2016.09.08

'1대에 1400만원' 초고가 스마트폰으로 본 모바일 보안의 미래

John Brandon | CSO
모바일 보안은 어떤 의미에서 실체가 불분명하다. 감염된 악성코드와 바이러스를 실제 격리했는지 알 수 있는 사람이 극소수에 불과하기 때문이다.


Image Credit: Sirin Labs

버라이즌(Verizon)과 스프린트(Sprint) 같은 이동통신 업체는 정기적으로 보안 위협을 점검한다. 구글 안드로이드와 애플 아이폰에도 지문 인식 스캐너와 100% 암호화 등 여러 보안 기술이 장착돼 있다.

그러나 모바일 보안에 대한 우려가 여전히 높다. HP가 발표한 보고서를 보면, 현재 원격으로 업무를 처리하는 미국 직장인 비율이 67%에 달한다. 우리는 점점 더 많이 스마트폰에 의지하고 있다. 스마트폰을 이용해 쇼핑을 하고 중요한 기밀 업무 문서를 스마트폰에 저장한다.

최근 페가수스(Pegasus)라는 악성코드 클라이언트가 등장했다. 문자 메시지를 이용해 앱을 설치하도록 만드는데, 피싱 사기의 피해자에게는 아주 친숙한 '뻔한' 공격 기법이다. 시만텍(Symantec)의 보고서를 보면, 이후 스마트폰을 '탈옥'시켜 데이터를 탈취할 수 있는 클라이언트를 설치한다.

이런 문제에 대응할 수 있는 방법은 무엇일까? 여러 가지가 있겠지만 영국과 이스라엘에서 활동하는 시린 랩스(Sirin Labs)의 솔라린(Solarin) 스마트폰이 한 가지 대안이다. 이 스마트폰 가격은 9,500 파운드(1만 2,500달러)이다. 5.5인치 크기의 이 스마트폰에 도입된 기능과 특징은 모바일 보안과 모바일 해킹의 미래를 보여준다.

악당을 저지
가장 흥미로운 기능은 뒤에 달린 스위치이다. 스위치를 켜면 모든 텍스트 메시지를 암호화하는 암호 모드로 전환한다. 앱을 모니터하다가 문제가 발생했을 때 알려주는 '컨시어지' 서비스도 있다. 칩투칩(Chip-to-chip) 256비트 AES 암호화를 사용하며 보안 모드에서는 GPS 칩과 블루투스, 와이파이 등 모든 센서가 꺼진다.

또 다른 기능은 솔라린 사용자와 통화를 하는 상대방과 관련이 있다. 다른 사람에게 문자 메시지를 보내거나 전화를 하려면 안드로이드와 iOS용 앱인 시큐어 컴(Secure Comm)을 이용해야 한다.

이 고가의 솔라린에 구현된 보안 기능은 현재와 미래에 발생할 수 있는 침입자를 차단하는 데 어떤 툴과 투자가 필요한지 말해준다. 블랙베리(BlackBerry)의 시큐리티 디렉터 알렉스 마네아는 CSO와의 인터뷰에서 스마트폰 보안을 무시하는 것은 현관문을 활짝 열어 놓고 외출을 하는 것과 마찬가지라고 지적했다.

실제로 우리는 각종 파일과 연락처 정보, 은행 관련 기록 등 거의 모든 중요한 정보를 모바일 기기에서 이용한다. 마네아는 "휴대폰이 발전하면서 취약점이 변했고 기기와 서비스 보안 필요성이 다시 한 번 '뜨거운 주제'가 됐다"라고 말했다. 모바일 상거래 플랫폼인 브랜딩 브랜드(Branding Brand)의 정보 보안 디렉터 알렉스 클린도 여기에 동의했다. 그는 "지금이야 말로 보안 문제를 극복해야 할 때이다. 데이터 침해 사고가 발생하기 전에 잠재적인 공격에 대처할 필요성이 커졌다"라고 말했다.

클린은 "스마트폰은 사용자의 일부, 일상 생활의 일부로 자리잡았다. 집에 보안 시스템을 설치하는 것처럼 모바일 장치에도 공격을 막을 기능을 도입해야 한다. 특히 민감한 비밀 정보, 가치가 큰 정보에 액세스 하는 사람은 데이터가 노출 됐을 때 직면하는 위험이 더 크다. 이들은 보안과 프라이버시에 있어 더 높은 기준을 충족하는 스마트폰이 필요하다"라고 말했다.


고가 스마트폰?
솔라린 같은 스마트폰은 해커를 막는 기능을 제공하지만 이런 제품이 모든 사람을 위한 완벽한 솔루션인 것은 아니다. 먼저 클린은 지문 인식 장치에 부정적인 시각을 갖고 있다. 생체 인식과 액세스 기술의 비효과성이 이미 입증됐다고 주장한다. 

