최근 화두로 떠오른 스마트폰의 보안 취약점도 운용체계(OS)별로 각양각색인 것으로 나타났다. 그러나 이에 대한 대응책은 아직까지 초보 수준인 것으로 나타나 문제로 지적됐다.
한국CSO협회(회장 이홍섭)는 9일 서울 삼성동 코엑스에서 '스마트폰 보안위협 대응전략 워크숍'을 개최, 스마트폰 OS별 보안위협 시연을 보여줬다.
이정현 숭실대 교수와 허영일 NSHC 대표는 각각 윈도 모바일폰 OS와 아이폰 OS의 취약성을 해킹 시연을 통해 지적했으며, 쉬프트웍스 홍동철 안드로이드 플랫폼 개발팀장은 안드로이드폰 OS의 보안 위협을 시연했다.
이정현 교수는 윈도 모바일 6.1 환경에서 스마트폰이 해킹되는 것을 감염 및 공격 시나리오를 통해 시연했다.
시연에 따르면 단말기 사용자가 웹을 통해 트로이 바이러스를 다운로드받는 경우 해커가 트로이 바이러스와 와이파이(Wi-Fi)로 통신해 이름, 주민등록번호, 전화번호를 훔쳐내는 게 가능했다. 해커는 또 SMS 결제, SMS 훔쳐보기, 주소록 절취, 휴대폰 시스템 다운, SMS 공격까지 수행했다.
허영일 NSHC 대표는 "아이폰을 타깃으로 사용자 프라이버시 정보를 빼내는 웜·바이러스가 잇따라 발견되고 있고, 금융권을 중심으로 업무 환경 혁신을 위한 스마트 오피스, 스마트폰 전자결제 서비스 등이 보안대책 없이 급격히 확산되고 있다"고 지적했다.
허 대표는 이날 시연을 위해 만들었다는 개인정보 해킹 프로그램을 이용, 아이폰 사용자의 최근 연락 전화번호, GPS 정보, 사파리 검색정보 등 개인정보를 탈취하는 것을 보였다.
또한 안드로이드폰은 오픈 소스 플랫폼으로 누구나 원한다면 안드로이드 소스를 볼 수 있어 보안 우려가 많다는 점이 지적됐다.
쉬프트웍스의 홍동철 개발팀장은 "사용자 모르게 휴대폰 내 주소록이나 SMS, 휴대폰 정보, 사용자 위치정보 등이 노출될 수 있고, 정보의 조작과 삭제도 가능하다"고 경고했다.
◆대응안, 사용자 안전수칙 일관
그러나 이날 발표자로 나선 보안 관계자들은 스마트폰 보안 문제의 대응책으로 대부분 사용자의 안전수칙을 강조하는 데 그쳤다.
'스마트폰 이용자 10대 안전수칙'은 의심스러운 애플리케이션을 다운로드하지 않거나 신뢰할 수 없는 사이트를 방문하지 않고, OS 및 백신 프로그램을 항상 최신 버전으로 업데이트 하는 등 매우 기본적인 보안 지침을 담고 있다.
이와 관련, 숭실대 이정현 교수는 "기술적으로 스마트폰 보안과 관련, 준비가 안돼있는 부분 때문에 사용자 측면에서는 더이상 할 수 있는 게 없다"며 "백신도 필요하지만 플랫폼 보안기술이 현실적 대응방안이 될 것 같다"고 강조했다.
백신은 감기처럼 알려진 바이러스를 치료하는 상비약 개념이란 점에서 신종플루처럼 알려지지 않은 바이러스를 치료하는 데는 한계가 있기 때문.
이 밖에 이날 행사에서 행안부 이성은 정보보호정책과 사무관은 "세계 일류 모바일 전자정부 구현을 목표로 범부처별 추진체계를 마련하고 있다"고 설명했다. 또한 SK텔레콤 이기혁 팀장은 "자연스러운 모바일 생태계 기반의 서비스 제공 주체들의 상호협력체계가 필요하다"고 강조했다.
한편, 이번 행사에는 1천여 명이 넘는 민·관 관계자들이 대거 참석, 스마트폰 보안 이슈에 대한 뜨거운 관심을 입증했다.
임혜정기자 heather@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기