스마트폰 보안 위협요소 및 대응전략 (모바일 보안)

1. 스마트폰의 개념

스마트 폰은 기존 모바일과 같이 통화만을 목적으로 하는 모바일과는 다르다. 이메일이나 인터넷이나 사전 등의 기능을 가지고 있는 즉, 주머니 속 에 내 컴퓨터라고 할 수 있다. 스마트 폰은 2010년에 들어와서 크게 확대되어 현재는 대중화가 되어있는 상태이다. 스마트 폰의 장점이라고 한다면 공간의 제약 없이 언제 어디서든 개인의 업무나 회사의 업무 등을 처리 할 수 있는 것이 큰 특징이라고 할 수 있다.

 

2. 스마트 폰의 현황

세계적으로 휴대폰 시장은 점점 감소하는 추세이지만 스마트 폰의 시장은 점점 증가하는 추세이다. 2009년 국내 휴대폰 시장에서 스마트 폰이 차지하던 비중은 2.2%로 미약하지만 아이폰 도입 이후 급격한 증가세를 보여. 2010년까지 스마트 폰 이용자는 약 400～600만명 까지 확산 되었다. 2010년 2사분기 스마트 폰은 6,300만대 가출시되었으며, 2009년 동기(4,190만대5) 대비 50.4% 의성장률 을 기록(2010.8) 2010년 누적출시 량은 1억1,830만대로 2009년 동기7,680만대 대비 54% 늘어난 수치이다. 전체 휴대폰시장에서 스마트폰의 판매비율도 2009년 동기 14.4%에서 2010년 18.8%로 4.4% 증가했다.

 

2. 스마트 폰의 보안의 위협

스마트폰에 악성코드 즉, 바이러스 등이 감염되었을 경우 개인정보의 유출 단말기의 사용제한 이나 부정 과금 유발, DDos 공격 등의 위협이 가해 질수가 있다. 단발기를 분실 했을 경우에는 개인뿐만이 아니라 기업의 기밀문서나 기밀 프로그램 등을 타 기업으로 유출시킬 수가 있으며 무선 인터넷을 통하여 정보를 해킹할 수 있다.

 

3. 스마트 폰의 보안 대책

단말기 분실에 대한 대책으로는 단말기를 분실했을 경우에는 단말기를 원격으로 조정 할 수 있게 하여 개인정보나, 기업의 업무 등의 정보를 잠그거나 지울 수 있게 할 수 있게 해야 한다. 응용 프로그램이나 플랫폼 보안 대책으로는 악성 코드 등을 유발하는 프로그램들에 대하여 치료 할 수 있는 백신을 개발해야 하며 그전에 더 중요한 것은 이러한 악성코드에 감염되지 않게 보안이 철저한 응용프로그램들을 개발 하는 것이 중요하다. 또한, 네트워크 보안 대책으로는 현재 사용하고 있는 암호 체계 보다 더욱더 확고한 암호 체계 가 필요할 것이다. 예를 들어 복합 암호화 방식(이중암호화 방식)을 들 수가 있다. 마지막으로 정책적으로 모바일 보안에 대해서 확고한 법적 제도 및 보안 정책을 만들 필요가 있다. 세부적으로는 보안에 대한 표준 규격을 정하고 보안센터 등을 개설하여 사용자들의 보안에 대한 인식이나. 피해를 봤을 경우에 이를 해결 할 수 있게 해야 할 것이다.

 

4. 스마트폰의 보안 문제 현상

신문에 따르면 주요 보안구멍(HOLE)이 만개가 넘는다고 한다. 애플 아이폰의 경우 인터넷브라우저 '사파리‘의취약점이 발견됐다. 한 유럽 연구진이 사파리를 통해 악성코드를 아이폰에 침투시킨 뒤 문자메시지를 빼돌리는 방법을 시연하기도 했다고 월스트리트저널은 전했다. 위와 같이 스마트 폰의 보안위협이 날로 늘어가고 있다. 이러한 보안현상은 서로 기업이나 개인들 간에 긴말한 네트워크상으로 연결 되어 있기 때문이다. 사용자가 직접 자료를 올릴 수 있고 자료를 다운받아 볼 수 있기 때문에 이러한 보안 위협이 뒤따른다고 할 수 있다. 이러한 보안문제로 발생되는 피해는 개인의 피해뿐만이 아니라 기업의 피해까지 이를 수가 있다. 자신의 개인정보 노출이나 기업의 기밀문서 등을 해킹할 수 있으며 금전적으로 피해를 볼 수도 있다.

