본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

[이스트시큐리티 알약M개발팀 유재욱 팀장]


미래창조과학부 통계자료에 의하면, 2016년 12월 초고속인터넷 가입자수는 약 2천만(20,555,683)명이고, 이동전화 LTE 가입자는 약 4천 6백만(46,310,262)명이며 무선데이터 트래픽도 꾸준히 증가하는 추세다. 스마트폰과 태블릿 또는 안드로이드와 iOS로 대표되는 모바일 기기들은 휴대성과 다양한 기능을 제공하는 앱을 무기로 이 시대의 생활 필수품으로 자리잡았다.


스마트폰으로 날씨를 확인하고, 앱을 이용해서 버스가 도착하는 시간에 맞춰 집을 나서고, 네비게이션 앱이 알려주는 길로 운전을 하고, 음악을 듣고, 동영상을 감상하고, 은행 거래를 하고, 쇼핑을 하고, 소셜네트워크 서비스(SNS)나 카카오톡으로 소통하는 모습은 주변에서 흔히 볼 수 있다. 또한 회사에서 개인 스마트폰을 이용해서 메일을 확인하고, 사내 메신저를 통해 회사 게시판에 글을 작성하는 등의 일들은 자연스러운 일상 중 하나다. 이는 ‘BYOD(Bring Your Own Device)’라는 신조어로도 쉽게 설명할 수 있다. 한편, 모바일 기기가 개인의 일상과 회사의 업무에 폭넓게 이용되면서 ‘보안의 필요성’이 새롭게 대두되고 있다 .


모바일 기기 보안, 어디서부터 시작해야할까?

사용자가 모바일 기기를 사용하고 있을 때에는 정보 유출에 대비하기가 쉬운 편이다. 눈에 보이는 유출 시도는 직접 제재가 가능하고, 눈에 보이지 않는 시도는 안전성을 검증 받은 공식 스토어(구글 플레이, 통신사 마켓 등)에서 앱을 다운받아 설치하는 등 보안 수칙을 준수하여 예방할 수 있다. 특히, 모바일 사용자는 알약 안드로이드와 같은 백신 앱을 통해 악성 앱의 정보 유출 시도에 대응할 수 있다. 사람이 많고, 좁은 공간에서 뱅킹앱에 비밀번호를 입력하거나 중요한 글을 작성할 때에는 알약 안드로이드의 스크린커버와 같은 프라이버시 보호 기능을 사용해서 민감한 정보 유출을 막을 수도 있다.


그렇다면, 모바일 기기를 직접 사용하지 않을 때에는 어떨까? 책상에 모바일 기기를 두고 잠시 자리를 비웠을 경우를 생각해보자. 타인이 악의적인 의도를 갖고 기기 내 사진, 동영상, 문자 메시지 등을 훔쳐보거나 삭제할 수도 있을 것이다. 더 나아가 기기를 분실했을 경우, 미리 분실 사고에 대비하지 않았다면 저장되어 있는 모든 정보가 쉽게 유출될 수 있고, 유출된 정보를 바탕으로 2차 피해가 발생할 수도 있다. 금융 보안카드가 사진으로 저장되어 있다거나, 공인인증서가 있다면? 생각만해도 아찔할 것이다. 이런 경우 도움이 되는 간단한 기능이 있는데 바로 ‘기기 잠금 기능’이다.


모바일 기기 잠금의 중요성

모바일 기기 보안의 첫 단추는 '화면 잠금' 또는 '기기 잠금'이라고 불리는 잠금 설정으로 시작된다. 모바일 기기에 잠금 기능이 설정되어 있지 않다면, 보안 앱이 설치되어 있더라도 쉽게 무력화 될 수 있다. 특히 안드로이드 기기의 경우 USB를 연결해 기기 내부 저장소에 쉽게 접근할 수 있기 때문에 공인인증서, 사진, 동영상 등 중요한 정보가 유출될 수 있다.


최근 기기 잠금 외에 부가적인 기능을 제공하는 잠금 앱들을 사용하는 경우가 증가하고 있다. 잠금 앱 중 일부는 잠금 상태에서도 USB 연결이 가능하기 때문에 앱의 안전성을 다시 한 번 확인한 후 사용하거나, 기본 탑재된 기능의 사용을 권장한다. 또한 안드로이드 기기 사용자 중 보안 앱을 통해 특정 앱에 한해서만 앱 잠금을 설정하는 경우, 악성앱이 해당 보안 앱을 강제 종료하거나 삭제 또는 절전 상태로 바꾸어 잠금 기능을 무력화시킬 수 있다. 실제 사용자의 피해 사례를 살펴보자.



