스마트폰 개인정보유출, 안드로이드 보안취약 무엇이 문제인가?

카드사 개인정보 유출, 안드로이드 보안취약,윈도우폰,안드로인드 해킹,안드로이드 개인정보유출,안드로이드,구글 개방성,키워드쿨럭의리뷰홀릭

카드사 개인정보유출과 관련하여 나라가 씨끄럽다. 물론 기업들이 고객들의 개인정보를 유출했던 것이 어제오늘 일이 아니기에 새삼스럽기까지 한 이 개인정유출이 이토록 시끄러운 것은 바로 카드사에서 이러한 일이 발생되었기 때문일 것이다. 개인과 카드사가 서로 관계를 맺을 때 가장 중요한 것은 "신용"이다. 개인신용에 따라 카드사는 "갑"의 위치에서 고객들 수용했고 이때 카드사가 가장 중요하게 고려했던 것 역시 "신용"이다. 그런데 이번 카드사의 개인정보유출은 앞으로 모바일시대를 살아가게 될 우리들에게 있어서 일종의 예견된 징조를 보여주는 듯하다.

그래서 이번에 필자가 포스팅할 주제는 바로 모바일 보안문제이다. 필자도 블로그를 운영하고 있지만, 이제 PC방도 점차 줄어들고, 개인들도 개인용 PC보다 스마트폰 사용을 더 많이 사용하다보니 필자도 블로그 프레임을 모바일환경에 적극적으로 대처해야만 했다. 그래서 최근 블로그 프레임을 반응형으로 교체하기까지 했다. 우리나라가 PC용 보안 솔루션으로 항상 엑티브엑스를 고집했고 그것이 정말 보안상 문제가 없는지 항상 문제시 되었기 때문에 어느 것이 좋은지 쉽사리 판단하기는 어렵다. 하지만, 그래도 PC의 경우는 많은 기업의 노력들이 있어왔고 완전하지 않더라도 그래도 늘 대안책들이 마련되기도 했었다.

사용율이 늘어갈 수록 보안의 취약성이 노출되는 모바일 OS,

PC 운영체제(OS)에서 해답을 찾자. 

그럼에도 불구하고 모바일 OS의 경우에는 갈수록 늘어가는 사용율에 비해서 양질의 보안솔루션들의 개발이 조금 늦었지 않나 생각해본다. 쇼셜커머스는 이미 우리에게 친숙한 쇼핑모델이 되었고, 페이스북 등 SNS 역시 이러한 쇼셜커머스 형식의 광고마케팅(C-Facebook)을 수년전부터 준비하고 있다. 이것은 "돈"과 관련되 활동이 앞으로 모바일 영역에 크게 확장될 것을 암시한다.

분명 해커들은 모바일 사용량이 늘어갈수로록 공격의 대상을 PC에서 Mobile로 옮길 것이다. 현재 세계인들이 사용하는 스마트폰 OS는 대체로 Android, IOS, Rim, Window Mobile 등이다. 가장 큰 문제는 전 세계 스마트폰 OS 가운데 가장 많은 비중을 차지하고 있는 안드로이드이다. 물론 문제가 많다는 말은 사용자들이 많다는 이유에서 해커들의 공격이 잦을 것이란 추측에서 나온 것이 아니다. PC의 OS간 끝없는 논쟁은 MS의 윈도우와 애플의 OSX이다. 윈도우에는 상대적으로 바이러스가 많다. 그래서 보안을 위한 별도의 프로그램이 필요하다. 그러나 OSX(리눅스 역시도)는 바이러스난 악성웨어가 상대적으로 적다(2006년 OSX에서 바이러스 발견됨). 이를 설명하려하는 압도적인 윈도우 유저들은 타 OS의 낮은 점유율을 그 원인으로 지목한다. 말하자면, 점유율이 낮으니 해커들은 자연스럽게 OSX(or 리눅스)를 무시했다는 것이다. 그러나 해외에서도 이 문제가 이슈가 되었을 때 인포월드와 디그에서 폭넓게 이것을 다루었지만, 그것은 사실과 다르다. 

말하자면, 해커들은 공격성공에 대한 성취감과 희열을 느끼는 집단부류이다. 해커들을 인턴뷰한 결과에 의해서도 해커나 바이러스 메이커들은 "돈"보다 "성취감"을 위해 활동하는 사람들이다. 따라서 이제까지 다른 해커들에 의해 공격의 대상이 많이 되지 않았던 OSX나 리눅스에 공격하는 것이 더 희열을 느낄 것이다. 수만개의 윈도우 바이러스 중 1개를 만드는 것보다 공격이 잘 안된다는 곳에 바이러스 1개를 심는 것이 더 희열을 느끼기 때문이다.

