ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 스마트폰의 확대로 각 기업, 개인 모바일 보안 중요
    Security 2010.07.26 08:30
    모바일 시장이 변화하고 있다. 과거 피쳐 폰을 중심으로 형성되던 모바일 시장이 스마트폰을 중심으로 재편되고 있는 것이다. 스마트폰이 과거에 없었던 것은 아니다. 삼성전자, HP 등을 중심으로 PDA 폰이라 불리는 스마트폰이 존재하고 있었으나 일부 매니아들, 혹은 일부 사람들을 중심으로만 사용하고 있어서 그 점유율이나 사용량이 모바일 시장에서 매우 미약했다. 하지만 재작년에 출시한 T*옴니아가 모바일 시장에 스마트폰 바람을 일으킬 준비를 하게 만들었고 작년 12월에 국내에 드디어 출시한 애플의 아이폰으로 인해 스마트폰은 이제 바람에서 태풍으로, 그리고 지금은 대세로 굳혀지고 있는 상황이다. 아이폰의 출시로 인해 올해 안드로이드를 탑재한 구글 폰들이 대거 출시되었고 또 출시를 준비하고 있는 상황이다. 스마트폰의 열풍이 모바일 시장을 변화시키고 있는 것이다.

    PC에서 스마트폰으로 사용 패턴의 변화

    손 안의 PC라 불리는 스마트폰은 기존 피쳐 폰과는 달리 자신이 원하는 어플리케이션을 직접 다운로드 받아서 설치한 후 사용할 수 있는 장점이 있다. 스마트폰 사용자들은 다운로드를 받은 어플리케이션으로 인해 스마트폰을 전화기 이상의 다양한 용도로 사용할 수 있게 된 것이다. 또한 인터넷 접속을 통한 모바일 풀브라우징이 과거 피쳐 폰에 비해 막강해졌기 때문에 스마트폰을 통한 인터넷 접속이 과거에 비해 상당히 늘어났다. PC에서 즐기던 인터넷 서비스들을 이제는 스마트폰을 통해서 어디서든지 즐길 수 있는 세상이 되어가고 있는 것이다.

    이렇게 PC에서 하던 일들 중 상당 부분을 스마트폰에서 할 수 있게 됨으로 인해 인터넷을 비롯한 다양한 PC 사용의 행태, 혹은 습관에 변화가 생겼다. PC에서 했었던 간단한 작업(웹 서핑, 문서 읽기, 트위터, 페이스북 등의 SNS 즐기기 등)들을 스마트폰에서 작업함으로 사용의 비중이 PC에서 스마트폰으로 옮겨가기 시작한 것이다. 그로 인해, PC에서 생겼던 문제점들이 점점 스마트폰에서도 생겨나고 있다.

    스마트폰에서 공인인증서를?

    최근 모바일 시장에서의 뜨거운 이슈는 당연히 보안이다. 모바일 보안. 위에서 설명했던 것처럼 PC에서 사용하던 방식 그대로 스마트폰을 사용하다보니 PC에서 생겼던 문제점들이 대부분 스마트폰에서도 생기고 있다는 것이다. 이제는 스마트폰을 통해서 소액결제는 물론 인터넷 뱅킹 어플리케이션 등을 통해서 송금까지 하는 세상이 되었다. 이로 인해 모바일 보안에 대한 많은 이야기들이 나오고 있는 상황이다. 최근까지 얘기가 나왔던 공인인증서의 모바일 버전에 대한 이야기도 이런 보안에 대한 이슈로 인해 벌어진 일이다. PC에서는 공인인증서가 PC에 설치되어 있어야(혹은 USB나 휴대폰 인증을 통해서) 계좌이체, 송금 등의 인터넷 뱅킹 서비스를 이용할 수 있었다. 어떤 인터넷 뱅킹은 아예 공인인증서로만 로그인을 할 수 있도록 서비스를 구성한 은행도 존재한다. 여기에 각종 키보드 보안, 암호화 등의 보안 솔루션들이 추가되어 인터넷 뱅킹을 안전하게 진행할 수 있도록 서비스 셋이 갖춰지는 것이다. 일부 보안 전문가들 사이에서는 스마트폰에서도 적어도 PC와 같은 수준의 보안이 필요하다는 의견을 개진했었다. 현재 스마트폰을 통해서 송금 등의 인터넷 뱅킹을 이용하는 부분은 30만원 이하의 경우 공인인증서에 준하는 방식의 보안 방식을 채택하도록 되어있다. 즉, 공인인증서를 사용하지 않아도 되지만 공인인증서 수준의 보안 방식을 채택해야 한다는 것이다. 스마트폰에서의 공인인증서 방식은 아무래도 PC와는 환경이 다르기 때문에 그대로 적용한다는 것은 무리가 있다는 여론에 의해 바뀐 것으로 생각이 된다. 분명 다른 방식으로든 보안은 실행되어야 한다는 것에 대해서는 모두들 동감한다고 본다.