기술개발에 따라서 기존의 PC와 비슷한 보안문제 현상이 발생되고 있다. 이 말은 즉, 지금의 PC와 같은 보안위협이 발생할 수 있으며 그 위협의 경로가 확대될 수 있다는 뜻으로 볼 수 있다. 거기에다 스마트 폰은 PC와 다르게 휴대가 간편하기 때문에 더욱 다양한 보안위협이 존재한다고 말할 수 있다.

스마트 폰이 점점 대중화 되어가면서 개인과 기업에 종사하는 직원들이 스마트 폰을 사용하고 있는데 이러한 대중화로 인해서 각 기업들과 정부는 점차 스마트 폰 보안문제에 대해서 그 방안을 확대하고 있는 추세이다. 우리나라는 스마트 폰으로 내부 전산망을 통해서 결재를 하거나 이메일을 여는 행위를 금지하고 있으며, 각각의 다른 나라들은 보안문제로 인하여 스마트 폰의 사용을 금지하고, 사용자의 정보 유출 및 도청이 가능함을 사용자들에게 숙지시키고 있다.

 

5. 스마트 폰이 악용되는 사례

A업체나 B업체 등의 사이트에서는 각종 스마트 폰 통화내역, 감청, 위치추적, 텍스트 메시지 모니터링 등을 상업적으로 서비스하고 있다. 돈만 주면 특정 스마트 폰 사용자의 위치를 추적할 수도 있고, 언제 누구와 통화했는지 확인할 수도 있다. 스마트 폰 주변에서 흘러나오는 소리를 엿들을 수도 있다. A연구소 책임연구원 이씨는 "이미 1년쯤 전에 상업적 스파이웨어 서비스가 나왔다"며 "나쁜 마음을 먹으면 이것을 어플로 만들 수 있을 것"이라고 말했다. 또 "어플을 통해 어떤 정보를 빼가느냐 가 중요하다"며 "모바일 서비스에 필요한 정보만 수집 한다면 문제가 없겠지만 아이디 패스워드 등 필요 이상의 정보까지 가져간다면 문제가 있다"고 덧붙였다. 스마트 폰을 이용하는 고객들이 증가함에 따라서 스마트 폰의 이용에 따라 발생하는 피해는 다양하며 규모 또한 크다고 할 수 있다. 감청의 문제뿐만 아니라 사용자의 위치를 추적하고 개인들의 정보를 불법적인 방법으로 수집하는 문제가 발생하게 된다. 개인적인 정보의 유출은 개인의 허락 없이 자신의 정보가 유출된다는 점에서 개인의 사생활이 침해받는다는 문제점이 발생한다. 또한 개인의 정보를 불법적인 방법으로 수집하여 이용하게 됨으로서 문제의 심각성이 제기된다. 개인들의 정보를 수집하게 될 경우에 다양하게 활용되고 이를 통해 이익을 창출할 수 있는 기회가 많기 때문에 개인들의 정보를 불법적인 방법으로 수집하려고 시도하는 사람들이 늘어날 가능성이 크다. 특히 기업이 경영활동을 함에 있어서 고객들의 성향을 파악하는 것이 중요하기 때문에 기업은 수집된 개인정보를 바탕으로 효과적인 경영을 할 수 있기 때문에 수집된 개인정보는 기업에게 수익을 안겨주는 요소로 작용하게 된다.

개인정보는 이익을 창출할 수 있는 요소로 여겨지지만 개인의 동의를 얻은 상태에서만 수집이 가능하고 개인의 정보를 일일이 얻기 위해서는 막대한 비용이 발생하기 때문에 불법적인 방법을 동원하여 개인의 정보를 얻으려고 하는 것이다. 개인정보를 수집하는 활동이 이익을 얻는 길이라고 여겨지기 때문에 불법적인 방법을 동원하여 개인정보를 수집하려는 사람들이 늘어날 것으로 보여 지며 그에 따라 개인이 받는 피해도 커질 것으로 보인다. 개인정보의 유출로 인한 간접적인 피해뿐만 아니라 개인정보를 바탕으로 하여 개인의 명의를 도용하여 여러 가지 금융결제를 실시하는 것과 같은 행동을 함으로서 개인에게 직접적으로 막대한 피해를 입히기도 한다. 스마트 폰으로 인해 발생되는 보안 문제에 대해서 대책이 제대로 갖추어지지 않은 상황이기 때문에 스마트 폰 시장의 성장과 이용자들이 증가함에 따라서 문제의 심각성은 더욱 커질 것으로 보여 진다. 스마트 폰의 보안 문제가 다양한 형태로 광범위하게 발생된다는 측면으로 볼 때 문제에 대한 대책을 마련하는 것도 어려울 것으로 여겨진다.

