2016년 3월 9일 수요일

천만 가지 악성 앱, 안드로이드 스마트폰의 ‘불편한 진실’


10,000,000이라는 숫자는 쉽게 읽기가 힘들지도 모르겠다. 일상에서 쉽게 접하는 숫자는 아니기 때문. 아무튼 이 숫자는 ‘천만’이라고 불리며, 다른 말로는 안드로이드 운영체제의 악성 앱의 숫자와도 같다.

즉, 안드로이드 운영체제의 스마트폰에서 사용 가능한 앱 가운데, 적어도 1천만 가지는 악성 앱으로서 사용자의 정보를 훔쳐 가거나, 위치를 몰래 엿보거나, 사진이나 음성을 몰래 촬영하거나 녹음하기도 한다는 것이다.


   

그리고 이것은 사용자들의 사생활이 노출되어 있으며, 매우 위험하다는 것을 뜻할 것이다. 더구나 생체 인식 정보로 불리는 지문 정보까지 하나의 파일처럼 돌아다니다 보니, 이제는 개인 정보를 넘어선 생체정보까지 유출될 정도가 되었다.

이미 미국에서는 500만 개가 넘는 지문 정보가 유출되며 문제가 되기도 했고, 한국에서도 지문 정보를 쉽게 갈취할 수 있다는 점을 통해 지문을 통한 보안이 완벽한 대안이 될 수 없음이 알려지기도 했다.

천만 가지에 달하는 안드로이드 악성 앱은 분명 스마트폰 사용자들도 알지 못하는 사이에 자신의 모든 정보가 해커에게 넘어감을 의미할 것이고, 이것은 곧 커다란 재앙이 될지도 모르겠다.



보안? 백신 있는데요.
백신으로 실시간 검사를 하고, 앱을 설치할 때마다 백신이 알아서 검사를 해주기 때문에 문제가 없다고 생각하는 분들이 많다. 하지만 보안은 생각보다 간단한 문제가 아니다.

얼마 전, 국방부는 북한으로부터 지난 1월에 해킹이 되었다고 발표했는데, 그것도 해킹되는 당시에는 알지도 못 했던 일이었다. 즉, 국가기관이라고 하더라도 얼마든지 해킹이 가능한 것.

단순히 스마트폰에 백신 앱 하나 설치했다고 해서 과신하기에는 해커들의 능력은 이미 백신 위에 있음을 기억해야 한다. 백신은 없는 것보다는 백번 낫지만, 그것만으로는 충분하지 않다는 것이다.


앱? 정식 마켓에서만 받는데요.
앱을 받을 때 정식 마켓에서만 받는 경우에도 안전하다고 생각하는 사람들이 많이 있다. 하지만 아이러니하게도 정식 플레이 스토어에 등록된 앱들 가운데 최대 20%에 이르는 앱이 악성 앱으로 분류된다는 불편한 진실이 있다. (미국 정보 보안 전문 기업 Smobile 발표 참조)

즉, 믿고 다운로드하는 정식 앱이라고 하더라도 언제든지 사용자의 정보를 빼낼 수 있는 흉기가 될 수도 있다는 것. 일례로 손전등 앱 하나가 사실상 가능한 한 모든 사용자 권한을 요구하는 경우도 있었다.

   


그리고 이러한 권한으로 인해 사용자도 모르는 사이에 사용자의 메모, 사진첩, 문자, 주소록 등등 사용 가능한 모든 개인 정보에 접근해서 해당 정보를 알 수 없는 곳으로 전송하면서 전 세계가 발칵 뒤집힌 일이 불과 얼마 전임을 기억해야 한다.

앱은 정식 마켓에서 받을 경우 ‘상대적으로’ 안전할지는 몰라도, 완전히 안전하다고 확신할 수는 없다는 사실이다. 결국 사용자가 미리 대처하고 주의하지 않는 한 언제든 문제가 될 수 있는 것.


애플 계정 훔치는 피싱 사기, 아이폰에서도 당할 수밖에 없는 이유
펼쳐보기 ⇲


업데이트? 자동으로 하고 있어요.
스마트폰 운영체제 업데이트를 자동으로 하는 경우, 더욱 안전해진다고 생각하는 사람들이 많다. 하지만 일반적인 업데이트는 운영체제 업데이트가 아닌 소소한 버그 패치일 경우가 많다.

안드로이드의 최신 운영체제가 설치된 비중은 매우 적으며, 몇 년 전의 운영체제 비중이 상당히 높은 상황이다. 결국 최신 보안 패치가 적용된 운영체제가 아닌 이상 악성 앱에 더욱 취약할 수밖에 없다.