    데스크탑 만큼이나 중요한 모바일 보안

    이렇듯 모바일 보안에 대해서는 모두들 중요하게 생각하고 있다. 스마트폰과 같은 휴대용 디바이스는 PC와 달리 개인의 중요정보가 담겨있을 가능성이 더 크다. PC가 해킹을 당하는 것보다 스마트폰이 해킹을 당해서 유출되는 데이터의 중요도가 더 클 수 있기 때문에 PC에서의 보안만큼이나 스마트폰에서의 보안도 중요하다.

    스마트폰용 보안은 크게 2가지로 나눌 수 있다. 개인 정보 보안과 기업 정보 보안이다. 먼저 개인 정보 보안에 대해서 알아볼까 한다.

    내 개인 정보를 보호한다. 개인 정보 보안

    개인 정보 보안은 스마트폰 내부에 저장된 개인적인 자료들을 보호하는 것을 의미한다. 개인적인 자료에는 가장 많이 쓰이는 전화번호부가 있으며 그 외에도 각종 인터넷을 돌아다니면서 모바일 웹브라우저에 저장해둔 ID와 암호 등도 개인적인 자료에 속한다고 할 수 있다. 혹은 다운로드 받은 각종 어플리케이션이나 문서 등의 자료들도 이에 속한다고 할 수 있다. 이런 개인 자료들을 보호하고 악용되는 것을 방지하는 것이 개인 정보 보안이다.

    데스크탑의 경우 해커들은 보안을 뚫기 위해 트로이 목마(바이러스 어플리케이션)를 심어둔다던지, 아니면 인터넷을 통해서 해킹용 ActiveX 컨트롤 등을 다운로드 받아서 설치하게 한다던지 이메일이나 멀웨어 사이트 등을 통해서 악성코드를 실행시켜 바이러스에 감염시키는 방식을 많이 썼고 지금도 많이 사용하고 있다. 바이러스 등에 감염된 데스크탑은 내부의 각종 중요 정보를 해커에게 유출시키고 쓸데없는 트래픽을 일으켜 다른 서비스 등을 공격하는 좀비 PC로 전락하게 만든다. 모바일의 경우도 이와 크게 다르지 않다.

    스마트폰의 경우 트로이 목마를 설치한다던가 해킹용 ActiveX를 다운로드 받아서 설치하는 것은 어렵다. 최근 스마트폰들은 아이폰과 앱스토어의 영향으로 인해 앱스토어, 안드로이드 마켓 등과 같은 모바일 오픈마켓을 통해서 어플리케이션들을 다운로드 받아서 설치한다. 이들 오픈마켓들은 등록된 어플리케이션들을 검증하는데 검증 과정에서 저런 문제가 있는 부분이 있으면 등록 자체를 시켜주지 않는다. 그렇기 때문에 이런 오픈마켓을 통해서 다운로드 받는 어플리케이션들이 트로이 목마일 가능성은 거의 0%에 가깝다고 보면 된다. 물론 아이폰의 경우 제일 브레이킹(일명 탈옥이라 불리는 아이폰 해킹)을 통해서 앱스토어가 아닌 다른 방식으로 어플리케이션을 다운로드 받아서 설치할 수 있으며 안드로이드 탑재 구글 폰의 경우 직접 어플리케이션 설치 파일을 다운로드 해서 설치할 수 있다. 윈도 모바일의 경우 오픈마켓이 아닌 사용자가 직접 설치파일을 직접 다운로드해서 설치하는 것이 가능하다. 하지만 이런 방식들은 비정상적인 방식이기 때문에 정상적인 오픈마켓을 통한 다운로드 및 설치로 인한 해킹 방식은 어렵다.

