안드로이드 보안문제가 다시 이슈가 되고 있다. 온라인 보안서비스업체인 RiskIQ는 구글 플레이 스토어(Google Play Store)에세 일반앱으로 둔갑해 있는 바이러스유발 앱들에 대한 조사를 하였다.
안드로이드 보안문제에 대해서는 이미 여러번 논의가 되었었고, 필자도 다른 포스팅에 다룬바 있다. 분명 해커들은 모바일기기의 사용량이 늘어갈수로록 공격의 대상을 PC에서 Mobile로 옮길 것이다. 현재 세계인들이 사용하는 스마트폰 OS는 Android, IOS, Rim, Window Mobile 등이 있다. 전 세계 스마트폰 OS 가운데 가장 많은 비중을 차지하고 있는 OS는 안드로이드이며 가장 보안문제로 거론되는 OS이기도 하다. 물론 사용량이 많기 때문에 자연스럽게 해커들의 공격이 잦을 것이란 추측을 할 수 있다. 실제로 이와같은 논의가 PC에서도 이루어졌다. OS간 끝없는 논쟁은 MS의 윈도우와 애플의 OSX이다. 윈도우에는 OSX에 비해(2006년 OSX에서 바이러스 발견됨) 상대적으로 바이러스가 많다. 그래서 보안을 위한 별도의 프로그램이 필요하다. 이를 두고 보통 OSX의 낮은 점유율을 그 원인으로 지목한다. 말하자면, 점유율이 낮으니 해커들은 자연스럽게 OSX를 무시했다는 것이다. 그러나 해외에서도 이 문제가 이슈가 되었을 때 인포월드와 디그에서 폭넓게 이것을 다루었지만, 그것은 사실과 다르다.
말하자면, 해커들은 공격성공에 대한 성취감과 희열을 느끼는 집단부류이다. 해커들을 인턴뷰한 결과에 의해서도 해커나 바이러스 메이커들은 "돈"보다 "성취감"을 위해 활동하는 사람들이다. 따라서 이제까지 다른 해커들에 의해 공격의 대상이 많이 되지 않았던 OSX를 공격하는 것이 더 희열을 느낄 것이다. 수만개의 윈도우 바이러스 중 1개를 만드는 것보다 공격이 잘 안된다는 곳에 바이러스 1개를 심는 것이 더 희열을 느끼기 때문이다.
많은 전문가들이 지적하듯 해커들이 상대적으로 지나치게 윈도우에 쏠리는 현상은 OS의 기본구조 때문이다. 맥 OS가 원래부터 보안에 강했던 것만은 아니다. OSX가 출시되기 전 MAC OS 9은 인터넷과 네트워킹, 다중사용자의 환경을 고려하지 않갔기 때문에 구조적으로 바이러스에 상당히 취약했다. 이점을 애플에서 인지하고 과감히 기존의 기본틀과 구조를 포기했다. 그래서 BSD Unix기반의 NeXT를 발전시켜 OSX를 탄생시킨 것이다. BSD Unix는 20년동안 오픈소스로 많은 사용자와 개발자들에게 검증된 기반이었다. 말하자면, 아무런 원칙과 과정 없이 보안에 강했던 것이 아니라 취약점을 발견하고 기존 OS와의 호환성을 모두 포기한 체 욕을 먹으면서까지 과감히 보안을 위해 노력했다는 것이다. 당시 애플의 주가가 높지 않았던 시점이라 이러한 도전은 애플에게 더 큰 손해로 작용했었다.
앱 숫자에 집착하는 모바일 OS
질보다 양을 따질 시기는 지나지 않았나?
다시 모바일 OS로 돌아가보자. 현재 안드로이드 운영체제에 대해서 많은 사람들이 보안에 취약하다는 평가를 내렸다. 블루박스 시큐리티(Bluebox Security)는 안드로이드의 보안 문제를 거론하면서 "암호화 서명"에 치명적인 문제점이 있음을 지적하였다. 암호화 서명을 하지 않고 무력화시키지 않다고 앱의 APK 코드를 바꿀 수 있다는 것이다. 앞서 언급한 온라인 보안서비스업체 RiskIQ에 의하면 안드로이드 스파이웨어 성격의 앱은 2011년 11,000개에서 2013년 42,000개가 되어 약 4배가량이 증가하였다.
