[박춘식 교수의 보안이야기] 시큐리티 기업 Bit9의 최고기술책임자인 Harry Sverdlove에 의하면 통화이용은 스마트 폰 이용 방법 가운데의 3%를 차지하는 데 불과하다. 세계에는 3억대를 초과하는 스마트 폰이 존재하고 보유자의 76%가 개인의 스마트 폰을 업무에 이용하고 있다.
 
“스마트 폰은 신종 PC이며 과거에 예를 보지 못할 정도의 속도로 부상해온 시큐리티 상의 위협이기도 하다. 개인의 스마트 폰을 회사에서도 이용하는 사람이 늘어감에 따라, 이러한 디바이스를 노린 공격이 증가하고 있다. 이 급격한 변화에 대응하기 위해, 기업은 기밀 데이터와 지적 재산 보호에 대해서 새로운 방침을 만들 필요성이 대두되고 있다”고 밝혔다.
 
기업의 스마트폰 취약성에 대한 이해를 높이기 위한 것을 목적으로, 시큐리티 기업 Bit9(http://www.bit9.com)은 11월 21일, 공격을 받기 쉬운 스마트폰에 대한 보고서(www.bit9.com/files)를 공개했다.
 
보고서에는 「Dirty Dozen」이라 이름 붙인 시큐리티 문제가 있는 ‘스마트폰 워스트 12’가 소개되고 있다. 소개된 스마트 폰은 모두 안드로이드 OS 디바이스였다. 여기서 주의하지 않으면 안 되는 것은 Androd OS 디바이스는 가장 많이 판매되고 있는 모바일 디바이스라는 점이다.
 
Sverdlove는 리스트 작성 시에는 Android OS 와 iOS 디바이스만을 대상으로 하였다고 설명하고 있다. 윈도우 모바일(Windows Mobile)이나 다른 OS가 탑재된 디바이스는 시장 쉐어(Share)가 너무 적어서 의미있는 데이터가 도출되지 않았다.
 
RIM Blackberry 디바이스도 리스트로부터는 제외되었다. 이것은 동일한 디바이스의 시장 쉐어가 감소하고 있는 것과 블랙베리 디바이스에서 이용되는 어플리케이션이 Blackberry Enterprise Server로 집중 관리되어 악의 있는 어플리케이션이 이용자에게 설치되는 일이 적다라는 2가지의 이유로 제외되었다고 말하고 있다.
 
공격을 받기 쉬운 스마트폰 워스트12은 다음과 같다.
1. Samsung GALAXY Mini
2. HTC Desire
3. Sony Ericsson Xperia X10
4. Sanyo Zio
5. HTC Wildfire
6. Samsung Epic 4G
7. LG Optimus S
8. Samsung GALAXY S
9. Motorola DROID X
10. LG Optimus One
11. Motorola DROID 2
12. HTC Evo 4G
 
Bit9이 이들 스마트폰을 워스트12로 선정한 것은 주로 다음과 같은 3가지 이유 때문이다.  이들 스마트 폰은 1. 시장 점유(share)가 높으며 2. 시큐리티 문제가 있다고 생각되는 구 버전의 Android OS가 사용되고 있으며 3. 업데이트 사이클이 늦다는 점이다.  
 
Sverdlove는 시장에 출하되고 있는 안드로이드 스마트폰 가운데에는 6개월 이상 오래된 버전의 Android OS가 사용되고 있는 것이 있다고 말한다.
 
그 가운데에서도, 삼성、HTC、모토로라、LG 제조회사는 새로운 기종을 출하하는 시점에서 최신이 아닌 OS를 번들로 출하하는 경우가 많다. 또한 이들 제조 회사는 최신 시큐리티 업데이트의 출하 시각이 늦고 경우에 따라서는 완전히 업그레이드 하지 않는 경우 조차 있다.
 
Sverdlove는 안드로이드 스마트폰을 제조하는 벤더가 OS의 시큐리티 업데이트 취급을 중지하고, 구글이 직접 제공하도록 해야만 한다고 말하고 있다.
 
삼성(Samsung) 제품의 Google Nexus S가、Android OS 벤더인 Google로부터 직접 업데이트 제공을 받고 있는 것을 지적하고 있다. “Nexus S 는 시큐리티에 관해서 최고 득점을 얻고 있다. Google이 시큐리티 업데이트를 릴리이즈하기 때문에 Nexus S는 바로 업데이트를 받는 것이 가능하기 때문이다”라고 밝혔다.
 
한편 iOS 디바이스에는, 아이폰(iPhone) 4를 포함한 과거의 모델이 13위에 랭크되어 있다. iOS 5가 릴리이즈되어 PC없이도 업데이트가 가능하게 되어 iOS 디바이스의 시큐리티는 보다 안전하게 되었다.
 
그는 “애플(Apple)은 업데이트를 하는 사람과 하지 않는 사람으로 시큐리티에 갭이 있는 점에 착안하여, iOS 5에서 해결책을 제공하였다”고 밝혔다.
 
Bit9는 제조 벤더가 시큐리티 업데이트에 대해서 보다 무거운 책임을 가지지만, 또는 Google로 부터의 업데이트를 직접 받는 것처럼, 시큐리티 전문가와 고객이 압력을 가해야만 한다고 말하고 있다.
 
또한 기업은 기업 내에서 이용 가능한 스마트폰을 안전한 디바이스로 한정해야만 한다고 말하고 있다. 게다가 사내 어플리케이션 스토어를 만들어서 사원이 이용할 수 있는 어플리케이션을 신뢰할 수 있는 것으로 한정해야만 한다고 말하고 있다. [박춘식 서울여자대학교 정보보호학과 교수]