스마트폰 보안과 공인인증서의 사용 (보안뉴스 10. 06. 21)

Penta Security logo

사용자들의 보안 의식과 노력으로 내 자산 지켜야
 
스마트폰 보안과 공인인증서의 사용
다양한 기능과 사용의 편리성, 그리고 이동성이 장점인 스마트폰 이용자의 증가로 인해 스마트폰에서의 보안은 더욱 중요하게 대두되고 있다. 특히 유료 서비스의 이용과 금융결제 등이 가능한 스마트폰은 PC만큼 비슷한 유형의 보안위협에 처해 있지만 많은 사용자들이 이를 자각하지 못하고 있다.
스마트폰에서 볼 수 있는 운영체제는 크게 안드로이드(구글), 아이폰(애플) 및 블랙베리(RIM) 등이 있다. 점유율면에서 볼 때, 우리나라에서는 아이폰의 독주를 후발주자인 안드로이드가 견제하는 입장이지만 미국의 경우, 블랙베리가 하향세를 그리는 1위를, 2010년 1/4분기에 처음으로 아이폰을 추월한 안드로이드가 2위를 차지하고 있다.
스마트폰은 이메일, 일정관리, 프리젠테이션 등의 모바일 오피스와 영화, 음악, 미술 감상 등의 멀티미디어 및 길찾기, 인터넷 뱅킹, 공공 서비스 이용 등 편리하고 다양한 기능들을 제공한다. 이런 편리함과 이동성으로 인하여 세계 스마트폰 시장은 2010년 1/4분기에 전 분기에 비하여 56%라는 놀라운 성장률을 기록했고 국내에서도 가입자가 200만명을 넘어선 것으로 추산된다. 하지만 스마트폰의 편리함 및 성장률에 비해 보안 기술은 이제 시작하는 단계이므로 도난이나 악성코드 등에 취약한 단계라 할 수 있으며 사용자 개인의 각별한 주의가 필요하다.
 
스마트폰에서 보안이 왜 중요한가?
다른 매체에서의 보안도 물론 매우 중요하지만 스마트폰에서의 보안은 다음의 이유로 더욱 중요하게 대두되고 있다.
첫째, 스마트폰은 이동성이 있는 극히 사적인 기기이다. 대개 우리는 휴대전화에 전화번호를 저장하고 문자 메시지 서비스를 이용한다. 또한 내장된 카메라로 사진이나 동영상을 촬영하기도 하고 일정을 저장하며 간단한 메모를 남기기도 한다. 스마트폰을 업무적으로 사용하는 경우라면 일정관리를 위한 스케쥴이나 이메일, 또는 발표 자료 등 회사의 자산인 각종 정보들이 저장되게 마련이다. 이러한 스마트폰이 USB 저장매체와 같은 편리한 이동성에 반하여 분실 또는 도난 등의 이유로 타인이 획득한 경우, 개인의 사생활이 적나라하게 노출됨은 물론 업무적으로도 비밀 자료 유출 등의 경우, 심각한 타격이 될 수 있다.
둘째, 스마트폰은 유료 서비스의 이용과 금융 결제가 가능하다. 국내에서 처음으로 발견된 악성코드는 ‘트레드다이얼’이라는 이름의 악성코드로서 50초마다 무단으로 국제전화를 걸어 휴대전화요금이 빠져나가도록 유도한다고 한다. 즉 휴대전화라는 특성상 무선인터넷 사용요금 또는 전화비 등 개인에게 직접적인 경제적 손실을 가져온다는 것이다. 또한 하나은행 및 기업은행이 인터넷 뱅킹용 애플리케이션을 출시한 상태이며 국민은행, 신한은행, 농협 등이 개발중이거나 출시를 추진하고 있어 인터넷 뱅킹이 가능하므로 위험할 수 있다.
셋째, 본질적으로 PC와 다른 새로운 패러다임이다. 스마트폰의 기능은 이미 PC와 필적할 만큼 향상되었고 PC의 그것만큼 비슷한 유형의 보안위협에 처해 있지만 많은 사용자들이 이를 자각하지 못하고 있으며 국내에 스마트폰이 소개된지 얼마 되지 않아 대처가 미흡한 부분도 적지 않다. 또한 휴대전화와 PC의 결합이라는 의미로도 볼 수 있기 때문에 PC처럼 프로그램 설치나 네트워크를 통해서뿐만 아니라 SMS 같은 휴대전화의 기능으로도 악성코드에 감염될 수 있다.
이와 같은 이유로 스마트폰을 위한 백신 프로그램의 개발은 활발히 진행되고 있으며 금융 거래나 인증 시에 사용되는 공인인증서는 국내의 표준 또는 가이드라인이 발표되었지만 그 내용이 미흡하거나 아직 발간되지 않는 부분이 있는 등의 과도기라고 할 수 있다.
 
