SMART ICT Services !~~~

스마트폰 보안 본문

ICT 이야기

스마트폰 보안

햇님과달님 2011. 3. 31. 16:53

* 무선 환경에서의 통신보안의 필요성...

 

☆ 스마트폰 보안 위협, 무선 시장 강타 ☆

☆ 적절히 보안 수단 결합해야 효과 발휘 ☆

 

스마트폰은 기업에게도 필수품으로 검토되고 있다. 스마트폰의 높은 접근성을 활용할 경우, 기업 경쟁력의 획기적인 향상이 기대되기 때문이다. 하지만 문제는 보안이다. 보안이 전제되지 않는다면, 기업의 스마트폰 도입은 기밀정보 유출 등 역기능을 불러올 가능성이 높다. 스마트폰 열풍이 우리사회 곳곳에 일으키는 변화와 보안 대책에 대해 알아본다.

2010년 IT 업계에 어떤 일이 있었을까? 가장 먼저 꼽을 수 있는 것은 ‘스마트폰’ 열풍이다. 모바일 업계를 강타한 스마트폰 폭풍은 이제 일반인들도 모바일 OS와 애플리케이션(이하 앱), 루팅 등 전문적 용어를 사용하게 했다.

스마트폰이 일으킨 변화
국내 스마트폰 가입자는 1년만에 700만명을 넘어섰다. 국내 전체 휴대기기 사용자가 5000만명 정도임을 감안하면 사용자의 약 1/7이 스마트폰을 사용하는 셈. 이러한 스마트폰의 대중화는 여러 측면의 변화를 일으키고 있다. 이러한 변화를 살피면 다음과 같다.


● 와이파이존 급속 확대
스마트폰의 확대는 무선 데이터의 급증을 초래하고 있다. KT는 아이폰 가입 고객 100만명의 무선데이터 사용량을 분석한 결과 1인당 월평균 데이터 사용량이 422MB로 일반폰 이용자(13MB)의 32배에 달했으며, 아이폰 사용 전후의 전체 무선 데이터 사용량도 폭증하고 있다고 밝혔다. 또 아이폰 고객이 KT의 와이파이 접속 지역인 쿡앤쇼존에서 무료로 쓴 데이터 용량은 총 사용량의 52%인 229MB에 달한 것으로 조사됐다.


이는 사용자의 요금으로 환산하면 1인당 월평균 1만1724원, 연간 14만0688원의 데이터 요금 절감 효과다. 이를 전체 스마트폰 가입자에 적용해 연내 가입자가 200만명으로 늘어난다고 가정할 때 약 2800억원의 요금 인하 효과가 발생된다. 또한 스마트폰 출시와 더불어 유인책으로 사용된 정액 요금제와 기존 피처폰에는 없던 앱의 개념이 무선 트래픽의 증가를 초래하고 있으며, 이동 통신망의 부하 분산을 위해 추가되기 시작한 와이파이존은 마케팅 수단으로 활용되면서 급격하게 확대되고 있다.

이러한 이유로 1년도 안돼 ‘지진아에서 우등생으로’라는 평가를 받을 정도로 빠르게 확장돼 가고 있는 와이파이존은 2011년 미국 수준에 육박할 것으로 예상된다. 현재 국내 와이파이존은 약 6만개(KT 4만2000, SKT 1만7000, LGU+ 7000개)에 달하는데, 여기에 LGU+가 최근 발표한 유플러스존(070 인터넷 전화 무선랜을 공개 와이파이로 전환) 100만개를 포함하면 이미 106만개가 되는 셈이기 때문이다.

● 모바일 오피스 확대
결재, 메일, 게시판 등을 중심으로 기본적인 회사 업무를 가능케 하는 모바일 오피스 앱을 스마트폰을 이용해 구축한 기업/기관이 계속 증가하고 있다. 보안 문제 때문에 핵심 기업 업무까지 스마트폰을 활용하는 사례는 아직 없으나, 조만간 전문 보안 제품의 출현과 더불어 기업의 중요 정보까지 취급하는 업무도 스마트폰을 활용한 모바일 오피스가 일반화될 것이다.