알약 안드로이드는 스마트폰에 쌓인 D사 메신저앱의 임시파일을 삭제해주는 청소 기능을 지원하고 있다. 어느 날, 해당 기능을 이용한 고객이 문의를 보내왔다. "D사 앱의 잠금 기능을 사용하고 있는데, 알약 안드로이드의 청소 기능을 사용하니 주고 받은 사진과 동영상이 보이네요. 수정 바랍니다." 이슈를 살펴보니, D사 앱은 누구나 접근 가능한 영역에 임시 파일을 남기고 있었다. 이 경우, 사용자가 D사 앱의 잠금 기능을 설정해도 누군가가 스마트폰을 USB로 연결해 폴더를 검색하면 앱 안의 사진이나 동영상을 쉽게 유출할 수 있게 된다. 앱 개발사가 직접 만든 잠금 기능에도 보안상 허점이 존재할 수 있는 것이다. 따라서 보안 수준을 높이기 위해서 되도록 모바일 기기 자체의 잠금 기능을 활성화하기를 추천한다.


모바일 보안 수준을 높이는 다양한 잠금 방식

모바일 기기에서 기본으로 제공하는 기기 잠금 방식에는 어떤 것들이 있을까? 이는 크게 비밀번호 방식과 생체정보 인식 방식으로 나뉠 수 있다. 비밀번호 방식은 PC, 인터넷에서 사용하는 암호 설정과 동일한 개념이다. 문자, 숫자, 특수기호를 섞어서 사용하는 전통적인 비밀번호 방식과 입력을 간소화한 4자리 이상의 숫자를 사용하는 PIN 번호 방식, 특정 순서로 점들을 이어서 사용하는 패턴 잠금 방식이 대표적이다. 최근에는 카메라와 센서 기술의 발달로, 쉽게 잠금을 설정하고 해지할 수 있는 생체정보 인식 방식이 많이 적용되고 있다. 대표적으로 얼굴인식, 지문인식, 홍채인식 등이 있다.


스마트폰을 사용하면서 매번 긴 비밀번호를 입력하는 것은 귀찮고 번거롭다. 혹시, 짧은 PIN 번호를 사용하면 보안에 취약할까? 지문은 개인 고유의 생체정보를 사용하는 것이니 더 안전하지 않을까? 다음 사례들을 살펴보자.


2015년 12월, FBI와 애플이 암호 해제와 관련된 논쟁을 벌였다. 범죄에 연루된 범인이 사용하던 아이폰을 입수한 FBI는 4자리 PIN 번호 잠금을 해제하기 위해 노력했으나 풀지 못했던 것이다. 아이폰의 PIN 번호는 잘못된 암호를 넣으면 다른 암호를 넣기까지 기다려야하는 대기시간이 존재하여 자동으로 추출된 번호를 반복 입력하는 것이 불가능하고, 암호를 10회 연속 틀리면 내부 자료를 삭제해버린다. FBI는 애플에 협조를 요청했으나, 개인정보보호를 이유로 거절당했다. 이후 FBI는 다른 업체의 도움을 받아 겨우 암호를 풀어냈다. 간단한 PIN 번호 잠금 설정만으로도 정보를 충분히 안전하게 보호할 수 있음을 증명한 사건이다.


앞서 살펴본 것처럼, 모바일 기기 제조사는 사용자를 위해 기기를 보호할 수 있는 아주 기본적이고 안전한 보안 기능을 제공하고 있다. 사용에 불편할 수는 있겠으나, 기기의 잠금 기능만 설정해도 민감한 정보가 유출되거나 삭제될 위협에 충분히 대비할 수 있다는 것을 잊지 말자. 소중한 데이터를 지키기 위한 첫 단추. 모바일 기기 보안은 기기를 잠그는 것에서 시작한다.


인용/출처: 미래창조과학부 통계 http://www.msip.go.kr/web/msipContents/contents.do?mId=MTQ2 신문보도자료 인용