짐페리움(Zimperium)과 쿨스팬(KoolSpan) 등 솔라린이 사용하는 써드 파티 보안 플랫폼도 마찬가지다. 클린은 이 또한 일부 사람에게는 도움이 되지 않는다고 말했다. 스냅드래곤810 프로세서의 경우 발열을 둘러싼 논란이 있다. 스마트폰이 지나치게 과열되면 보안 기능이 오작동하고 데이터가 손상될 수 있다.

현재 시장에는 다양한 보안 제품이 나와 있다. 예를 들어, 여러 삼성 스마트폰에는 녹스(KNOX) 암호화 플랫폼이 도입돼 있다. 그러나 이 분야의 리더는 여전히 블랙베리이다. 블랙베리 PRIV 스마트폰에는 기기의 보안 점수를 평가해 액세스 포인트 관리를 지원하는 'DTEK'이라는 앱이 설치돼 있다. 블랙베리 서티컴(Certicom) 암호 라이브러리는 무차별 암호 대입 공격을 막아준다. 이 제품의 가격은 550달러(언락폰)이다.

미래의 기기 및 장치
다양한 제품이 있음에도 불구하고 한 가지는 분명하다. 모바일 보안이 조만간 크게 바뀔 것이라는 점이다. 솔라린이 이용자간 통화에 보안 앱을 이용하도록 한 것은 이런 종류의 접근법이 필요한 사용자군이 실제 존재한다는 점을 말해준다.

보안 뉴스 사이트인 패러락스(The Parallax)의 편집자 세스 로젠블라트는 "경영진은 스위치를 켜면 보안 기능이 실현되는 스마트폰을 선호한다. 새로운 수 많은 기능을 배울 필요가 없기 때문이다"라고 말했다.

반면 그는 이런 휴대폰이 더 보급된다고 해도 여전히 중요한 것은 기본적인 것이다. 그는 "지금은 물론 앞으로도 보안 전문가가 강조하는 '보안 방침'을 지키는 것이 좋다. 첨부 파일이나 모르는 사람이 보낸 텍스트를 열어보지 않는 것이 대표적이다"라고 말했다. ciokr@idg.co.kr



2016.09.08

'1대에 1400만원' 초고가 스마트폰으로 본 모바일 보안의 미래

John Brandon | CSO
모바일 보안은 어떤 의미에서 실체가 불분명하다. 감염된 악성코드와 바이러스를 실제 격리했는지 알 수 있는 사람이 극소수에 불과하기 때문이다.


Image Credit: Sirin Labs

버라이즌(Verizon)과 스프린트(Sprint) 같은 이동통신 업체는 정기적으로 보안 위협을 점검한다. 구글 안드로이드와 애플 아이폰에도 지문 인식 스캐너와 100% 암호화 등 여러 보안 기술이 장착돼 있다.

그러나 모바일 보안에 대한 우려가 여전히 높다. HP가 발표한 보고서를 보면, 현재 원격으로 업무를 처리하는 미국 직장인 비율이 67%에 달한다. 우리는 점점 더 많이 스마트폰에 의지하고 있다. 스마트폰을 이용해 쇼핑을 하고 중요한 기밀 업무 문서를 스마트폰에 저장한다.

최근 페가수스(Pegasus)라는 악성코드 클라이언트가 등장했다. 문자 메시지를 이용해 앱을 설치하도록 만드는데, 피싱 사기의 피해자에게는 아주 친숙한 '뻔한' 공격 기법이다. 시만텍(Symantec)의 보고서를 보면, 이후 스마트폰을 '탈옥'시켜 데이터를 탈취할 수 있는 클라이언트를 설치한다.

이런 문제에 대응할 수 있는 방법은 무엇일까? 여러 가지가 있겠지만 영국과 이스라엘에서 활동하는 시린 랩스(Sirin Labs)의 솔라린(Solarin) 스마트폰이 한 가지 대안이다. 이 스마트폰 가격은 9,500 파운드(1만 2,500달러)이다. 5.5인치 크기의 이 스마트폰에 도입된 기능과 특징은 모바일 보안과 모바일 해킹의 미래를 보여준다.

악당을 저지
가장 흥미로운 기능은 뒤에 달린 스위치이다. 스위치를 켜면 모든 텍스트 메시지를 암호화하는 암호 모드로 전환한다. 앱을 모니터하다가 문제가 발생했을 때 알려주는 '컨시어지' 서비스도 있다. 칩투칩(Chip-to-chip) 256비트 AES 암호화를 사용하며 보안 모드에서는 GPS 칩과 블루투스, 와이파이 등 모든 센서가 꺼진다.