   

아쉽게도 현재 사용 중인 모든 안드로이드폰에 최신 운영체제가 지원되지는 않는다는 것이고, 운영체제 업그레이드는 구글이 아닌 각 스마트폰 제조사들이 지원해야 한다는 사실이다.

더구나 운영체제 업그레이드는 제조사 입장에서도 매우 까다로우며 스펙에 맞춰야 하고, 시간과 비용이 많이 소요된다는 것이다. 그래서 오래된 폰일수록 최신 운영체제 지원은 더욱 힘들 수밖에 없다.



아이폰도 악성 앱이 발견됐잖아요.
맞다. 아이폰도 악성 앱이 발견되면서 논란이 되었었고, 전 세계적으로 이슈가 되었었다. 하지만 해당 앱은 매우 적은 수에 그쳤고 그마저도 일부 국가에 한정되었으며 애플은 바로 해당 앱을 삭제 조치했다.

애플은 모든 앱에 대해서 사전 검열과 승인 과정을 통해서 배포하고 있다. 즉, 새로운 앱을 등록할 때뿐만이 아닌, 매번 업데이트를 할 경우마다 악성 앱인지 아닌지를 직접 검사하는 것이다.

이로 인해, 사소한 업데이트라고 하더라도 시일이 상당히 소요되며, 이러한 시간 소요는 사용자들에게 불편을 주기도 하지만 보안에 있어서는 매우 안전한 방법이기 때문에 애플은 이러한 정책을 유지하고 있다.

물론 이것은 아이폰이 완벽하다는 것이 아닌, 상대적으로 볼 때 아이폰은 더욱 보안이 높으며 사용자의 정보가 유출될 가능성은 극히 낮거나 거의 없다는 사실이다. 샌드박스 구조로 인해 A라는 앱이 B라는 앱이나 시스템에 접근할 권한 자체가 없기 때문이다.


미국 FBI도 못 뚫는 ‘아이폰 보안’ 애플의 대처가 당연한 이유
펼쳐보기 ⇲

자체적인 보안을 강화한 갤럭시 노트5 ▼

그러나 마켓을 통한 보안 헛점은 무시할 수 없는 아킬레스건이 되고 있다 ▼

결국은, 사용자의 주의가 필요한 상황이다 ▼

악성 앱, 대처 방법은요?
지난 2011년만 하더라도 안드로이드 운영체제의 악성 앱은 불과 천 개 정도에 그치지 않았다. 하지만 2015년 기준, 1,059만 개를 넘어서는 수준까지 이르면서 안드로이드 운영체제 자체가 위태로워진 것이다. (3월 7일, 日 보안기업 트랜드마이크로 발표 자료 참조)

스마트폰은 사실 앱으로 완성된다고 해도 과언이 아닐 텐데, 마음 놓고 사용해야 하는 앱이 위험할 수 있다는 것은 그것 자체로도 마이너스 요인이 될 수밖에 없기 때문.

더구나 어떠한 앱이 위험한지는 누구도 쉽게 알 수 없는 부분이라서 더욱 문제가 되고 있다. 가장 좋은 방법은, 현재로서는 정식 플레이 스토어에서 다운로드하고, 리뷰를 살펴보며 문제가 없는지를 확인하는 것뿐이다.

잘 알려진 개발사의 앱을 사용하며, 무료라고 해서 무턱대고 앱을 다운로드하는 것은 좋지 않다. 또한 앱을 설치할 때 요구하는 사용자 권한을 잘 읽어 보고 과도한 권한을 요구한다면 설치를 중단해야 한다.



주기적으로 앱을 검사하고, 악성코드 역시 검사를 하는 것이 좋으며 스마트폰 자체의 자료를 주기적으로 백업하고 민감한 개인 정보와 같은 자료는 애초에 폰에 보관하지 않는 것이 좋다.

많이 알려져 있지만, 문자나 SNS를 통해 알 수 없는 링크를 클릭하지 않도록 하고, 알 수 없는 앱의 설치를 하지 않는 것 또한 매우 중요하다. 특정 사이트의 경우 접속만으로도 해킹의 우려가 있는 만큼 사이트의 접속 역시 신중해야 한다.

스마트폰이 곧 모든 것이 되는 시대가 되고 있다. 즉, 스마트폰의 권한만 탈취한다면 그것은 사용자의 모든 권한을 얻는다는 것과 같을지 모른다. 결국 스마트폰을 대상으로 한 해킹은 더욱 대담해지고 더욱 늘어날 수밖에 없을 것이다.

비단 안드로이드뿐만이 아닌, 아이폰과 같은 다른 운영체제의 스마트폰이라고 하더라도 보안에 대한 인식을 높여서 평소에 미리미리 대비를 하는 것만이 최선의 방비책이 될 것으로 보인다. - MACGUYVER.







0 개의 댓글: