Offcanvas

디지털 디바이스 / 모바일 / 보안 / 운영체제

"안드로이드 기기 71%, 2개월 이상 보안 패치 안해"

2017.03.27 Matt Hamblen  |  Computerworld
미국 5대 통신사의 안드로이드(Android) 기기 중 약 3/4이 최소 2개월 이상된 보안 패치로 운용되고 있는 것으로 나타났다.



이는 모바일 위협 방어 업체 스카이큐어(Skycure)가 24일 내놓은 최신 보고서를 통해 확인했다. 내용을 보면 11개 미국 주요 도시 중 보스턴(Boston)에서 악성 공격을 포함한 스마트폰과 기타 무선기기 위협이 가장 많이 증가한 것으로 나타났다. 보스턴내 사고는 2016년 4/4분기에 960% 폭증했다. 이런 분석은 업체가 전 세계적으로 모니터링하는 네트워크 센서에서 얻은 수 백만 개의 측정값을 기반으로 한다.

보스턴과 달리 다른 도시의 네트워크 사고 건수는 일정하게 유지되고 있다. 샌프란시스코에서는 4/4분기에 조금 감소했다. 스카이큐어는 보스턴이 많이 증가한 이유를 밝히지 않았지만, 도시마다 증가하거나 정체기에 접어드는 등 사고율이 큰 차이를 보일 수 있다고 설명했다.

이 보고서를 보면 모바일 위협은 전반적으로 증가 추세이다. 무선 통신사가 보안 패치를 적용하는데 걸리는 기간과 사용자가 패치를 시의적절하게 설치하는지 여부 등이 이유로 꼽힌다.

스카이큐어는 안드로이드 기기의 71%가 최소 2개월 이상된 보안 패치로 운용되고 있다며 '안전하다'고 보기에는 너무 오랫동안 패치를 하지 않고 있다고 지적했다. 패치되지 않은 알려진 취약성을 가진 기기는 정보 유출에 더 취약하다. 이는 많은 보안 및 모바일 실무자와 애널리스트가 똑같이 조언하는 내용이다.

3/4이 오래된 보안 패치만 설치하고 있다는 사실은 안드로이드 기기의 절반이 지난 1년 동안 보안 업데이트를 받지 않았다는 구글의 보안 보고서와도 일맥상통한다.

많은 스마트폰 사용자가 보안 패치를 포함한 운영체제 업데이트에 소극적인 이유 중 하나는 이 과정에서 휴대폰 성능이 저하되기 때문이다. 그러나 레콘 애널리틱스(Recon Analytics)의 애널리스트 로저 엔트너는 벤자민 프랭클린의 오랜 격언을 인용해 이를 지적했다. 그는 “보안 대신에 편의를 택한 사람은 아무 것도 얻지 못한다. 보안 업데이트의 경우가 그렇다”라고 말했다.

보안 패치가 휴대폰의 성능을 떨어뜨릴 수도 있다는 것에 대해서도 반박했다. 엔트너는 “휴대폰에서 스파이웨어(Spyware)와 악성코드(Malware)가 활동하면 그것보다 성능이 더 나빠질 일은 없다”라고 말했다.

분명 많은 스마트폰 사용자가 알림을 받았을 때 장치에서 업데이트와 패치를 신속하게 허용한다. 컴퓨터월드의 블로거 JR 라파엘은 "업데이트나 패치를 하지 않는 것을 생각해 본 적이 없다. 새 안드로이드 휴대폰에서는 이 과정이 매우 원활하고 과거보다 훨씬 덜 번거롭다"라고 말했다.

아이폰 6 사용자이자 컴퓨터월드의 모기업 IDG의 CIO 겸 기술 부사장 낸시 뉴커크는 “파일 크기와 상관 없이 보이면 바로 업데이트한다. 이와 관련된 자세한 설명을 읽느냐 시간이 좀 걸리기도 하지만 어쨌든 진행한다. 가족에게도 이런 정보를 공유한다. 시간이 오래 걸리는 대규모 업데이트나 작고 쉬운 업데이트에 관해 알려주면, 그들은 내 휴대폰에 아무 이상이 없는지 1주일 동안 지켜보다가 업데이트를 한다"라고 말했다.


그러나 업데이트가 온전히 사용자의 권한인 것은 아니다. 일부는 무선 통신사가 휴대폰 업체 또는 보안 전문가로부터 확보한 패치를 테스트할 때까지 기다려야 한다. 스카이큐어의 마케팅 부사장 바룬 콜리는 “제조사, 통신사, 사용자 모두가 모바일 장치를 더 안전하게 할 수 있다. 사용자가 성능 우려 때문에 패치를 꺼리는 경우가 있지만, 패치가 있는지 모르거나 최신 패치를 지원하지 않는 휴대폰을 사용하는 경우도 많다"라고 말했다.

콜리에 따르면 스카이큐어가 확인한 보안 패치 대부분은 휴대폰의 성능에 영향을 끼칠 정도의 크기는 아니었다. 일반적으로 패치는 하나 이상의 특정 버그 또는 보안 취약점을 해결하거나 새로운 기능을 추가하지 않고 새 하드웨어 또는 구성에 대한 지원을 추가하는 운영체제의 작은 변화이다. 반면 업데이트는 추가 기능을 제공하지만 이는 '포인트 릴리즈(Point Release)'로 제공된다.

애플은 일반적으로 안드로이드와 달리 업데이트를 패치라고 부르지 않는다. 구글은 스테이지프라이트(Stagefright) 취약성이 발견된 이후 2015년 말부터 매달 안드로이드 보안 패치를 제공하고 있다. 콜리는 “각 보안 패치가 제공되는 즉시 패치할 것을 권한다. 왜냐하면 그 각각이 악의적인 공격자가 패치되지 않은 기기를 공격할 때 악용할 수 있는 새 보안 취약성을 막아주기 때문이다”라고 말했다.

스카이큐어는 2017년 1월 기준 통신업체 별로 안드로이드 휴대폰에 설치된 보안 패치 현황도 분석했다. 그 결과 최신 패치를 적용한 사람들의 비율은 매우 낮았지만, 통신사별로 비교해 보면 AT&T 사용자가 버라이존(Verizon), 스프린트(Sprint), T모바일(T-Mobile), 메트로PCS(MetroPCS) 등 다른 업체 사용자보다 최신 패치를 설치했을 가능성이 최대 10배 더 높았다. 스카이큐어는 이런 결과의 이유를 구체적으로 밝히지는 않았다.

스카이큐어는 사용자가 가능한 한 신속하게 최신 패치로 업데이트하도록 권고했다. 또한 신뢰할 수 있는 앱 스토어에서만 앱을 다운로드하고 의심되는 무료 와이파이 네트워크에 연결하지 않도록 주의해야 한다고 지적했다. 스카이큐어 역시 앱 스토어와 구글 플레이에서 스카이큐어라는 무료 위협 방어 앱을 제공한다. 기업에 대해서는 기기당 월 8달러부터 서비스 방식으로 제공한다.

뉴커크는 이런 방어책이 있더라도 휴대폰 사용자가 휴대폰을 분실 또는 도난 당하거나 장치를 잠그거나 데이터에 접근할 수 없도록 하는 공격에 대비해 비디오와 사진 같은 중요한 개인용 데이터를 백업해야 한다고 조언했다. 그는 “다들 할 것 같지만 휴대폰 사진을 백업하는 등의 기본을 지키지 않는 사용자가 놀랄만큼 많다. 모두에게 백업하라고 강조하지만 여전히 많은 사람이 이 기본을 잊고 산다"라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.