    하지만 스마트폰의 성능 좋은 풀브라우징이 가능한 모바일 웹브라우저를 통한 악성코드나 멀웨어에 감염되는 방식은 여전히 문제가 된다. 최근 스마트폰이 해킹되어 문제가 된다는 뉴스들이 들려오고 있는데 대부분이 이런 모바일 웹브라우저를 통한 악성코드로 인한 문제들이다. 사용자들이 데스크탑에서 스마트폰으로 인터넷 서핑 등의 사용행태가 이동하면서 이러한 멀웨어나 악성코드들로 인한 해킹이 문제가 되고 있는 것이다. 그래서 최근 스마트폰용 보안 솔루션들이 많이 등장하고 있는데 대부분이 이런 악성코드나 멀웨어를 방지하는 보안 솔루션들이다. 데스크탑에서 사용하고 있는 보안 솔루션들이 악성코드나 멀웨어 이외에 각 파일들을 돌아다니면서 바이러스 파일을 잡아내는 기능이 있는데 비해 스마트폰에서는 바이러스 파일을 잡아내는 것보다 악성코드나 멀웨어를 잡아내는 기능에 더 중점을 두고 있다. 악성코드나 멀웨어를 통해서 개인 정보 유출이 우려되기 때문이다.

    기업 정보 보안은 기업 문서 보안 시스템의 확장

    기업 정보 보안도 개인 정보 보안과 비슷한 맥락에서 보면 된다. 개인 정보 보안이 스마트폰 내부에 있는 개인적인 자료를 보호하고 스마트폰 자체를 보호하는 것이라면 기업 정보 보안은 스마트폰 안에 있는 기업 정보들을 보호하는데 그 목적이 있다.

    기업 정보 보안은 주로 기업에서 사용하고 있는 보안 솔루션과 관계가 있다. 기업에서는 각 데스크탑이나 서버의 바이러스 방지를 위한 백신을 설치하기도 하지만 많은 기업들이 기업의 기밀 문서들을 보호하고 무단 유출을 방지하기 위해 문서 보안 시스템을 도입해서 사용하고 있다. 보통 문서 DRM(Digital Rights Management)이라고 불리는 문서 보안 시스템을 사용하면 허가 받지 않는 사용자들이 문서 DRM이 적용된 기업의 기밀 문서들을 보거나 외부로 유출할 수 없다. 기업들은 기업의 내부 정보나 기밀들을 이런 문서 DRM을 통해서 보호한다.

    최근 스마트폰의 성능이 높아지면서 기업에서 사용하던 문서들을 스마트폰에서 그대로 사용하기를 원하는 경우가 많아지고 있다. 각 스마트폰 플랫폼에 따라서 방식이 다른데 윈도 모바일의 경우 오피스 모바일이나 Adobe Reader LE 등의 모바일 어플리케이션을 통해서 기업에서 많이 사용하는 MS 오피스 문서들(워드, 엑셀, 파워포인트 등)이나 PDF 문서들을 데스크탑과 거의 동일하게 읽거나 편집할 수 있다. 한컴 오피스 모바일 등을 통해서 아래한글(HWP) 문서도 읽을 수 있으며 정음 모바일을 통해서 훈민정음 문서도 읽을 수 있다. 아이폰의 경우 자체적으로 MS 오피스 문서 뷰어와 PDF 문서 뷰어를 내장하고 있기 때문에 따로 어플리케이션을 사용하지 않고도 이들 문서들을 읽을 수 있다. 안드로이드의 경우 스마트폰에 따라서 다르지만 기본적으로 퀵 오피스 라이트 버전이 탑재되어 있어서 MS 오피스 문서와 PDF 문서를 읽을 수 있다(물론 수정은 불가능하며 수정하기 위해서는 유료 버전을 이용해야 한다). 이렇듯 스마트폰에서도 적어도 기업에서 사용하고 있는 문서 포멧을 읽을 수 있는 환경이 갖춰져 있다. 그래서 기업에서 사용하던 문서를 스마트폰에 다운로드 받아서 회사 밖에서 이동하는 중에 문서를 볼 수 있게 되었다.