또 다른 기능은 솔라린 사용자와 통화를 하는 상대방과 관련이 있다. 다른 사람에게 문자 메시지를 보내거나 전화를 하려면 안드로이드와 iOS용 앱인 시큐어 컴(Secure Comm)을 이용해야 한다.

이 고가의 솔라린에 구현된 보안 기능은 현재와 미래에 발생할 수 있는 침입자를 차단하는 데 어떤 툴과 투자가 필요한지 말해준다. 블랙베리(BlackBerry)의 시큐리티 디렉터 알렉스 마네아는 CSO와의 인터뷰에서 스마트폰 보안을 무시하는 것은 현관문을 활짝 열어 놓고 외출을 하는 것과 마찬가지라고 지적했다.

실제로 우리는 각종 파일과 연락처 정보, 은행 관련 기록 등 거의 모든 중요한 정보를 모바일 기기에서 이용한다. 마네아는 "휴대폰이 발전하면서 취약점이 변했고 기기와 서비스 보안 필요성이 다시 한 번 '뜨거운 주제'가 됐다"라고 말했다. 모바일 상거래 플랫폼인 브랜딩 브랜드(Branding Brand)의 정보 보안 디렉터 알렉스 클린도 여기에 동의했다. 그는 "지금이야 말로 보안 문제를 극복해야 할 때이다. 데이터 침해 사고가 발생하기 전에 잠재적인 공격에 대처할 필요성이 커졌다"라고 말했다.

클린은 "스마트폰은 사용자의 일부, 일상 생활의 일부로 자리잡았다. 집에 보안 시스템을 설치하는 것처럼 모바일 장치에도 공격을 막을 기능을 도입해야 한다. 특히 민감한 비밀 정보, 가치가 큰 정보에 액세스 하는 사람은 데이터가 노출 됐을 때 직면하는 위험이 더 크다. 이들은 보안과 프라이버시에 있어 더 높은 기준을 충족하는 스마트폰이 필요하다"라고 말했다.


고가 스마트폰?
솔라린 같은 스마트폰은 해커를 막는 기능을 제공하지만 이런 제품이 모든 사람을 위한 완벽한 솔루션인 것은 아니다. 먼저 클린은 지문 인식 장치에 부정적인 시각을 갖고 있다. 생체 인식과 액세스 기술의 비효과성이 이미 입증됐다고 주장한다. 

짐페리움(Zimperium)과 쿨스팬(KoolSpan) 등 솔라린이 사용하는 써드 파티 보안 플랫폼도 마찬가지다. 클린은 이 또한 일부 사람에게는 도움이 되지 않는다고 말했다. 스냅드래곤810 프로세서의 경우 발열을 둘러싼 논란이 있다. 스마트폰이 지나치게 과열되면 보안 기능이 오작동하고 데이터가 손상될 수 있다.

현재 시장에는 다양한 보안 제품이 나와 있다. 예를 들어, 여러 삼성 스마트폰에는 녹스(KNOX) 암호화 플랫폼이 도입돼 있다. 그러나 이 분야의 리더는 여전히 블랙베리이다. 블랙베리 PRIV 스마트폰에는 기기의 보안 점수를 평가해 액세스 포인트 관리를 지원하는 'DTEK'이라는 앱이 설치돼 있다. 블랙베리 서티컴(Certicom) 암호 라이브러리는 무차별 암호 대입 공격을 막아준다. 이 제품의 가격은 550달러(언락폰)이다.

미래의 기기 및 장치
다양한 제품이 있음에도 불구하고 한 가지는 분명하다. 모바일 보안이 조만간 크게 바뀔 것이라는 점이다. 솔라린이 이용자간 통화에 보안 앱을 이용하도록 한 것은 이런 종류의 접근법이 필요한 사용자군이 실제 존재한다는 점을 말해준다.

보안 뉴스 사이트인 패러락스(The Parallax)의 편집자 세스 로젠블라트는 "경영진은 스위치를 켜면 보안 기능이 실현되는 스마트폰을 선호한다. 새로운 수 많은 기능을 배울 필요가 없기 때문이다"라고 말했다.

반면 그는 이런 휴대폰이 더 보급된다고 해도 여전히 중요한 것은 기본적인 것이다. 그는 "지금은 물론 앞으로도 보안 전문가가 강조하는 '보안 방침'을 지키는 것이 좋다. 첨부 파일이나 모르는 사람이 보낸 텍스트를 열어보지 않는 것이 대표적이다"라고 말했다. ciokr@idg.co.kr

X