FBI도 떨었다···스마트폰앱이 어쨌길래?

스마트폰이 미연방수사국(FBI)은 물론 미공군까지도 떨게 만들고 있다. 특히 국가안보와 중요한 이들 기관에서는 무료로 스마트폰을 나눠받은 사람들에게 웹에서 앱을 내려받지 말라고 주의를 주기까지 했다. 이후 공군의 경우 스마트폰에서 보이지 않았던 공격건수가 5배로 늘었다. 그동안 앱을 통해 암약하던 외부세력이 스마트폰 앱 사용 감소에 따라 모습을 드러낸 것이다. 안드로이드마켓에서 앱을 내려받는 것이 애플 앱을 내려받는 것보다 더 위험하다는 분석결과도 나왔다. 웹에서 앱을 내려받았다가 휴대폰의 데이터가 홀랑 지워진 사례도 보고됐다.

월스트리트저널은 4일(현지시간) 전세계적인 인기를 얻고 있는 스마트폰의 열기가 기업과 개인들에게 무선웹의 어두운 면을 경험하게 하고 있다고 전했다. 스마트폰의 급격한 확산으로 사용자들이 웹에서 애플리케이션을 내려받게 되면서 외부 맬웨어 등의 침투위험성도 크게 높아지고 있다는 것이다.

■ 앱스토어를 악용하는 사람들이 늘어난다

온라인 스토어는 애플과 구글에 의해 운영되고 있으며 다른 25만개의 게임,금융툴로 구성된다. 앱은 애플의 아이폰같은 스마트폰 판매의 일등공신이지만 보안검색자와 정부관계자들은 사악한 SW가 앱의 열기를 따라가지 않도록 하려고 애쓰고 있다.

우연히도 구글은 지난해 12월 수십개의 비공인 모바일뱅킹 앱을 안드로이드마켓에서 찾아냈다. '09드로이드'라는 개발자가 올린 이 앱의 가격은 1달러 50센트로서 전세계 많은 은행계좌에 연결된다고 주장했다. 구글은 자사의 영업정책을 위반했다는 이유로 이 앱을 빼버렸다.

이 앱들은 위험하기보다는 무용한 것이었다. 그러나 고객의 뱅킹비밀을 뽑아낼수도 있도록 업데이트될 수 있었을 것이라고 모바일 보안회사인 룩아웃의 존 헤링 CEO가 말했다.

그는 “나쁜 맘을 먹은 사람들이 앱스토어를 악용하기가 더욱 더 쉬워졌다”고 말했다.

애플이나 리서치인모션(림)과는 달리 구글은 자사의 안드로이드사이트에 애플리케이션을 올리는 일에 전담맨을 두지 않았다. 구글은 자사의 정책에 반한 앱을 빼버렸다고 했지만 경고하는 일을 상당부분 사용자들의 경고에 의존하고 있다.

구글의 대변인은 “우리는 대증요법적으로 체크한다”며 “여기에는 수동 병목현상이 없다”고 말했다.

정부와 보안기업 관계자들은 “더많은 회사와정부,그리고 소비자들이 거래와 개인정보를 공유하기 위해 무선기기를 사용하면서 나쁜 마음을 먹은 친구들이 이를 타깃으로 삼기 시작했다”고 말한다.

■공군, 보안조치 이후 알수없는 공격이 늘어났다

미연방수사국 FBI의 사이버팀의 고든 스노우 부국장은 “휴대폰은 거대한 상처의 원천이 되고 있다”며 “우리는 확실히 범죄활동의 증가를 보고 있다”고 말했다. FBI사이버팀은 최근 수많은 인터넷앱스토어에 있는 사악한 프로그램에 대한 작업에 들어갔다.

스마트폰에서의 은행거래를 위태롭게 만드는 앱의 경우는 맬웨어와 함께 외국에 의한 스파이활동에도 사용되기도 하는 것으로 알려졌다.

자사의 활동을 보호하기 위해 FBI는 요원들에게 FBI가 제공한 스마트폰에서 앱을 다운로드하지 말도록 했다.

모바일 컴퓨팅의 취약성에 대한 우려는 미공군도 예외가 아니다. 공군은 군사정보나 개인의 신상명세가 사기에 사용되거나 군속들을 강탈하는데 사용될까 우려하고 있다.

실제로 지난 3월 공군은 자체적으로 지급한 모든 블랙베리를 이용해 앱을 다운로드하지 말도록 조치를 취했다. 리서치인모션(림)측에서는 자사의 기술이 고객들의 그러한 그룹간 보안조치를 할 수 있도록 돼 있다고 말했다.