● 클라우드 컴퓨팅 확대
클라우드 컴퓨팅과 스마트폰처럼 궁합이 잘 맞는 서비스와 단말은 없을 것이다. 클라우드 컴퓨팅의 원래 취지는 기업의 IT 비용의 절감 차원에서 출발한다. 즉 네트워크를 통해 연결된 컴퓨터 자원을 통합해 가상의 커다란 IT 시스템으로 만들어, 고가의 슈퍼 컴퓨터를 이용해야만 가능한 작업을 쉽게 해결할 수 있을 것이라는 개념이다. 이러한 클라우드 컴퓨팅은 현재는 언제, 어디서나 네트워크가 연결된 환경이라면, 단말의 컴퓨팅 파워에 관계없이 일정 수준의 IT 서비스를 제공하는 개념으로까지 확대되고 있다. 스마트폰은 태생적으로 작은 크기 때문에 컴퓨팅 파워가 기존의 PC에 견줄 수 없는 단말이다. 따라서 클라우드 컴퓨팅을 이용하여 한계를 극복할 수 있을 것으로 기대를 모으고 있다.

● 소셜 네트워크 대중화 촉진
기존에 있던 서비스이기는 했지만, 2010년 국내에 본격적으로 진출하게 되면서 트위터와 페이스북 등 소셜 네트워크 서비스(SNS)가 생활의 일부분으로 자리매김하고 있다. 이제 SNS는 당연히 기본적으로 알아야 할 지식 정도로 대중화된 것이 사실이다.
이러한 SNS의 대중화에는 사이버 인맥이 중요시되는 시대의 변화로 초래된 개인의 욕구가 잘 맞아 들었기 때문으로 볼 수 있다. 이에 더해 언제 어디서나 간편하게 SNS에 접근할 수 있게 하는 스마트폰의 급증이 SNS 확대에 큰 역할을 했음을 부인할 수는 없다.

스마트폰 보안 대책 ‘절실’

IT 분야뿐 아니라 사회적인 변화를 이끌고 있는 스마트폰은 과연 안전할까? 만일 안전하지 않다면 대비책은 무엇일까. 결론부터 말하자면 스마트폰은 기존 PC 보다 안전하지 않다. 기존 PC에서 나타나는 보안 위협을 그대로 가질 뿐만 아니라 분실에 대한 위험까지 추가되기에 더욱 위험하다고 말할 수 있다. 현재 나타나고 있는 보안 위협을 정리해 보면 다음과 같다.

● 웜/바이러스 출현
MS 윈도우가 웜/바이러스의 표적이 된 것은 내재적인 보안 취약점이 많이 노출된 까닭도 있지만 PC 운영체제(OS)를 거의 장악하고 있는 상황도 큰 요인이다. 많은 이용자가 사용하는 만큼 윈도우가 공격의 주된 표적이 된 것이다. 현재 스마트폰의 OS도 몇 가지로 정리가 되는 분위기다. 이에 따라 높은 점유율을 지닌 구글의 안드로이드, 애플의 iOS, MS의 모바일 7, 노키아의 심비안 등이 표적이 되고 있으며, 살펴보면 개인/업무 정보 유출, 금융 정보 유출, 정상 동작 방해, 무작위 문자 발송 등에 따른 과금 유도 등의 피해가 발생되고 있다.


● 분실에 따른 문제
스마트폰의 이동성(mobility)은 기기의 분실과 불가분의 관계를 갖고 있다. 분실에 대한 위험도가 높아 지면서, 저장 정보의 유출, 습득 기기를 이용한 내부 네트워크 또는 시스템에 대한 침입 등의 위험이 발생할 수 있으며, 분실 자체만으로도 금전적인 손실을 감수해야 한다.

 

 

 

 

● 테더링(Tethering)
테더링은 스마트폰을 일종의 모뎀으로 활용하는 네트워크 연결 기술로, PC와 같은 다른 사용자 기기와 스마트폰을 와이파이, 블루투스, 시리얼 케이블이나 USB 케이블 등 다양한 방법으로 연결하고, 연결된 스마트폰을 통해 이동통신망(3GPP), 휴대인터넷망(와이브로), 무선 인터넷망(와이파이) 등에 접근함으로써 다른 기기에서도 인터넷을 이용할 수 있게 하는 방법이다. 이는 회사/기관 내부 네트워크에 접속하고 있는 PC가 기존의 인터넷 관문 구간을 우회해 인터넷에 접속이 가능하게 됨을 의미한다. 즉 관문 구간에 구축된 보안 장비를 무력화시킬 수 있게 되는 것으로, 내부 사용자는 테더링을 이용하여 금지된 사이트에 접근(게임, 증권 등)하거나 웹하드, P2P 등을 아무런 제약 없이 이용할 수 있게 된다.


