▲ 2월 17일 오후 2시 서울 삼성동 섬유센터에서 한국정보보호학회 주최로 열린 '스마트폰 보안문제 진단 및 대책마련을 위한 토론회'에 예상보다 많은 200여 명이 몰려 자료집이 일찌감치 동나고 수십 명이 서서 듣는 북새통을 이뤘다. ⓒ 김시연

▲ 2월 17일 오후 2시 서울 삼성동 섬유센터에서 한국정보보호학회 주최로 열린 '스마트폰 보안문제 진단 및 대책마련을 위한 토론회'에 예상보다 많은 200여 명이 몰려 자료집이 일찌감치 동나고 수십 명이 서서 듣는 북새통을 이뤘다. ⓒ 김시연

'아이폰 열풍'에 힘입어 스마트폰 보안에 대한 관심이 뜨겁다. 17일 오후 2시 서울 삼성동 섬유센터 스카이홀에서 열린 '스마트폰 보안 문제 진단 및 대책 마련 토론회'에는 주최 측 예상을 뛰어넘는 200여 명이 몰려 자료집이 일찌감치 동나고 수십 명이 서서 듣는 북새통을 이뤘다. 학회 행사에 쏠린 이례적인 관심에 한국정보보호학회(회장 임종인)도 놀랄 정도였다.

"스마트폰 보안 위협, 지나치게 부풀려져"

이날 토론회에는 학계뿐 아니라 한국전자통신연구원(ETRI)·금융보안연구원 등 연구단체, 안철수연구소, 소프트포럼, SK텔레콤, 마이크로소프트 등 관련 IT업체 전문가들이 총출동했다. 이들은 스마트폰 특성상 PC와 마찬가지로 해킹, 바이러스, 악성코드 등 보안 문제에 취약하다고 진단하면서도 아직까지 별다른 피해 사례가 없는 점을 들어 최근 언론에서 제기된 '스마트폰 보안 위협'은 지나치게 부풀려졌다고 입을 모았다.

지난 1일 숭실대 컴퓨터학부 이정현 교수팀의 스마트폰 해킹 시연 등으로 불붙은 '과도한 불안감'을 경계한 것이다. 당시 이 교수팀은 옴니아2 등 윈도모바일 6.1 OS(운영체제)를 단 타인의 스마트폰을 해킹해 소액 결제와 개인정보 가로채기에 성공했다.

김기영 ETRI 팀장은 "윈도모바일폰이 오픈 플랫폼이어서 해킹에서 자유롭지 못한 건 사실"이라면서도 "이 교수팀 해킹 시나리오는 공개된 스마트폰용 해킹 툴이 많지 않은 상황에서 일반인들이 수행하기 힘든 난이도 높은 접근 방식"이라고 지적했다.

조시행 안철수연구소 상무 역시 "스마트폰은 분실 문제를 빼면 악성코드가 가장 중요한 보안 위협 시나리오"라면서 "지금까지 전 세계적으로 보고된 모바일용 악성코드는 윈도모바일이 10여 개 정도, 아이폰 역시 '탈옥(Jail break; 사용자 스스로 해킹해 보안잠금장치를 푸는 것)' 상태에서만 2개 정도였고 이 또한 개념적으로만 만들어져 실제 피해 사례는 없다"고 밝혔다.

심비안(노키아 OS) 악성코드가 400여 개 보고되긴 했지만 이 또한 2003~2004년경에 나온 것들로, 2005년 개발자 인증과 응용프로그램 전자서명을 받는 '코드 사이닝'을 도입한 뒤 크게 줄었다고 한다.

▲ 삼성 안드로이드폰(왼쪽)과 애플 아이폰 ⓒ 김시연

▲ 삼성 안드로이드폰(왼쪽)과 애플 아이폰 ⓒ 김시연

안드로이드 등 개방형 플랫폼이 보안에 더 취약

토론에 앞서 안드로이드, 아이폰, 윈도모바일 등 주요 모바일 운영체제별로 나눠 진행된 발제에서는 아이폰이 비교적 후한 점수를 받았다.

아이폰 보안 문제를 발제한 김기영 이니텍 상무는 애플의 철저한 앱스토어 개발자 등록 절차 및 애플리케이션(응용프로그램) 테스트, 리소스 비공유 등 폐쇄적 정책이 결과적으로 아이폰 보안을 강화하는 효과를 낳았다고 밝혔다.