    하지만 데스크탑의 경우 문서 DRM 솔루션이 탑재되어 있어서 문서 DRM이 적용된 문서를 무리없이 볼 수 있지만 스마트폰의 경우 아직 데스크탑과 같은 문서 DRM 솔루션이 제대로 구현이 안되어 있는 상태이기 때문에 문서 DRM이 적용된 문서를 그대로 스마트폰에서 볼 수는 없다. 그렇기 때문에 스마트폰에서 회사에서 사용하던 문서를 보기 위해서 문서 DRM이 적용된 문서의 DRM을 해제한 원본을 스마트폰으로 다운로드 받아서 외부에서 보는 경우가 있다. 회사 내부에서는 보안이 적용된 문서로 보는데 외부에서는 원본을 그대로 보는 오히려 반대가 되어야 할 상황이 벌이지는 것이다. 이런 상황에서 해당 스마트폰을 분실을 한다던가, 아니면 경쟁업체의 관계자에게 해당 스마트폰이 넘어가게 되면 그 스마트폰 안에 있는 회사의 각종 기밀 문서들이 원본 그대로 노출되고 유출되는 문제가 발생한다. 충분히 발생할 수 있는 상황이다.

    모바일 기업 보안 방식 1. 스트리밍 뷰어 방식

    이런 기업 정보를 보호하기 위해 기업용 모바일 문서 보안 솔루션들이 개발되고 있는데 이런 모바일 문서 보안 솔루션은 아래의 2가지 종류로 나눌 수 있다. 첫 번째는 스트리밍 뷰어 방식이다. 스트리밍 뷰어 방식은 DRM이 적용된 문서를 회사 내의 외부 유출용 스트리밍 서버에 업로드 한 후 그 업로드 된 문서를 중간에 변환 서버를 거쳐서 스마트폰 내부에 있는 스트리밍 전용 뷰어에 맞는 형식으로 변환한 후 그 내용을 스트리밍 방식으로 스마트폰에 전달하는 방식이다. 이 방식의 장점은 스트리밍 변환 서버에서 스마트폰에 있는 스트리밍 뷰어에서만 확인할 수 있는 문서 포멧으로 바꾸기 때문에 중간에 내용을 가로챈다 하더라도 해독이 어려우며 스트리밍 방식으로 스마트폰의 뷰어에 전달되기 때문에 스마트폰 자체에는 내용이 따로 저장된다거나 하지 않는다. 이 방식의 단점은 일단 스트리밍 방식이기 때문에 읽기 전용만 가능하다는 것이다. 편집이 불가능하다. 또한 스트리밍 변환 서버를 중간에 거쳐서 오기 때문에 변환하는데 시간이 걸린다. 그리고 무엇보다 스트리밍 방식이기 때문에 스마트폰의 뷰어로 데이터를 내려받는 내내 트래픽이 발생한다. 데스크탑과 달리 모바일에서의 인터넷 통신은 트래픽이 곧 데이터 사용료로 바뀌기 때문에 가격에 대한 부담감 및 인터넷 상태에 따라서 속도 등에 문제가 있을 수 있다는 단점이 있다. 또한 변환하는 과정에서 원본의 내용이 왜곡될 수도 있다는 것도 문제다. 하지만 데이터가 스마트폰에 남지 않는다는 장점으로 인해 많은 보안 업체들이 기업용 솔루션으로 내세우고 있는 상황이다.