많은 전문가들이 지적하듯 해커들이 상대적으로 지나치게 윈도우에 쏠리는 현상은 OS의 기본구조 때문이다. 맥 OS가 원래부터 보안에 강했던 것만은 아니다. OSX가 출시되기 전 MAC OS 9은 인터넷과 네트워킹, 다중사용자의 환경을 고려하지 않갔기 때문에 구조적으로 바이러스에 상당히 취약했다. 

이점을 애플에서 인지하고 과감히 기존의 기본틀과 구조를 포기했다. 그래서 BSD Unix기반의 NeXT를 발전시켜 OSX를 탄생시킨 것이다. BSD Unix는 20년동안 오픈소스로 많은 사용자와 개발자들에게 검증된 기반이었다. 말하자면, 아무런 원칙과 과정 없이 보안에 강했던 것이 아니라 취약점을 발견하고 기존 OS와의 호환성을 모두 포기한 체 욕을 먹으면서까지 과감히 보안을 위해 노력했다는 것이다. 당시 애플의 주가가 높지 않았던 시점이라 이러한 도전은 애플에게 더 큰 손해로 작용했었다.

 

물론 현재의 윈도우가 가지고 있는 보안의 딜레마는 바로 애플이 버린 "호환성"에 있다. 물론 윈도우도 노력하지 않은 것이 아니다. 현재의 윈도우 8버전까지 MS는 NT플렛폼을 보안하여 보안부분에서 많은 성과를 오렸다. 그럼에도 여전히 지키고 있는 것은 보안이 취약한 Win95(win32c)과의 호환성이다. 이 호환성을 지키기 위해서는 NT-only 플레폼으로의 완전전환이 쉽지 않고 이것은 보안의 문제점들을 계속 안고 가는 것이다.  

안드로이드 보안문제 어제오늘 거론된 것이 아니다.

구글의 딜레마

다시 모바일 OS로 돌아가보자. 현재 안드로이드 운영체제에 대해서 많은 사람들이 보안에 취약하다는 평가를 내렸다. 국내의 카드사의 개인정보유출과 관련된 굵직한 기사를 살펴보면, 블루박스 시큐리티(Bluebox Security)는 안드로이드의 보안 문제를 거론하면서 "암호화 서명"에 치명적인 문제점이 있음을 지적하였다. 암호화 서명을 하지 않고 무력화시키지 않다고 앱의 APK 코드를 바꿀 수 있다는 것이다. 특히, 승인만 받아 설치된 앱이라고 한다면, 그 앱이 안드로이드 기기 내 시스템과 모든 애플리케이셔에 접근할 수 있으니 이것을 악용한다면 큰 파장이 일어날 것이다. 

왜 구글은 이러한 보안의 취약점을 전력을 다해 보안하지 않을까? 분명 안드로이드 사용자가 많다는 것은 그만큼 잠재적 피해자들이 많이 있다는 것이기에 구글이 이러한 문제를 근본적으로 해결해야할 당위성을 더 가지고 있음에도 불구하고 말이다.

이에 여러 의견을 제시하는 사람들도 있다. 먼저, 안드로이드를 제공하는 구글이 이러한 보안의 취약점을 알고 있음에도 불구하고 이를 시정하지 않는다는 것이다. 구글하면 "개방성" 키워드였다. 그래서 많은 유저들도 구글의 개방성을 마치 세상과 소통하는 좋은 모델로 세우기도했다(필자도 구글의 개방성에 긍정적인 포스팅을 했었다). 하지만, 최근 붉어지는 구글의 개방성은 그리 긍정적이지 못하다. 구글이 개방성을 넘어서 개인정보를 무단으로 수집하고 있다는 우려를 받고 있기 때문이다. 

물론 그 중심에는 구글의 스트리트뷰가 있지만, 필자의 블로그에서 보여지는 구글 애드센스(광고)만 봐도 알 수 있다. 필자는 어느순간부터 블로그의 구글애드센스 광고종류가 너무나도 필자의 성향에 맞는 것만 나온다는 사실을 깨달았다. 필자가 영어에 관심이 많아서 영어학원과 관련된 검색들을 하니 구글애드센스에는 온통 영어학원에 관한 광고만 뜬다. 그리고 스마트폰을 변경하려고 다른 포털(다음)에서 스마트폰을 조사하고 다시 필자의 블로그에 오니 필자의 블로그의 구글애드센스에는 온통 스마트폰과 과련된 광고만 나온다. 페이지 내용과는 상관없이 말이다. 즉, 구글이 필자가 입력한 키워드들을 수집하고 이를 반영한 것이다. 물론 이것은 사용자들에게 더욱 편리함을 제공해준다. 그럼에도 구글이 개인정보를 무단으로 수집하는 것 같아서 씁쓸하기도 하다.

