바야흐로 모바일 전성시대다. 언제부터인가 새롭고 놀라운 기술의 중심에는 모바일이 위풍당당하게 자태를 뽐낸다. 모바일을 통해 집 안의 모든 시스템을 제어하는 등 모바일은 이제 우리의 삶을 바꾼다. 정작 이를 안전하게 구현하는 보안 기술은 개인용컴퓨터(PC) 시절에 멈춰 제자리걸음을 하고 있다.
모바일의 중요성은 스마트폰이 등장하며 부각되기 시작했다. 스마트폰이 등장했을 당시 사람들은 `손 안의 PC`라 부르기 시작했다. 당연히 PC에서 하던 방법대로 보안을 하면 이 놀라운 기술을 안전하게 사용할 것이라는 믿음이 있었다.
PC와 같은 최종 장치가 폭증하던 시절부터 해커들은 리버스 엔지니어링을 통해 다양한 프로그램 소스코드를 확인했다. 또 이를 복제하거나 악의로 조작하는 방법을 사용해 왔다. 그리고 보안은 이를 막기 위해 각종 백신을 사용하거나 관리 시스템, 난독화 도구를 이용해 소스코드와 데이터의 흐름 구조를 흩뜨려 놓아서 분석을 어렵게 하는 방법을 사용했다. 당시 이와 같은 기술은 효과적으로 해킹을 막는 중심 역할을 수행했다.
이 같은 방법은 PC와 다른 운용체계(OS)와 다양한 기능을 위한 애플리케이션(앱)이 모바일 핵심 기능으로 등장하면서 수많은 문제점이 제기된다. 새로운 OS와 앱을 노린 해킹이 등장한 것이다. 기존의 백신이나 매니지먼트 시스템과 같은 방법은 기기 전체를 보호하기 위한 수단이기 때문에 새롭게 등장한 앱을 보호하기에는 보안성이 턱없이 부족할 수밖에 없다.
사용자 스스로 루팅이나 탈옥 행위로 디바이스 관리자 권한을 획득함으로써 앱이 안전한 환경에서 실행될 수 없도록 만든 점 역시 기존의 보안 체계를 무너뜨리고 새로운 해킹을 등장시킨 요인이었다.
결국 이와 같은 문제점은 앱의 핵심 설계도인 소스코드를 분석, 복제 및 위·변조를 가능케 한다. 리패키징을 하거나 메모리를 변조하는 등 다양한 문제를 만드는 요인이다.
최근에는 안드로이드 앱으로 위장해 사용자 스마트폰에 설치된 후 내부 권한을 완전히 장악하는 공격이 발생했다. 광고 형태의 악성 애드웨어(Adware)로 모바일에 침입한 뒤 스마트폰을 원격 통제하는 등 더욱 지능화 및 고도화된 공격이 발생한다. 이와는 반대로 손쉽게 해킹할 수 있는 해킹 툴까지 등장, 수많은 사람이 앱을 공격하기도 한다. 애플 IOS 역시 이와 같은 앱 해킹으로 수많은 피해가 발생한다.
지난해 중국에서는 비공식 웹사이트에서 악성코드에 감염된 XCODE(애플의 개발 툴)를 내려 받아 개발된 아이폰용 앱이 유포됐다. 1억명가량의 애플 ID와 비밀번호 등 개인정보와 접속 권한이 탈취당하는 공격이 발생하기도 했다.
누구나 쉽게 모바일을 해킹하고, 방법 역시 지능화되는 공격에 대응하기 위해 앱 개발 단계부터 모바일 OS에 맞춰 보안을 고려해야 한다. 구조적 취약점을 분석하고 이에 대응하는 전담 조직을 구성, 조직을 갖춘 방어 태세를 구축해야 한다. 또 보안에 대한 교육과 연구를 지속 진행, 전문성 강화와 취약점 개선을 해야 한다.
생명 주기가 짧은 모바일 앱의 특성상 기술 및 시간상 이유로 보안을 담당하는 전담팀이 구성되기 어려운 경우가 많다. 이런 경우 전문 솔루션을 도입하는 것이 좋다. 앱의 소스코드를 보호해줄 뿐만 아니라 위변조 방지, 메모리 보호, 게임 엔진 보호 등 각 앱을 노리는 모든 공격에 대비하는 다양한 기능을 제공한다. 총체적으로 앱을 보호할 수 있다는 장점이 있다.
이 밖에도 정부 차원의 지원을 바탕으로 모바일 보안 기술을 지속 강화하는 것 역시 필요하다. 현재 사이버 위험에 대한 정책은 예방보다 정부 차원의 대응책에 초점이 맞춰져 있다. 이 같은 방안은 잠재 위협 요소들에 대응하고 관리하기에는 어려운 만큼 모바일 보안에 대한 안정된 위협관리 체계 마련이 지속해서 선행돼야 한다.
시간이 흐를수록 모바일 앱의 중요도는 높아진다. 이를 노리는 공격 역시 지능화된다. 공격에 대비해 모바일에 대한 지속된 분석과 그에 맞는 보안 시스템을 체계화해서 마련해 나간다면 더욱 안전하고 편리한 모바일 시대를 만들어 나갈 수 있다.
최명규 락인컴퍼니 대표 mkchoi@lockincomp.com