RiskIQ가 밝혀낸 이 앱들은 스파이웨어 형태에서 부터 개인정보 유출용 트로이얀(Trojans)까지 다양한 형태로 존재하며 사용자의 폰을 해커가 개인화시킬 수 있는 치명적인 앱들도 존재한다고 한다. 악의적인 앱들을 조사해 보니 대화내용을 녹음하거나 스마트폰의 인터페이스를 완전히 조정하것, 이메일 주소, 연락처, GPS 데이터같은 개인정보를 유출하는데 사용되었다고 한다.
RiskIQ는 2011년 플레이 스토어의 앱가운데 가장 문제가 될 수 있는 앱 3가지를 공개했던 적이 있다. 그 중 Wallpaper Dragon Ball, Finger Hockey는 바이러스를 포함하고 있고 개인정보를 빼내는 코드가 삽입되어 있었고, Subway Surfers Free Tips은 "Air Push"라는 트로이얀이 포함되어 있어서 보안시스템을 그대로 통과시키는 악성코드가 삽입되어 있었다. 문제는 이러한 연구결과가 이미 밝혀졌음에도 불구하고 구글은 앱마켓에서 악성 앱들 색출하는데 적극적인 태도를 취하지 않았다는 것이다.
물론 2012년 구글 플레이 스토어의 스파이 앱을 걸러내기 위해 바운서라는 마켓 보안 시스템을 도입했지만, 위의 조사결과를 보면, 그리 큰 실적을 올리지 못한 것으로 드러난다. 특히 North Carolina 주립대의 연구소는 이 앱은 악성 앱의 15%뿐밖에 잡지 못한다고 지적한다. 더욱 이미 바운서를 간단히 지나치는 기법이 이미 연구자들에게 암묵적으로 돌고 있기도 하다. 테이터를 보면 구글 플레이 스토어의 스파이앱의 숫자가 4배정도 상승했지만, 조사에 의하면 2011년도 구글은 60%의 스파이앱을 제거하였지만, 2013년에는 약 25%정도만 제거한 것으로 드러난다.
구글은 분명 Lookout과 같은 보안전문 솔루션을 도입할 수 있다. 그러나 자체보안만을 강조하며 이를 허락하지 않는다. 구글은 왜 보안문제에 삼자의 개입을 차단하면서 스스로 해결하겠다는 입장만 내세울까? 이 문제를 다룬 TechSpot(원문보기)은 구글 플레이 스토어 내의 스파이앱이 늘어갈수록 전체 앱의 숫자가 늘어갔다는 것을 지적하였다. 이것은 당연한 말이겠지만, 굉장히 많은 것을 내포하고 있다.
구글의 안드로이드는 애플의 iOS과 경쟁한다. 사실 모바일OS 시장이 개척될 당시 앱의 숫자는 매우 중요했다. 구글은 앱의 숫자를 늘리기 위해서 그동안 개발자들을 격려하는 등 많은 노력을 했다. 그리고 지난 2013년 애플의 앱스토어에 등록된 앱을 숫자적으로 추월하였다. The Sociable의 조사에 따르면 2013년 초 구글 플레이스토어의 앱의 수는 800,000이고 애플 앱스토어의 앱의 수는 775,000이다. 제1의 모바일OS답게 가장 많은 앱들을 제공하고 있다는 뜻이다. 그러나 구글과 애플의 앱수의 차이는 고작 5,000건이다. 그런데 앞서 언급했듯이 RiskIQ 자료에 의하면 구글의 앱 가운데 42,000건은 스파이앱이다. 애플에도 스파이앱이 전혀 없는 것은 아니고, 어느 모바일OS가 더 많은 앱들을 제공하냐를 따지는 것도 아니다. 다만, 구글이 스파이웨어에 대해서 적극적으로 대처하지 않는 이유를 여기서 찾을 수 있다는 것이다.