 

6. 스마트 폰 서비스에 따른 위협

스마트 폰 서비스에 따른 위협은 크게 세 가지로 분류 할 수 있다. 첫 번째는 단말기 분실에 따른 보안위협, 두 번째는 네트워크상에 따른 위협, 세 번째로는 서버 보안위협 그리고 마지막으로 응용프로그램 및 플랫폼 보안위협이 네 가지로 크게 분류 할 수 있다.

 

6-1 단말기 보안위협

센 모이 RIM(리서치 인 모션) 이사는 “PC에 비해서 스마트 폰이 분실 및 도난의 가능성이 15배 높다.” 라고 말했다. 타 나라에서는 스마트 폰이 도둑들이 노리는 상품 1위를 차지할 정도라고 하니 스마트 폰의 분실 및 도난이 미치는 피해가 어느 정도인지 알 수 있다. PC의 경우에는 크기가 커서 분실할 위험성이 적지만 스마트 폰은 휴대하기가 간편해서 분실하기가 매우 쉽다. 이것이 특징이자 단점이 될 수 있는 것이다.

스마트 폰은 다량의 개인정보를 가지고 있기 때문에 분실 시에 심각한 개인정보 유출이 일어날 수가 있다. 그리고 기업의 정보를 가지고 있기 때문에 도난이나 분실할 경우 기업의 기밀정보가 유출 될 수가 있다. 이것은 즉, 스마트 폰에 저장되어 있는 업무정보를 유출할 수가 있고 위조 변조가 가능하고 더 나아가서 기업정보를 빼내어 기업내부를 해킹할 수도 있다. 이러한 보안위협은 스마트 폰이 휴대하기가 간편하고 PC와 동일한 저장용량을 가지고 있기 때문에 가능한 일이다.

 

 

 

6-2 응용프로그램 및 플랫폼 보안위협.

다양한 어플리케이션의 이용과 플랫폼으로 인하여 현재는 그 보안 상태가 약한 상태이다. 이 문제는 PC와는 다르게 다양한 어플리케이션을 통하여 서비스를 이용하기 때문에 나타나는 위협이다. 벌써 2010년 1월에는 마켓 어플리케이션을 이용하여 해킹자 자신이 은행 프로그램을 가장하여서 마켓 이용자들의 비밀번호를 훔치는 경우까지 생겼다. 이 문제는 어플리케이션을 이용자가 직접 올릴 수 있기 때문에 생기는 보안 문제라고 할 수 있다.

 

◉ 개인정보 유출

스마트 폰의 어플리케이션을 통해서 사용자의 통화기록이나 메시지 내역 등이 유출될 수 가 있다. 이것은 타인이 사용자인 척해서 사용자의 정보를 유출하여 악용 할 수 있기 때문에 큰 보안 문제로 손꼽히고 있다.

종류	내용
PBStealer(2005)	전화번호부압축프로그램으로가장한악성코드
Infojack(2008)	단말의 보안 설정 변경 및 단말 정보(OS, 설치 애플리케이션) 등을 2차 공격하기 위해 외부로 전송하는 악성 코드
Phone/Privacy.A(2009)	감염된 아이폰에서 무선랜 을 접속 하는 경우개인 정보 (문자메시지, 이메일등) 를 원격지로 전달
Duh Worm(2009	아이폰을 이용한 금융관련 거래에서 기반인증코드(자리)를 훔쳐 원격지로 전송하는 등의 금전적인 피해 유발가능

◉ 장치이용 제한

컨텐츠 삭제, 아이콘 변경을 통해서 단말기 사용을 불가하게 만들거나 그 기능을 못하게 하는 악성코드이다. 그 피해는 단말기의 UI를 변경하거나 단말기 파손 배터리 소모, 프로그램 삭제 등이 있다. 배터리소모에 관한 악성코드의 경우에는 배터리를 고갈시킴으로서 업무에 대한 방해를 초래하고 전화마비에 관한 악성코드는 전화에 대한 착신, 발신 등을 차단하여 혼란을 줄 수 가 있다.