스마트폰에서의 공인인증서 사용
첫 번째는 공인인증서 저장 위치가 브라우저가 참조하는(또는 브라우저에 내장된) 표준위치가 아닌 특정 저장위치이므로 별도의 소프트웨어 없이 브라우저 자체만으로 이용할 수 없다. 그리고 두 번째는 특정 저장위치의 공인인증서를 이용하기 위한 소프트웨어가 마이크로소프트사의 Internet Explorer 전용 기술인 ActiveX 형태여서 하나의 벤더에 종속적이다.
공인인증서의 특정 저장위치 문제는 정책적인 문제이므로 더 많은 대화가 필요해 보이지만 ActiveX 관련 문제는 다행스럽게도 많은 부분에서 개선되고 있다. 웹 접근성 관련 지침이 확대 적용됨에 따라 다양한 OS와 브라우저를 지원하는 소프트웨어가 개발되었고 또한 개발되고 있다. 이러한 문제는 현재까지도 공인인증서 사용을 강제하는 정부와 반대하는 단체들 사이에 논란이 되는 부분이므로 어느 것이 더 나은지에 대한 논의는 이 글의 논점을 벗어나는 사항이므로 더 이상 언급하지 않겠다.
지난 3월 말 정부가 30만원 미만의 소액결제에 대해 공인인증서 의무화 규제를 풀기로 결정함에 따라 스마트폰에서의 전자 거래가 폭발적으로 증가할 것으로 예상된다. 전체 전자 거래의 97% 가량이 30만원 미만의 소액결제라고 하니 파급효과는 어마어마할 것이다. 하지만 30만원 이상의 거래나 네트워크 통신 시 데이터 보호를 위해 현재의 정부 정책상 스마트폰에서도 공인인증서가 필요하다. 스마트폰 출시 후 몇 개월간 몇몇 은행이 발 빠르게 애플리케이션을 개발해 인터넷뱅킹을 할 수 있도록 했지만 표준이 발간되지 않은 상태이었으므로 각기 다른 방식으로 공인인증서를 사용했다. 하지만 지난 4월 행정안전부와 한국인터넷진흥원에서 관련 기술규격을 발표함에 따라 이젠 모든 금융권이 발표된 표준을 기준으로 구축해야만 한다.
아이폰의 경우, jailbreak를 하지 않은 이상 각 애플리케이션들은 샌드박싱되어 있으므로 원칙적으로 서로간의 데이터를 공유할 수 없지만 하나의 애플리케이션이 가진 키체인의 보안 데이터를 다른 애플리케이션과 주고 받을 수는 있다. 즉 금융권에서 공인인증서를 사용하기 위한 각각의 애플리케이션들은 그 애플리케이션을 개발한 주체간의 협력을 통해 서로의 애플리케이션 정보를 공개하지 않는 이상, 각각의 실행 영역에 동일한 공인인증서를 가지고 있어야 한다는 것이다.
기술규격에 따르면 아이폰의 경우, 공인인증서 발급 및 삭제 등의 관리는 이동통신사(KT)에서 개발하여 배포될 애플리케이션에서 수행하고 인터넷 뱅킹 등의 공인인증서를 사용하는 애플리케이션은 공인인증서 관리 애플리케이션을 호출하여 공인인증서를 획득하는 방식으로 사용할 수 있다. 다른 OS의 경우는 기존 PC에서와 비슷한 방식으로 사용할 수 있는데 반해 아이폰은 기존 방식의 사용이 불가능하여 기형적인 모습으로 규격이 정해졌다고 할 수 있으며 이는 보안상의 이유로 아이폰이 추구한 샌드박스 방식의 보안 체계와 상충하는 듯 보인다.
공인인증서에서 사용하는 암호화 방식은 수학적으로 매우 안전한 방식이다. 하지만 안전한 공인인증서 사용 체계를 구축하는 과정이나 사용자의 부주의가 안전한 공인인증서를 보안에 취약하게 만들 수 있다. “Security is not a product, it’s a process”라는 말을 의미를 곰곰이 되새겨봐야 할 것이다.
 
가장 강력한 보안 기술
어떤 시스템의 보안 정도를 판단하는 척도는 가장 약한 연결 고리에 대한 측정이다. 그리고 대개의 경우, 가장 약한 연결고리는 항상 사용자이다. 어떤 도둑이 목표로 삼은 건물에 침입하려 할 때 CCTV, 지문인식장치, 디지털 도어락 등, 몇 겹의 보안장치로 둘러싸인 정문을 통과하기 보단 유리창을 깨고 들어가는 것을 택할 것이 자명한 것처럼 스마트폰을 소유하고 사용하는 사용자가 보안에 관심을 기울이지 않으면 아무리 강력한 보안 기능이 제공된다 하더라도 아무런 보장이 되지 못한다.
공격자는 기술적으로 보안된 스마트폰의 경우, 사회공학적 방법 등을 통해 비밀번호나 암호화에 사용되는 키를 알아내려 노력할 것이므로 사용자는 유추하기 힘든 비밀번호를 설정하고 수시로 변경하는 등의 노력이 필요하다. 또한 비밀번호를 통한 잠금장치 기능 설정 등의 최소한의 안전대책을 강구하여 스마트폰 분실에 대비해야 한다.
보안 시스템 개발자들이 끊임없이 더욱 더 완벽한 보안 기술을 개발해서 기술적인 취약점을 보안할수록 더욱 더 많은 공격자들은 사용자라는 요소를 이용하려 들 것이라는 사실을 인지하여 내 자산을 지키기 위하여 노력해야 할 것이다. 방송통신위원회에서 발표한 스마트폰 이용자 안전수칙을 참조하는 것도 좋은 방안이 될 수 있을 것이다.
<글 : 이유식 펜타시큐리티시스템 PKI팀, 제품개발부 팀장(yslee@pentasecurity.com)>
 
[기사 원문 보기 – 보안뉴스 http://www.boannews.com/media/view.asp?idx=21517&kind=1]