디지털타임스

 


"스마트폰 보안위협 앱스토어에 집중될것"

프린트 페이스북 트위터 카카오스토리
애플리케이션 검증절차 허술… 악의적 프로그램 등록 우려
스마트폰 애플리케이션으로 가장한 악성코드가 앱스토어를 통해 유통되는 것에 대한 우려가 제기됐다.

한국정보보호학회가 17일 서울 삼성동 섬유센터 스카이홀에서 개최한 `스마트폰 보안문제 진단 및 대책마련을 위한 토론회'에서 전문가들은 애플리케이션에 대한 보안과 앱스토어에 등록되는 애플리케이션 검증 강화가 필요하다고 지적했다.

이영종 지란지교소프트 팀장은 "안드로이드용 애플리케이션 유통구조에서 애플리케이션의 검증 절차가 허술한 부분이 있어 악의적인 프로그램이 등록될 수 있다"며 "안드로이드 애플리케이션 개발자 확인 등을 위한 인증서 제도가 있지만 자체 인증서 서명이 가능하며 퍼미션(Permission) 기능도 사용자가 위험을 인식하지 못하면 허점이 될 수 있다"고 말했다.

이 팀장은 이런 허점을 통해 해외에서 지난해 12월 `09드로이드'라는 개발자가 정보를 유출하는 프로그램을 인터넷 뱅킹, 모바일 뱅킹 프로그램으로 가장, 39종을 앱스토어에 올린 사건이 있었다고 밝혔다.

또 류재철 충남대학교 교수는 "지난해 스마트폰 악성코드가 400여개 보고됐는데 그중 95%가 심비안 운영체제를 겨냥한 것이었다"며 "심비안용 애플리케이션 등록에 대한 검증체계가 없어 악성코드를 앱스토어에 올렸기 때문"이라고 지적했다.

김기영 이니텍 상무는 "지금까지 보고된 아이폰 관련 취약점 중 정보유출 관련이 31개였는데 이중 애플리케이션 관련이 25개, 서비스 관련 3개, OS 관련 3개로 애플리케이션 취약점이 다수를 차지했다"며 "아이폰 OS가 다른 스마트폰 OS에 비해 안전한 것은 사실이지만 애플리케이션 취약점이 문제를 일으킬 가능성이 있다"고 말했다.

보안 전문가들은 스마트폰 확산으로 이에 대한 애플리케이션과 앱스토어가 활성화되면 이를 통한 위협도 늘 것이라며 대비가 필요하다고 지적했다. 류재철 충남대학교 교수는 "국내 기업 등이 참여해 30억명이 이용하는 앱스토어를 만든다고 하는데 악성코드를 애플리케이션으로 속여서 올리는 것에 대한 보안체계가 마련돼야 한다"고 말했다.

또 국내에서 스마트폰 보안위협이 실체적으로 나타나지는 않았지만 앞으로 위협의 가능성이 높다는 데 목소리를 같이 했다.

조시행 안철수연구소 상무는 "심비안 OS 경우 악성코드가 많이 발견됐지만 다른 운영체제를 겨냥한 악성코드는 많지 않으며 국내에서는 아직 나타나지는 않았다"며 "PC를 통한 악성코드 보다 스마트폰을 이용한 방법이 돈이 되고 악성코드 제작자들이 스마트폰에 재미를 느낀다면 위협이 확산될 것"이라고 말했다.

김기영 한국전자통신연구원(ETRI) 팀장도 "어느 OS도 취약점이 있고 완전히 안전한 OS는 없다"며 "스마트폰에서 정보유출과 DDoS 공격 등 PC와 비슷한 위협들이 등장할 가능성이 높다"고 말했다. 김승주 성균관대 교수는 스마트폰 분실시 정보유출 문제에 대한 대비가 필요하다고 지적했다.

강진규기자 kjk@

◆사진설명 : 17일 서울 삼성동 섬유센터에서 열린 스마트폰 보안문제 진단 및 대책마련을 위한 토론회에서 류재철 충남대 교수(맨 왼쪽)가 '스마트폰 보안대책 및 피해 사례'에 대해 발표하고 있다.

사진=김동욱기자 gphoto@