애플에도 스파이 앱이 존재함에도 불구하고 사전등록 심의라는 필터 하나가 더 존재하기 때문에 그 양과 피해규모 역시 안드로이드보다 약하다. 그러나 구글은 여전히 개발자들이 앱을 자유롭게 만들어서 올릴 수 있는 환경을 고수하고 있으며 애플의 앱스토어가 사용하는 앱 사전등록 심의를 하지 않는다. 이것이 구글의 앱 숫자를 늘리는데 한 몫한 것은 사실이다. 결국 사용자들이 사용할 수 있는 유용한 앱을 더욱 장려한다는 미명아래 스파이웹을 괄시하고 앱 숫자 경쟁에서 우위를 차지하려고 한 것이다. 따라서 구글은 과도한 앱 숫자 경쟁으로 스파이웨어를 방관하고 키웠다는 비난으로부터 자유로워질 수는 없을 것이다.
모바일OS 후발주자들은 어떤가?
앱 숫자에 각기 다른 태도를 보이는 두 신모바일OS
포스팅이 안드로이드가 좋냐? iOS가 좋냐?라는 식으로 해석할 여지가 있기 때문에 이 둘을 제하고 생각해보고자 한다.
최근 유럽시장에서 새롭게 떠오르고 있는 OS는 단연 윈도우 모바일이다. 마이크로소프트사의 PC용 OS인 MS 윈도우는 그동안 보안의 취약점들때문에 많은 사람들의 우려를 받아왔다. 회사는 보안에 대한 문제점을 해결하기보다 호환성에 무게를 두며 윈도우를 개발시켰다. 호환성과 비슷한 말은 개방성이다. MS는 NT플렛폼을 보안하여 보안부분에서 많은 노력을 했지만, 보안이 취약한 Win95(win32c)과의 호환성을 견지하고 있기 때문에 보안의 문제는 늘 따라다닌다. 이 호환성을 지키기 위해서는 NT-only 플레폼으로의 완전전환이 쉽지 않고 이것은 보안의 문제점들을 계속 안고 가는 것이다.
그러나 급속도로 OS시장이 모바일로 쏠리면서 그야말로 MS는 모바일 내에서 찬밥이었다. 애플과 삼성, 또는 구글과 애플의 경쟁구도 속에서 MS은 이렇다할 성과를 내지 못한 것도 사실이다. 그럼에도 우리가 주목할 것은 MS가 몇년동안 모바일에 윈도우폰을 출시할 것을 암시하면서 이를 갈고 칼을 갈아 만들어 낸 윈도우 모바일은 개방성(또는 호환성)이 아닌 폐쇄성이다.
분명 이러한 MS의 폐쇄성은 개발자들의 앱 개발을 위축시킨다. 중국(미국 조사결과 없음)내의 한 조사기관이 조사한 바에 의하면 스마트폰 유저들의 모바일OS 선호에 가장 큰 기준은 가격이고 그 다음이 폭넓은 앱의 수이다. 결국 마이크로소프트는 PC OS의 경험을 바탕으로 앱의 숫자를 먼저 불리는 것보다 보안을 먼저 강화하는 것을 선택한 것이다. 물론 최근 MS가 앱 수의 열세를 극복하기 위해 안드로이드 앱을 실행가능하도록 하는 방안이 연구중에 있는 것으로 알려졌지만, 내부에서 안드로이드 보안 문제로 이견이 있다는 것이 전해지기도 했다.