말하자면, 안드로이드 OS 자체의 보안취약점을 통해 해커들 뿐만 아니라 구글사도 개인정보 수집을 위해 이용하고 있기 때문에 보안문제를 쉽게 해결할 수 없는 구글의 딜레마가 있다는 해석이다. 구글은 광고사들에게 최고로 매개역할을 해왔다. 더욱더 현명하고 정확한 정보 수집을 위해 스스로 열어놓은 보안의 취약이 그들에게는 좋은 광고수주를 모으는 역할을 할 수 있겠지만, 그것은 충분히 오용될 수 있다.

혹자들은 안드로이드가 오픈소스라는 점이 보안을 약화시켰다고 말을 한다. 그러나 앞서 언급했듯이 OSX의 기반이 된 BSD Unix는 20년동안이나 오픈소스였다. 많은 사용자들이 참여하고 실험하는 소스라면 보안이 더 강해질 수도 있다. 말하자면, 해커들이 아무리 많이 있다고 할지라도, 긍정적으로 소프트웨어를 개발하는 사람들도 많고, 앱 개발자들이 자신들의 어플이 공격당하지 않도록 보안을 철저하게 하는 방식으로 보안을 강화할 수도 잇을 것이다. 삼성이 자사브랜드의 갤럭시 시리즈에 기업용 보안솔루션 "녹스"를 개발한 것을 예로 볼 수 있다. 어떻게든 보안 해결을 위한 노력들이 위에서 이루어지지 않더라도 밑에서부터 이루어지고 있다. 

결국 안드로이드 보안문제의 근본 원인은 구글의 태도에 있다. 애플의 모바일 OS인 IOS는 많은 안드로이드 유저로부터 폐쇄적이라고 비난을 받는다. 사실 안드로이드폰은 굉장히 자유롭고 편리하다. 프로그램 내부의 파일들을 언제든지 사용자가 들여다보고 이용할 수 있으며, 마켓에 등록되지 않은 앱이라도 간단한 메뉴수정만으로 APK파일을 안드로이드 폰에 넣어 설치할 수 있다. 이 과정 속에서 탈옥을 필요없다. PC와의 연결도 USB로 연결하는 것으로 가능하다. 아이튠즈같은 별도의 프로그램은 귀찮은 존재일 뿐이다. 그에 반해 애플은 너무 폐쇄적이어서 사용자들의 불편을 자아낸다. 그런데 구글이 강조한 개방성 속에는 기본적인 보안책이 부재한 것이다.

모바일에선 3인자인 마이크로소프트가 새롭게 들고나온 윈도우 모바일,

MS의 선택은 개방성이 아니라 폐쇄성 

그런데 우리가 주목해야 할 것은 IOS도 Android도 아니라 바로 윈도우 모바일이다. 앞서 설명했듯이 PC용 OS인 MS 윈도우는 그동안 보안의 취약점들때문에 많은 사람들의 우려를 받아왔다. 많은 유저들이 있음에도 불구하고 그 보완점을 해결하기보다 호환성에 무게를 두며 윈도우를 개발시켰다. 그러나 급속도로 OS시장이 모바일로 쏠리면서 그야말로 MS는 모바일 내에서 찬밥이었다. 애플과 삼성, 또는 구글과 애플의 경쟁구도 속에서 MS은 이렇다할 성과를 내지 못한 것도 사실이다. 그런 MS가 몇년동안 모바일에 윈도우폰을 출시할 것을 암시하면서 이를 갈고 칼을 갈아 만들어 낸 윈도우 모바일은 개방성(또는 호환성)보다 폐쇄성을 강조했기 때문이다.

말하자면, 윈도우 모바일은 그동안 모바일 경쟁구도에서 밀려나 오랫동안 소비자들에게 어필할 수 있는 강화된 OS를 만들어내려고 노력했는데 그것이 바로 보안이 강화된 윈도우 모바일이라는 것이다. 이것은 단순히 애플을 모방했다고 해석할 필요없다. 그만큼 앞으로 개인보안에 중요한 문제라는 점을 인식하고 MS가 보안에 무게를 두어 OS를 개발했다고 보는 것이 옳다. 

