 더 많은 노력을 해야 한다. 우선, 로그온 시도를 추적하기 위해 활성화된 전화를 임시로 잠그거나 최소한 느린 반응을 각각 추가해 악의적인 로그인을 시도하는 방법은 찾아내야한다.  필자는 표준 옵션이 되기 위해 정확한 얼굴 인식이나 지문 패턴을 기다릴 수 없었다.

휴대폰 제조업체들은 한 단계씩 발전하는 것이 필요하다. 필자는 개인적으로 휴대폰 코드가 일반 컴퓨터 코드보다 회선당 더 공격적인 벡터를 가지고 있고, 기본으로 내장된 보호 기능이 적다고 생각된다. 인기있는 휴대폰 모델은 PIN 로그온 페이지에서 속임수를 쓸 수 있다. 보통 긴급 다이얼 버튼을 눌러서, 연락처를 선택하고, 다른 키를 입력하면 된다.

언제부터인가 PC의 암호 로그온 화면을 무심코 그냥 지나치고 있다. 이외에도 다른 보안 허점도 많다. 일반적으로 휴대폰 코드는 다른 코드만큼 안전하지 못하다.   

모바일 플랫폼에 대한 악성 코드를 만드는 것은 쉬운 것으로 알려졌다. 이는 대단히 간단하다. 대부분의 휴대폰은 사용자 연락처에 접속하고 메시지를 시작할 수 있다. 일본에서 큰 문제를 일으켰던 첫 번째 휴대폰 SMS 공격인 도코모 웜을 시작으로,
이는 10년 이상 문제로 부각되고 있다. 전세계의 수많은 경고에도, 이상하게도 대부분의 휴대폰 업체들은 여전히 이같은 유형의 공격을 막지 못하고 있다. 휴대폰 플랫폼 업체들은 그들의 환경에서 모델을 공격하려 하고, 보안 코드를 실행하고, 방어를 구현하고 있다.   

그러나 통신업체들은 4자의 암호보다 더 강력해지는 암호체계로 음성메일 암호를 요구하면서 더 많은 것을 할 수 있다. 약간 긴 암호와 계정 잠금을 적용했으면, 최근의 태블로이드 해킹 중 얼마나 많은 것들을 막을 수 있었을까.

필자는 모든 업체가 잘못했다고 말하고 싶지 않지만, 일반적으로 대부분의 업체는 개선해야할 최소한 몇가지 취약한 부분을 가지고 있다. 그중 사용자의 피해를 반복되는 것을 줄이도록 노력하는 것이 가장 좋은 방법일 것이다. editor@itworld.co.kr



2011.12.22

칼럼 | "모바일 보안, PC 보안에서 배워라"

Roger Grimes | InfoWorld
일반 시민들에서부터 경제계 거물이나 영화배우, 정치인까지 모든 모바일 사용자들은 최근 전화나 음성 메일로 해킹을 당하고 있다. 대부분의 가해자들은 숙련된 해커가 아니다. 일반인이나 퇴직자, 심지어 기자들도 있다.

물론 사용자도 일부 비난 받을만한 여지가 있지만, 휴대폰 제조업체들과 모바일 통신업체들은 그 이상의 비난을 받아야 한다.

휴대폰을 공격하는 것이 특별히 새로운 것은 아니다. 역설적인 이야기이지만, 우리 스스로 해킹을 멈춰야 한다. 20년동안 PC 기반의 네트워크 세상에서 악성코드와 해커에게 당했지만, CPU와 스토리지를 새 폼 팩터로 이전하는 것처럼 이같은 모든 교훈을 무시하고 있기 때문이다. 필자만이 우리가 스마트폰 세상에서 모든 PC 기반의 악성코드 증상을 가지고 살 운명이라고 생각하는 것일까.

현재의 모든 휴대폰은 사용자에게 접속 권한을 주기 위해 암호, PIN, 잠금 패턴을 제공한다. 대부분의 사용자들은 이같은 기능을 강제하지 않으면 무시하고 있다. 그러나 이같은 보안 메커니즘은 더 나은 보호 기능을 통해 제공하지 못한다. 보안 메커니즘은 복잡성을 요구하지 않아, PIN은 4개의 숫자이고, 패턴은 가능한 쉽게 만들고 있다. 필자가 아는 대부분의 사람들은 패턴 방법을 위에서 아래까지 직선을 사용해, 마치 해커가 패턴 조합을 시도해 볼 필요도 없을 정도로 쉽게 만든다.      

필자는 사용자들이 쉽게 접속하기 위함이라고 이해한다. 무작위로 전화해 누군가에게 물으면, 9자리 숫자의 PIN을 가지고 있는 사람은 매우 적다. 많은 사용자들이 성가신 보안 기능을 없애며 아무것도 하지 않는다.

그러나 휴대폰 제조업체, 네트워크 업체, 통신업체들은 악의적인 해킹을 억제하기 위해 더 많은 노력을 해야 한다. 우선, 로그온 시도를 추적하기 위해 활성화된 전화를 임시로 잠그거나 최소한 느린 반응을 각각 추가해 악의적인 로그인을 시도하는 방법은 찾아내야한다.  필자는 표준 옵션이 되기 위해 정확한 얼굴 인식이나 지문 패턴을 기다릴 수 없었다.

휴대폰 제조업체들은 한 단계씩 발전하는 것이 필요하다. 필자는 개인적으로 휴대폰 코드가 일반 컴퓨터 코드보다 회선당 더 공격적인 벡터를 가지고 있고, 기본으로 내장된 보호 기능이 적다고 생각된다. 인기있는 휴대폰 모델은 PIN 로그온 페이지에서 속임수를 쓸 수 있다. 보통 긴급 다이얼 버튼을 눌러서, 연락처를 선택하고, 다른 키를 입력하면 된다.

언제부터인가 PC의 암호 로그온 화면을 무심코 그냥 지나치고 있다. 이외에도 다른 보안 허점도 많다. 일반적으로 휴대폰 코드는 다른 코드만큼 안전하지 못하다.   

모바일 플랫폼에 대한 악성 코드를 만드는 것은 쉬운 것으로 알려졌다. 이는 대단히 간단하다. 대부분의 휴대폰은 사용자 연락처에 접속하고 메시지를 시작할 수 있다. 일본에서 큰 문제를 일으켰던 첫 번째 휴대폰 SMS 공격인 도코모 웜을 시작으로,
이는 10년 이상 문제로 부각되고 있다. 전세계의 수많은 경고에도, 이상하게도 대부분의 휴대폰 업체들은 여전히 이같은 유형의 공격을 막지 못하고 있다. 휴대폰 플랫폼 업체들은 그들의 환경에서 모델을 공격하려 하고, 보안 코드를 실행하고, 방어를 구현하고 있다.   

그러나 통신업체들은 4자의 암호보다 더 강력해지는 암호체계로 음성메일 암호를 요구하면서 더 많은 것을 할 수 있다. 약간 긴 암호와 계정 잠금을 적용했으면, 최근의 태블로이드 해킹 중 얼마나 많은 것들을 막을 수 있었을까.

필자는 모든 업체가 잘못했다고 말하고 싶지 않지만, 일반적으로 대부분의 업체는 개선해야할 최소한 몇가지 취약한 부분을 가지고 있다. 그중 사용자의 피해를 반복되는 것을 줄이도록 노력하는 것이 가장 좋은 방법일 것이다. editor@itworld.co.kr

X