다음으로 살펴볼 OS는 타이젠이다. 최근 필자도 갤럭시 기어2의 OS가 안드로이드가 아니라 타이젠이라는 포스팅을 작성하고 그것이 굉장히 좋은 결정이라고 하였다. 필자가 타이젠 OS를 극찬하는 것이 아니라 삼성의 새로운 전략과 소비자들의 선택의 폭이 넓어졌다는 측면에서 포스팅을 했는데 필자의 글을 읽는 많은 분들이 타이젠OS를 극찬했다고 오해하는 듯하다(물론 필자의 전달력에 문제가 있었다. 참조 - http://namedia.tistory.com/43).
여하튼 타이젠의 기반은 HTML5이다. 삼성이 새로운 모바일OS의 기반을 웹서비스에서 사용되는 HTML5를 선택한 것은 다양한 이유가 있지만, 호환성을 강조하기 위해서이다. 필자의 지난글을 참조하면 이해하는데 도움이 되겠지만, 이글을 통해 HTML5를 처음 알게되는 분들을 위해 간략하게 소개하면 HTML5은 홈페이지등을 만드는 웹기반 서비스이다. 삼성이 이 웹서비스를 이용하여 모바일OS를 개발한 것은 웹(Web)개발자들을 앱(App)개발자로 불러들일 수 있기 때문이다. 그리고 HTML5로 개발된 앱은 쉽게 다른 iOS나 안드로이드 플렛폼 용 앱으로 전환가능한 프로그램까지 마련되어 있다. 타이젠OS이 앞으로 앱의 수가 상당히 커질 수 있는 가능성이 있다는 것을 시사한다.
다시말하지만, 제3의 새로운 모바일OS를 선보이는 삼성의 입장에서 가장 큰 장애물은 개발된 앱의 수가 적다는 것인데, 개발자들을 더욱 불러들일 수 있는 HTML5 기반을 사용하여 이 단점을 최단기간에 극복하려는 것이다. 이것은 구글이 초기 안드로이드를 출시하면서 개발자들의 안드로이드용 앱을 개발하는 것을 촉진하기 위해 앱 등록 사전심사를 하지 않았던 것과 매우 유사하다.
아직 타이젠OS에 대한 활발한 조사와 실험이 이루어지지 않은 상황이지만, HTML5의 보안문제를 타이젠이 잠재적으로 가지고 갈 수 밖에 없다. 이미 2012년 컴퓨터보안 전문업체 소포스는 HTML5의 네트워킹 기술에서 주요한 보안 위험성을 찾았다고 발표했다. 당시 기사를 살펴보면 HTML5는 수많은 웹 어플리케이션을 만들 수 있는 장점이 있지만, "HTML5가 원래 클라우드 컴퓨팅과 함쳐져 더 가까운 클라이언트 비전을 얻는데 브라우저에 저장하는 데이터의 의해 브라우저는 사이버 범죄를 위한 표적이 된다"고 밝혔다. 결국 타이젠 역시 안드로이드 못지 않게 보안문제를 안고 가야한다는 것을 시사하는 것이다.
굳이 보안의 측면에서 보자면, 마이크로소프트는 보안을 강조하는 방법을, 타이젠연합(삼성 주도)은 앱 숫자를 키우는 방법을 택한 것이라고 해석할 수 있다.
유저들이 이용할 수 있는 다양한 앱들을 확보하는 것이 모바일OS를 제작하는 회사에게 매우 중요하다. 그러나 더 중요한 것은 그 앱이 어떠한 앱이냐라는 것이다. 앱의 가면을 쓰고 개인정보를 빼가고 사생활을 침해하는 악성 프로그램을 앱의 수에 포함시키는 것 자체가 모순이지만, 이를 방관하고 있는 것 또한 매우 크 잘못이다. 보안문제가 계속 커질수록 앞으로 모바일OS가 시장에 더욱 굳건하게 자리를 잡을 수 있는 원동력은 당장의 앱의 수가 아니다. 당장은 개발자들이나 사용자들에게 매력적으로 다가오지 않는 플렛폼일지라도 보안에 확실하다는 보장이 있다면 그것이 더욱 신뢰를 받을 것이다. 앞으로는 보안전쟁이 더욱 극심화될 것이기 때문이다.
댓글