대표적으로 최근 윈도우 7과 8에도 적용된 디지털 서명은 구글의 안드로이드에는 여전히 약하다. 특히 앞서 지적했듯이 암호화 서명이 무력화되는 안드로이드에 비해 윈도우 모바일은 이 디지털 서명을 크게 강화시킨 것이다. 물론 윈도우 모바일 역시 안드로이드처럼 디지털 서명을 악용한 악성코드가 발생될 소지가 충분히 있음에도 윈도우는 보안을 더 강화시키기 위해서 위도우폰 마켓플레이스에 등록되는 앱을 심사하는 기준을 까다롭게 선정하기도 했다. 사용자가 선택할 수 있는 앱의 다양성이 모바일 OS 성공의 큰 발판임에도 보안을 강화하기 위해서 MS는 폐쇄적 환경을 고수하기로 한 것이다. 더불어 멀티태스킹 역시도 제한되는데 물론 이것은 쾌적한 속를 위한 조치라고 볼 수 있지만, 결과적으로는 백그라운 환경에서 실행될 수 있는 악성코드를 봉쇄하는데 큰 역할을 할 것이다. MS의 이러한 방침은 사용자의 편리가 중요함에도 불구하고 그것이 보안보다 중요할 수는 없다는 판단에서이다. 이러한 3인자 움직임, MS의 방침은 현재 모바일 시장에서 무엇이 더 중요한 것인지를 알 수 있는 단적인 예가 된다. 

많은 점유율을 가진 안드로이드 어떻게 발전되고 보안되어야 하나?

서비스향상보다 보안이 우선

안드로이드 OS가 좋냐? 아니면 애플의 OS가 좋냐?라는 말초적인 논쟁을 이끌기 위해서 필자가 포스팅을 시작한 것은 아니다. 아무리 보안을 강화하였을 지라도 그것을 뚫고자 하는 사람이 있다면 그것은 뚫리기 마련이다. 그리고 개발된 OS보다도 사용자의 패턴에 따라 보안의 효과가 달라질 수 있기 때문에 근본적으로 어떠한 OS가 보안에 유리하냐? 라고 하는 것도 다소 억지스러울 수도 있다. 폐쇄적이라고 해도 탈옥을 하고 비승인 앱들을 설치하면 보안에 취약해질 수 밖에 없다. 

분명 극단적 폐쇄환경은 소비자들의 외면을 받는다. 폐쇄적 OS 가운데 블랙베리의 RIM을 보면 얼마나 폐쇄적 환경이 유저들을 불편하게 만드는지 보여준다. 그리고 그러한 폐쇄적 시스템이 어떻게 매출과 기업의 발전에 영향을 미치는지 보여주기도 한다. 따라서 "쇼셜"이라는 키워드함께 개방성은 현 모바일 시장에서 장려되어야 한다.

그럼에도 모바일 시장이 확대되면서 구글의 안드로이드가 어떻게 보안을 해결해야할지를 고민해야 할 것이다. 그들이 선전했던 "개방성"은 굉장히 좋은 시대적 모델이기는 하지만, 보안이 보장되지 않는 과도한 개방성은 결국 유저들에게 큰 악영향을 미칠 것이다. 세계적으로 존경받고 최고의 브레인들이 모인 집단이라 불리던 구글이다. 스마트한 시대에 발빠르게 많은 유저들을 확보하며 매력을 뽐내던 기업이었다. 그러나 최근 개인정보수집과 관련된 과도한 상업적 전략들은 구글이 자랑하던 개방성에 치명타를 입힐 수 있다. 

여전히 많은 사람들이 안드로이드폰을 선호하고 이용하고 있지만, 영원한 기업과 영원한 1등은 없는 법이다. 카드사의 개인정보유출이 대한민국을 흔들었던 것처럼 구글의 안드로이드가 세계인의 개인정보유출의 매개가 된다면 회복할 수 없는 불명예를 안을 것이다. 그래도 끊임없이 안드로이드 버전을 업그레이드하면서 발전시켰던 구글이었다. 새로운 도전을 주저하지 않았던 그동안의 모습처럼 현재 안드로이드를 사용하는 사용자를 위해 보안이 강화된 OS를 개발하고 보안이 보장된 개방을 위해 노력해 주길 바란다. 

쿨럭의 리뷰홀릭의 글이 맘에 드셨나요? 

맘에 드셨다면 아래 추천버튼에 추천해주시고, 아래 이웃추가해주세요! 

네이버 이웃추가 /  티스토리 링크추가 / 다음뷰 구독