종류	내용
Skull(2004)	단말기의 시스템 어플리케이션을 다른 파일로 교체하여 단말기 사용을 불가능 하게 하는 악성 코드
Bootton(2005)	단말기에 설치된 응용프로그램 아이콘변경 전화통화 외에 다른 기능을사용하지 못하게 하는 악성코드
BlankFont(2005)	단말기 폰트파일 사용을 불가능하게 하는 악성코드
Ikee(2009)	유럽 등지에서 유포되기 시작했으며, 아이폰의 바탕화면을 80년대 팝가수 릭 애슬리 사진으로 변경하는 악성코드
Liberty(2000)	단말의 모든 어플리케이션 삭제 및 재부팅

◉ 부정과금 유발

문자 메시지를 통한 바이러스 침투로서 강제통화 및 대량의 SMS 문자서비스를 이용해서 대량의 요금을 부과하게 하여 인터넷 사용 및 유료 전화서비스 악용등의 문제가 발생하게 된다.

 

종류	내용
Mosquit(2004)	고액의 비용을 청구하는 서비스 전화번호 리스트를 포함하여, 단말기 사용자 몰래 SMS 메시지를 해당 전화번호로 보냄으로써 고액의 서비스 이용료 부과
CommWarrior(2005)	MMS에 자신의 복사본을 첨부 하고 단말기 주소록에 있는 모든 연락처에 발송함으로 써 단말기 소유자에게 고액의 서비스 이용료 부과
Timofonica(2000)	임의로 생성된 번호로 문자 메시지 전송
CommWarrior(2005)	MMS에 자신의 메시지 복사본을 첨부 하고 단말기 주소록에 있는 모든 연락처에 발송 하는 악성코드
RedBrowser(2006)	모바일 인터넷 사이트 방문 어플리케이션으로 위장하여 프리미엄 문자 메시지를 전송하는 악성코드

 

◉ 모바일 DDoS

일명 “좀비 악성코드” 라고 말할 수 있다. 특정한 사이트에 문제를 일으키거나 문자 메시지를 통하여 부정 과금 유발 및 단말이용을 마비시키는 악성코드이다. 스마트 폰에서 DDoS 공격이 발생할 경우에는 트래픽 량 만큼 금액이 과금될 수도 있기 때문에 금전적으로 심각한 피해를 입을 수 있다. 지난해 7월심비안 기반의스마트폰에서휴대폰가운데최초의봇넷이발견됐다.봇넷은로봇(robot)'과 넷(net)'의 합성어로 원격제어가 가능한 악성코드에 감염된 개인용 컴퓨터(PC)를 말한다. 봇넷이된 PC는 제3자의 통제에놓여 악성코드 유포，스팸메일발송，DDoS 공격등에 악용된다.

 

6-3 네트워크 보안 및 서버보안 위협

무선 구간에서 패킷 가로채기를 통해서 해킹 등의 위협이 발생 할 수 있다.(wifi, 2g, 3g, 블루투스 환경에서 발생할수 있음)

wifi나 블루투스에서 패킷 가로채기를 통해서 악성코드가 설치될수 있으며 2g, 3g 경우에는 무선 인터넷과 바로 연결 되기 때문에 무선 인터넷망에 있는 공격자에게 공격당해서 해킹당하는 경우가 생길 수 있다. 감염된 악성코드로 인해서 기업의 자료나 업무 내용등을 해킹할수 있으며 이를 통해서 다른 특정서버에 이 악성코드를 전파 시킬수 있다.

 

이 그림을 보면 WCDMA에서 제어 국으로 넘어가는 경우에는 악성코드의 침투가 거의 불가능 하지만 관문 장비에서 인터넷으로 가는 경로에서는 해킹 위협이 따른다는 걸 알 수 있다.

 

 

7. 현재 진행되고 있는 보안 프로그램

 

7-1 터치앤 세이프(TouchnSafe)

터치 앤 세이프는 2009년 7월부터 6개월 동안 정보통신산업진흥원(NIPA) 의 과제로 소프트 씨큐리티주를 중심으로 루멘소프트(주), 쉬프트웍스(주) 3사가 공동 개발한 스마트 폰에 대한 통합 보안 솔루션이다. 스마트 폰 사용자에게 ‘보안브라우저’ 형태로 제공되며 스마트 폰에 대한 편리한 보안환경 을제공 한다. 터치 앤 세이프는 스마트 폰에 적합한 사용자 친화적 보안을 제공하기 위해 외부와의 주된 통신채널인 웹에 대한 집중적인 보안관리를 수행하며 보안 저장소를 이용하여 개인정보를 안전하게 관리한다.이를 통해 사용자가 안전한 환경에서 스마트 폰을 사용할 수 있도록 하고 스마트 폰이 지니는 입력 제약성을 극복하는 동시에 사용자 인증정보의 편리한 사용 환경을 제공한다. 또한 스마트 폰 성능에 영향을 주지 않는 저부하악성 코드 탐지기법을 적용해 효율적 보안관리 기능 수행 한다.