공군관계자는 “이 조치 이후 모바일 웹브라우저를 이용한 공격 등을 비롯, 공군스마트폰을 노린 알 수 없는 행동의 급격한 증가가 드러났다”고 말했다.

1년 전만 해도 공군은 매달 자사 휴대폰을 노린 수십건의 공격만이 있었을 뿐이었다. 하지만 이 조치이우 공군관계자는 공군에서 5월 한달에만 500건이상의 이상한 공격사태가 드러났지만 수사에 성공한 건은 하나도 없었다.

버라이즌에서 컴퓨터범죄를 연구하고 있는 조사대응팀을 이끌고 있는 피터 티페트는 “우리는 이제 폭발적 확산시점을 맞고 있다”고 말했다.

그는 “휴대폰에서 금용거래를 불법으로 이용하려는 시도가 덜 발생하도록 하는 방법을 알아내기 위한 많은 활동이 이뤄지고 있다”고 말했다.

■금융서비스업계도 떨고 있다 금융서비스산업계 또한 앱스토어 운영자와 함께 모바일뱅킹 앱이 진짜인지를 보장하기 위한 작업을 하고 있다고 말했다.

일부 보안전문가들은 구글은 앱스토어에서 사용자들이 다운로드하기 전에 이를 조사하지 않기 때문에 안드로이드마켓이 다른 앱스토어보다 훨씬 취약하다고 말한다.

구글 대변인은 자사는 원격으로 위해한 앱을 무력화시키고 개발자가 자사의 체크아웃페이먼트서비스에 등록하도록 하는 등의 보안조치를 취하고 있다고 말했다.

또 자사의 안드로이드마켓이 타사의 앱스토어보다 더 위험하다는 증거가 없다고 주장했다.

애플은 애플리케이션들이 애플스토어에 오르기 전에 심사를 하지만 위험성은 여전히 있다.

지난 2008년 7월 애플은 오로라페인트(Aurora Feint)로 불리는 인기있는 게임을 제외시킨 적이 있었다. 이 앱이 게임메이커의 서버에 업로드사용자가 접촉한 리스트를 전달한다는 사실을 발견했기 때문이었다.

니콜라스 세리엇은 지난 2월 컴퓨터보안컨퍼런스행사에서 보고한 아이폰보안의 취약점에 대한 조사보고서를 통해 “아이폰 보안은 완전성과는 거리가 멀며 앱스토어에서 내려받은 SW의 일부가 여전히 위험할 수 있다”고 말했다.

스티브 잡스 애플최고경영책임자(CEO)는 월스트리트저널 주최의 컨퍼런스에 참석해 자사의 직원들이 조심스럽게 애플의 앱을 지도하고 있다고 말했다.

그는 “우리는 약간의 규칙을 가지고 있는데 그것은 ▲알려져야 할 것 ▲망가지지 말아야 할 것 ▲개인적인 API를 사용하지 말 것 등”이라고 말하면서 “제출된 앱의 95%가 인증을 받는다”고 덧붙였다.

■아이폰 등 스마트폰 보안 면역력 없다

애플 대변인은 “애플은 보안문제를 매우 심각하게 생각한다”고 말했다.

그는 또 “우리는 매우 확실한 인증절차를 가지고 모든 앱을 점검하며 모든 개발자의 실명을 체크한다“고 말했다.

하지만 애플의 아이폰 자체는 모바일 위협에 면역력이 없다. 2008년이래 보안 전문가들은 적어도 36개의 보안상 구명이 아이폰의 sW에서 발생한 것으로 인지하고 있다고 국가취약성데이터베이스 (National Vulnerability Database)에서 드러났다.

그중 하나는 2009년에 밝혀진 것으로 해커가 웹브라우징을 할 때 서버에서 보내진 누군가의 사용자이름과 패스워드를 알도록 할 뻔한 사례였다.

실제로 일부 피해자는 이제 매우 조심스러워 하고 있다.

관련기사

위스콘신 쿠바시에서 자동차판매원을 하고 있는 새라 델라벨라는 그녀가 가진 안드로이드OS를 사용하는 모토로라 드로이드폰에서 더 이상 전처럼 많은 앱을 내려받지 않는다고 말한다. 그녀의 아들이 위험한 게임을 안드로이드마켓에서 내려받은 후 자신의 모든 텍스트메시지와 개인노트가 모두 날아간 사태가 발생한 이후에 생긴 일이다.

그녀는 “심장을 앗아가는 것같다”고 말하면서 “이제는 더 경계심이 높아졌다”고 말했다.