    모바일 기업 보안 2. 인증을 통한 자체 뷰어, 제어 방식

    두 번째는 인증을 통한 자체 뷰어, 혹은 후킹 등을 통한 어플리케이션 제어 방식이다. 자체 뷰어와 어플리케이션 제어는 그 방식은 다르지만 DRM이 적용된 파일이 스마트폰 내부에 존재하고 내용을 보기 위해서는 인증과정이 필요하며 DRM을 해제하기 위한 복호화 작업이 필요하다는 공통점을 갖고 있다. 일단 어플리케이션 제어 방식에 대해서 알아보자. 주로 윈도 모바일이 탑재된 스마트폰에서 사용하는 방법으로 윈도 모바일이 데스크탑 윈도 OS와 구조가 비슷하다는 것에 착안하여 데스크탑 문서 보안에서 사용하고 있는 어플리케이션 제어를 그대로 모바일로 적용하는 것이다. 위에서 언급했듯 오피스 모바일, Adobe Reader LE 등의 기본적으로 탑재되어 있는 어플리케이션을 사용하는 것으로 따로 어플리케이션을 사용하지 않고 DRM Agent를 통해서 이들 어플리케이션을 제어함으로 DRM 적용 문서들을 볼 수 있게 만드는 방식이다. 자체 뷰어 방식의 경우 아이폰이나 안드로이드 플랫폼 등에 해당하는 것으로 아이폰 OS나 안드로이드는 윈도 모바일과 같은 후킹 등의 기술을 원칙적으로 사용할 수 없다. 그렇기 때문에 윈도 모바일에서 사용하는 어플리케이션 제어는 어렵기 때문에 DRM 적용 문서를 읽을 수 있는 전용 뷰어를 만들어서 사용하는 것이다. 위에서 언급했던 스트리밍 방식과 비슷하다고 할 수 있으나 데이터가 스마트폰에 존재한다는 것과 인증을 위한 통신만 사용한다는 것이 다르다. 스트리밍 방식과 비교해서 트래픽 발생량이 훨씬 적으며 인터넷 회선의 상태에 별 영향을 받지 않기 때문에 오히려 더 스마트폰에 적합한 방식이라고 할 수 있다. 최근 몇몇 보안 회사가 이런 방식의 모바일 문서 보안 솔루션을 개발하고 있으며 곧 출시할 예정이라고 한다.

    개인, 기업 보안 모두가 중요한 모바일 보안

    이렇듯 개인 정보 보안이든 기업 정보 보안이든 스마트폰 내부에 있는 중요 데이터들을 보호한다는 목적은 동일하다. 최근 스마트폰의 점유율이 높아지면서 스마트폰 사용량이 과거에 비해 상당히 상승했다. 그로 인해 개인용으로 스마트폰을 쓰는 것 이외에도 위와 같이 기업에서도 업무용으로도 스마트폰을 이용하는 사례들이 많아지고 있다. 개인 정보 보호를 위한 스마트폰 보안 솔루션 시장은 이미 시작되었으며 점점 그 성장하고 있는 상황이라고 보여진다. 이에 비해 아직 기업 정보 보호를 위한 모바일 보안 솔루션 시장은 아직 시작단계에 불과하지만 이 시장 역시 앞으로 성장할 것이며 이미 준비하고 있는 기업들도 하나 둘씩 나오고 있다. 이제는 데스크탑 보안 만큼이나 모바일 보안 시장 역시 개인과 기업, 양쪽에서 동시에 요구되는 시대가 도래하고 있는 것이다.

    * 이 글은 정보보호21 6월호에 '스마트폰의 확대로 각 기업, 개인 모바일 보안 중요'라는 제목으로 기고한 글이다.

    댓글 6

    • 프로필사진

      역시 스마트폰은 컴퓨터구나하고 새삼 보안문제가 나오니 느껴지네요.

      2010.07.26 09:03
      • 프로필사진

        그러게요.
        보안은 어느 분야에서나 다 중요하지만 개인정보를 많이 다루는 스마트폰의 경우 더 중요하게 다가올 듯 싶네요 ^^

        2010.07.26 09:06
    • 프로필사진

      모바일이 개인화된 기기인 만큼 보안에 대한 중요도가 높지만, 정작 사용자에게 이를 제대로 알려주는 정보가 없네요. 언론에서도 스마트폰 판매량과 신규 앱 이야기에만 열중하는 모습...
      보안/바이러스에 대한 충분한 정보로 10년전 IT붐 때와 같은 '바이러스'대란이 없었음 합니다.

      2010.07.26 09:11
      • 프로필사진

        저도 그러기를 바랄뿐입니다. 보안은 사용을 좀 귀찮게 만드는 경향이 있어서 많이들 꺼려하는 것이 사실인지라. 언론 등에서 스마트폰 붐을 죽일 수 있는 소지가 많은 보안 이야기를 잘 안할려고 하는 듯 싶기도 합니다.

        2010.07.26 10:48
    • 프로필사진

      스마트 폰은 음.. USIM 내장 특정 시리얼 이런걸로 하면 안되려나요?
      의외로 고유값들이 많아서 오히려 pc보다 쉬울꺼 같은데 말이죠.

      2010.07.26 10:05
      • 프로필사진

        USIM 시리얼 번호나 IMEI 번호 등을 이용해서 많이 보안을 걸기도 합니다.
        뭐 그래도 귀찮은 것은 마찬가지 ^^

        2010.07.26 10:49
Designed by Tistory.