 

7-3 터치 앤 세이프 M.트랜스키소프트 시큐리티

터치 앤 세이프M.트랜스키는 스마트 폰 입력 보안솔루션이다. 터치 앤 세이프M.트랜스키는 가상 키보드를 이용해 입력되는 모든 정보를 암호화함으로써 스마트 폰을 통한 정보유출 가능성을 차단한다. M.트랜스키는 기존 PC기반의 전자금융 거래서비스인 인터넷 뱅킹의 키보드 보안솔루션과 효과 면에서 동일한 제품으로 스마트 폰 OS에서 제공하는 일반키보드가 아닌 가상키보드를 이용하기 때문에 스마트 폰 OS에 존재할 수 있는 입력정보 후킹을 통한 해킹이 무력화 된다. 또한 사용시점에 따라 가상키보드가 무작위로 생성되며 입력되는 모든 정보도 암호화하여 전달돼 메모리 해킹 등을 통해 스마트 폰 비밀번호, 신용카드정보, 계좌번호 등의 노출을 방지를 할 수 있다.

 

7-4 Ahnlab Mobile Security(안철수 연구소)

안철수 연구소는 2001년부터 모바일 보안 솔루션 AMS를 개발하여 판매 하고 있다. AMS는 윈도우즈 모바일이나 안드로이드/IOS 운영체제를 이용한 스마트폰과 같은 휴대전화에 설치되어 웜 트로이 목마 바이러스 등 악성코드를 실시간으로 차단하여 모바일 디바이스를 안전하게 보호하는 보안솔루션이다.

 

8. 향후 스마트 폰의 보안대책

대부분의 스마트 폰에는 개인의 중요한 정보나 기업의 중요한 정보를 가지고 있을 것이다. 이로 인해 스마트 폰을 분실할 경우에는 개인의 정보가 유출 될 수가 있으며 기업의 정보 또한 유출 될 수가 있다. 따라서 이에 대응하여 스마트 폰의 접근이나 암호화 체계를 지금보다 더 강하게 할 필요가 있다. 스마트 폰을 분실해도 자신 이외에 허락되지 않은 사람은 접근 할 수 없게 해야 할 것이며 이에 관련하여 보안 어플리케이션 또한 개발 되어야 할 것이다. 그리고 본문에서 말한 것과 같이 점차 스마트 폰이 대중화 대면서 악성코드들의 종류와 그 수가 늘어나고 있는데 백신 프로그램들도 중요하지만 아직 모바일에 대한 정책적인 대응이 미약한 상태이다. 그러므로 적절한 법적 규제 또한 더욱 보강해야 할 것이다. 마지막으로 개인이나 기업에서 불필요한 어플리케이션을 사용하는 것을 제한해야 할 것이다.

 

 

9. 결론

평소 쉽게 사용했던 스마트폰이 이렇게 막대한 피해를 줄 수 있는 잠재적인 기술 이라는 것을 조사를 통해 알 수 있었다. 정확히 알려지지 않은 어플은 다운받아 설치하지 말고 안티 모바일 바이러스를 설치하고 보안에 대한 인식을 확고히 해야겠다. 그리고 개발자 입장에서 볼 때에는 지금의 악성코드나 바이러스들을 해결하는데 급급해 하지 말고 추후에 나올 수 있는 보안위협에 대해서도 미리미리 대비하고 대처해야 스마트 폰이 더욱더 대중들에게 편하게 다가갈 수 있으리라 생각한다.

 

 

 

 

※ 참고 문헌

1.나성욱, 이윤희, 지순정 「스마트 폰과 모바일 오피스의 보안이슈 및 대응전략」

2.정현철, 김미주, 최은영 「스마트 폰 보안 강화를 위한 방안 연구

3. 강 성 주 ‘스마트 폰 시대 사이버 안전 정책 방향’, 「Smart Mobile Security 2010」

4. 국민일보, ‘보안 취약 한 스마트 폰…경찰, 전자결재 등제한’

5 김 승 주 ‘스마트 폰 분실대응 방안’, 「Smart Mobile Security 2010」

6 디지털데일리, [특별기획x/2010, FMC & 모바일 오피스]

7 방송통신위원회, 「스마트모바일강국실현을위한무선인터넷활성화종합계획」

8 방송통신위원회․한국인터넷진흥원, 「스마트 폰 이용 실태조사」

9 삼성경제연구소, 「스마트폰의 미래」,

10 이 승 훈, ‘스마트 폰 시장의 확산 에 따른 모바일 생태계 변화’, 「인터넷 &시큐리티이슈」,한국인터넷진흥원, 2010.4