김기영 상무는 "아이폰도 '탈옥'하거나 사이디아(Cydia; '탈옥' 폰을 위한 애플리케이션 스토어)를 이용하면 공격에 취약하다고 알려져 있지만 화면이 꺼지면 네트워크가 끊기는 방식이나 리소스 공유 차단 등은 동일해 심각한 결함을 초래할 정도는 아니"라고 지적하기도 했다.

상대적으로 개방형 모바일 플랫폼인 안드로이드폰과 윈도모바일폰은 아이폰보다 보안 위협에 더 취약했다.

안드로이드폰 발제를 맡은 이영종 지란지교소프트 팀장은 "안드로이드 마켓은 애플 앱스토어와 달리 개발자 확인 과정이나 응용프로그램 보안성 검증 절차가 없어 악의적인 프로그램 등록이 쉬운 구조"라고 지적했다. 응용프로그램을 설치할 때 사용자가 접근 권한을 제어할 수 있는 확인 과정(퍼미션) 역시 결국 "악성 프로그램 판단과 설치 후의 책임을 사용자 몫으로 넘기는" 문제가 있었다.

아이폰에는 없는 '멀티태스킹(두 개 이상의 프로그램을 동시에 실행)' 기능 역시 정상 프로그램으로 가장한 정보유출 프로그램의 '백그라운드 실행'을 가능케 한다는 점에서 보안에 불리한 요소다. 실제 이 팀장은 퍼즐 프로그램을 가장한 정보유출 프로그램을 오픈마켓에 올린 뒤 타인 스마트폰 식별정보, 주소록, 사진파일 등을 SMS(단문 메시지)를 이용해 정보수집 서버로 빼내는 실험 과정을 밝히기도 했다.

그렇다고 아이폰이 '난공불락'이란 얘기도 아니다. 김기영 상무는 아이폰과 관련해 보고된 취약점 37개를 분석한 결과 DoS(서비스 거부) 공격 6건 외에 정보 유출이 31건이었고, 이 가운데 서비스와 OS에선 각각 3건에 그친 반면 나머지 25건을 애플리케이션이 차지했다고 밝혔다. 결국 아이폰도 응용프로그램이 가장 큰 취약점이라는 얘기다.

▲ 스마트폰 보안 문제 토론회 패널들. 왼쪽부터 류재철 충남대 교수, 이기혁 SK텔레콤 팀장, 이상용 마이크로소프트 부장, 심원태 한국인터넷진흥원 단장, 이동훈 고려대 교수(사회), 성재모 금융보안연구원 본부장, 조시행 안철수연구소 상무, 박언탁 소프트포럼 소장, 김승주 성균관대 교수. ⓒ 김시연

▲ 스마트폰 보안 문제 토론회 패널들. 왼쪽부터 류재철 충남대 교수, 이기혁 SK텔레콤 팀장, 이상용 마이크로소프트 부장, 심원태 한국인터넷진흥원 단장, 이동훈 고려대 교수(사회), 성재모 금융보안연구원 본부장, 조시행 안철수연구소 상무, 박언탁 소프트포럼 소장, 김승주 성균관대 교수. ⓒ 김시연

'해킹 어렵다'는 블랙베리도 뚫려... 악성코드 공격은 시기 문제

그나마 현재 해킹에 가장 안전하다고 평가받는 스마트폰은 RIM의 블랙베리다. 류재철 충남대 교수는 "블랙베리는 심비안의 코드 사이닝 기법과 안드로이드의 퍼미션 방식을 함께 채택했고 '셀프 사인(개발자 자기 인증)'을 허용하지 않아 아이폰 못지않게 응용프로그램 개발 환경이 폐쇄적"이라고 밝혔다.

김 교수는 "해커들 사이에 블랙베리는 해킹이 어렵다는 평가를 받았지만 한 해킹 대회에서 이메일과 SMS를 이용한 해킹 시연에 성공하면서 미국 백악관에서 오바마 블랙베리를 위한 별도 보안 프로그램을 깔아 쓰기도 했다"고 밝혔다.

결국 해킹이나 악성코드의 공격에서 완전히 자유로운 스마트폰은 없는 셈이다. 이 때문에 정보보안업계에서도 악성코드 공격은 시기 문제로 보고 있다. 조시행 안철수연구소 상무는 "금전적 수익이나 1990년대와 같은 '재미'라는 2가지 요소가 섞이면 악성코드 공격이 기하급수적으로 늘어날 수 있다"면서 "스마트폰용 백신은 그런 위협 발생 시 유용하기 때문에 최소한의 보안 대책 차원에서 접근하고 있다"고 밝혔다.