● 네트워크 경로에 대한 보안 위협
무선망은 앞서 언급한 바와 같이 3GPP, 와이브로, 와이파이 등이 가능하며, 특히 와이파이존을 이용하는 경우는 무선랜 보안 취약점이 그대로 적용되기 때문에 각별한 주의가 요망된다. 이러한 스마트폰 환경에서의 위협에 대응하기 위해서는 다음과 같은 보안 기술이 요구된다.

● 전용 백신
스마트폰 전용 웜/바이러스에 대한 백신은 필수 불가결한 수단이다. 다만 기업 입장에서는 웜/바이러스의 피해가 대부분 개인적인 경우가 많기 때문에 전사 차원에서 백신을 도입/설치해야 하는 것인지에 대한 고려가 필요하다.


● MDM(Mobile Device Management)
MDM의 핵심 요구 사항은 분실 시 원격에서 단말을 통제할 수 있는 기능이다. 즉, 분실 신고된 단말의 위치 파악, 중요 정보의 삭제, USIM 칩 탈착 대비 등이 된다. 좀 더 확장된 기능으로는 중요 정보의 강제 암호 저장, 스토리지 카드/주 메모리 통제, 애플리케이션 실행 인증/통제, 테더링 통제 등이 있다.

● mPKI(Mobile PKI)
PKI(Public Key Infrastructure)는 인터넷 뱅킹을 하는데 있어 공인 인증서를 사용할 수 있게 하며, 본인 확인, 암호화, 전자서명 기능을 지원하는 제품군을 말한다. 스마트폰을 이용한 전자결제가 도입되고 있는 시점에서 스마트폰 전용 PKI 제품은 필연적인 요소가 되고 있다. 현재 모든 금융 거래를 지원하는 모바일 뱅킹은 mPKI를 적용하여 구축돼 있다고 보면 된다.


● 네트워크 통제 및 보안
스마트폰 이용 범위를 인터넷을 경유한 원격 접근만을 허용할 것인지, 내부 네트워크를 통한 접근도 허용할 것인지에 따라 네트워크 통제 및 보안의 범위는 달라질 수밖에 없을 것이다. 내부 네트워크를 통한 접근도 허용하기 위해서는 대부분 와이파이를 구축하게 되고, 이에 대한 보안 대책(IEEE 802.1x 인증 시스템 구축, WIPS 도입 등)도 함께 고려해야 한다.

인터넷을 경유하는 경우, 어떤 무선망을 사용하는가가 변수가 될 수 있다. 즉 3GPP나 와이브로를 사용하는 경우는 자체적인 보안 체계가 안전한 것으로 보고되고 있지만, 공개 와이파이존을 사용하는 경우(인증/암호 없이 사용)에는 안전이 매우 의심스럽다는 것이 중론이다. 어찌됐건 모두 인터넷 구간을 경유하게 되므로, E2E VPN을 고려해 볼 필요가 있다.

스마트폰 테더링을 이용한 인터넷 우회 접속을 차단하는 시스템의 구축은 모바일 오피스의 도입과 무관하게 현 시점에서는 반드시 필요한 상황이다. 임직원들이 개인적으로 소지하고 있는 스마트폰을 이용하여 현재도 자신의 PC를 인터넷에 직접 접속하고 있기 때문이며, NAC(Network Access Control), 통합 PC 보안 제품 등에서 테더링에 대한 통제 기능을 제공하고 있다.

이렇게 장황한 설명을 하면, 대부분의 보안 담당자들은 모바일 오피스의 도입 등 스마트폰을 업무용 단말로 사용하는데 있어 대단히 많은 우려를 나타낸다. 그러나 대세는 스마트폰을 기업 경쟁력의 제고 수단으로 활용하는 것이며, 적절한 보안 수단과 함께 보안 위험도가 낮은 부분부터 단계적으로 모바일 오피스를 적용해 나아가는 지혜가 필요할 때다.

 

네트워크 타임즈 제공

 

'ICT 이야기' 카테고리의 다른 글

NFC RFID  (0) 2011.04.06
UTM(Unified Treat Management)  (0) 2011.04.06
NAC, 데스크탑, 네트워크, 보안  (0) 2011.03.31
Sun Microsystems, JAVA Enterprise.  (0) 2011.03.31
개인정보보호법  (0) 2011.03.30
Comments