모바일 앱 보안 솔루션 에스이웍스(SEWORKS) 김호 연구원이 총 세번의 연재를 통해 모바일 보안에 대한 인사이트를 전합니다.
1.안드로이드 이용자를 위한 대비책
IDC (International Data Corporation)에 따르면, 현재 전세계 스마트폰 이용자들 중 약 80% 이상이 안드로이드 운영체제를 사용하고 있다. 이용자들이 많은 만큼 안드로이드상에서 일어나는 해킹 빈도도 잦아지는 추세이다. 이러한 모바일 해킹위협에서 앱 이용자와 개발자들은 어떻게 대비해야 하는 것일까? 앞으로 3주간 연재될 이 컬럼에서는 모바일 보안의 중요성에 대해 이용자, 일반 앱 개발자, 그리고 게임 앱 개발자의 관점에서 짚어볼 예정이다.
안드로이드의 사용자들을 타겟으로 삼은 제로데이 (zero-day, 현재까지 알려지지 않은 취약점) 는 점점 많아지고 있으며, 이를 통한 피해도 늘어나고 있다. 새로이 발견된 보안취약점의 한 예로는, 올 여름에 발견된 스테이지프라이트 (Stagefright)가 있다.스테이지프라이트는 안드로이드에서 동영상의 정보를 불러오는 내부 소프트웨어로써 이용자가 악성코드가 담긴 동영상을 열어볼 때 악성코드를 활성시켜 스마트폰을 감염시킬 수 있다. 여기에서 주목할 점은 동영상을 실행하지 않아도 수신되었을때 바로 악성코드가 활성될 수 있다는 점이다. 이처럼 아직 알려지지 않은 보안 취약점이 계속 발견되고 있기 때문에 안드로이드 이용자들은 이 점을 염두에 두고 조심해야 한다.
새롭게 발견되는 안드로이드의 보안 취약점 외에도 이미 알려진 보안위협들도 무시할 수 없다. 공식 앱을 위조 혹은 변조하여 이용자들에게 혼란을 주는 앱들도 많으며 이렇게 위변조된 앱들은 대부분 악성코드를 가지고 있기 마련이다. 혹은 앱을 다운받을 때 사용자가 앱에게 루팅권한을 부여하도록 유도하여 앱이 스마트폰에 담긴 개인정보에 접근할 수 있도록 하는 경우도 종종 있다. 이러한 상황을 방지하기 위해서 안드로이드 이용자들은 지속적으로 개인의 스마트폰 보안에 신경 쓰는것이 좋다.
일반 사용자들이 악성코드에 감염이 되면 스마트폰에 저장되어 있는 사진, 통화기록, 문자 내역 등 사생활 정보가 노출될 수 있으며, 최악의 경우에는 공인인증서 비밀번호나 은행 거래내역 등 민감한 정보도 유출될 수 있다. 뿐만 아니라 스마트폰이 이용자가 모르는 새에 해커의 ‘노예’가 되어 해커의 조종에 따라 다양한 웹사이트를 공격하는데 이용될 수 있는 상황이 발생할 수 있다.예를 들어, 해커가 특정 웹사이트를 다운시키고자 한다면, 악성코드를 미리 심어놓은 스마트폰을 조종하여 수만대가 동시에 접속하게 하여 웹사이트의 서버를 다운시키는 경우가 있다. 또한, 사용자가 루팅된 기기를 사용하고 있다면, 악성코드 감염 시 더욱 더 큰 피해를 입을 수 있다. 스마트폰이 루팅되었을 때는, 획득된 최고 사용자 권한을 통해 스마트폰 내의 깊은 영역에까지 악성코드가 감염될 가능성이 있다. 또한, 루팅된 기기의 특성상 루팅이 되지 않은 기기보다 더 넓은 폭의 정보가 노출될 수 있다.
다양한 방법의 해킹위협들이 있는건 사실이지만, 사용자들이 대처할 수 있는 법도 여러가지가 있다. 안드로이드의 취약점이 새로이 발견된 후에는 구글 및 삼성, LG등 스마트폰 제조사에서 이를 보완한 업그레이드 버전을 출시한다. 따라서 안드로이드 소프트웨어를 꾸준히 업데이트 하는 것은 보안 취약점으로부터 이용자를 보호해준다. 앱을 다운받을 시에는 항상 공식 앱스토어를 이용해야 하며, 앱 다운 이전에 앱 퍼블리셔를 한번 더 확인하는 습관을 들이면, 위변조된 가짜 앱이나 악성코드가 포함된 앱을 피할 수 있다. 또한 스미싱 위험에도 주의를 기울여 모르는 사람이 보낸 링크나 동영상은 클릭하지 말고 바로 지우는 것이 좋다.이러한 점에 지속적으로 주의를 기울인다면, 보안전문가가 아닌 일반 이용자들도 안드로이드 기기가 내포하고 있는 위험성을 어느정도는 미연에 방지할 수 있다.
다음주에는 앱 개발자들의 관점에서 안드로이드의 해킹 위협과 대처방법을 살펴보도록 하겠다.
에스이웍스 (SEWORKS)는 국내 유명 화이트햇 해커 홍민표 대표와 와우해커 멤버들 및 보안 전문가들이 모여 설립한 모바일 앱 보안 솔루션 전문 스타트업이다.
글 김호, 에스이웍스 연구원
You must be logged in to post a comment.