안드로이드 불안해서 못쓰겠다
정보보안 전문가들 사이에서 나오는 불평이다. 안드로이드 운영체제(OS)는 폐쇄적으로 운영되고 있는 iOS에 비해 보안성이 낮다는 지적을 숙명처럼 달고 다니지만 그에 상응하는 대비 노력은 태부족이란 것이다.
특히 수많은 애플리케이션(앱)이 올라오는 구글 플레이 스토어는 정책상 악성앱도 손쉽게 올릴 수 있다는 점에서 문제가 심각하다. 심지어는 V3, 알약 등 모바일 백신을 위장한 악성앱들까지 기승을 부리고 있다.
최근 심각한 문제가 되고 있는 것은 모바일 뱅킹용 악성앱들이다. 사용자의 현금을 마음대로 인출할 수 있게 하기 때문이다. 현재까지 발견된 것은 KB국민은행, NH농협, 우리은행, IBK기업은행, 새마을금고 등이다. 이들 악성앱은 구글 플레이 스토어에 버젓이 올라와 있는 경우가 많아 문제가 되고 있다.
■모바일 뱅킹 위장 악성앱, 구글 플레이 스토어에 버젓이
대부분의 모바일 뱅킹용 앱이 구글 플레이 스토어를 통해서 악성앱 형태로 유포되고 있다. 이들 앱을 실행하면 보안강화를 위해 필요하다며 이름, 주민등록번호 등은 물론 출금계좌의 비밀번호, 자금이체비밀번호, 보안카드 번호 전체를 입력하도록 유도한다.
구글은 '바운스'라는 자체 악성앱 탐지 및 검출 서비스를 제공하고 있다. 특이한 점은 애플이 보안성 검토를 거쳐 앱스토어에 앱을 올릴 수 있도록 하는 '허가제'라면 구글은 먼저 앱을 올릴 수 있게 허가한 뒤 이에 대한 보안성을 검토하는 '등록제' 방식이라는 점이다.
구글 플레이 스토어는 수수료만 지불하면 별다른 제재없이 앱을 올릴 수 있도록 하고 있다. 그 뒤에 무결성을 검사하고, 악성앱 여부를 판별하는 식이다.
잉카인터넷 문종현 팀장은 국내 보안전문가는 이미 기존에 여러 차례 구글 플레이 스토어를 통해 악성앱들이 유포되고 있어 이에 대한 불신이 있는 것이 사실이라고 밝혔다. ■금결원식 해법 '금융앱스토어'...대안 되기는 역부족
최근까지도 악성앱들이 지속적으로 유포되자 금융결제원은 23일부터 국내 주요 은행들과 손잡고 구글 플레이 스토어가 아니라 독자적인 플랫폼을 통해 모바일 뱅킹용 앱을 배포하고 있다. 구글의 앱 관리 정책을 믿지 못하겠다는 것이다.
금결원이 도입한 금융앱스토어는 결론부터 말하면 사설 앱스토어나 다름없다. 이곳에 올려진 앱을 다운로드 받기 위해서는 안드로이드 스마트폰의 환경설정의 보안 카테고리의 디바이스 관리 항목에서 '알 수 없는 출처'에서도 앱을 설치할 수 있도록 허용해야 한다.
그러나 이를 두고 IT 전문가들 사이에서는 부정적인 의견이 대다수다. 핵심은 '알 수 없는 출처'를 허용하는 것이 보안적인 면에서 안전하지 않다는 지적때문이다. 실제로 악성앱들이 설치되려면 사용자의 동의를 받아야 한다. 이 과정은 알 수 없는 출처의 앱 설치를 사용자 스스로 허용하는 것이나 마찬가지다.
윤광택 시만텍 코리아 이사는 안드로이드 보안설정에서 알 수 없는 출처를 통한 앱 설치를 허용하면 모든 악성 APK파일이 설치되도록 허락하는 것이나 다름없다며 예를 들어 농협 사이트에서 농협 모바일뱅킹 앱을 다운로드 받는 것이나 이와 같은 방식이 뭐가 다른지 모르겠다고 반문했다.
안드로이드가 보안에 취약한 것은 사실이지만 그렇다고 굳이 또 다른 위협을 감수하면서 까지 별도의 앱스토어를 만들 필요가 있냐는 지적이다.
관련기사
- "안드로이드는 원래 카메라OS" 깜짝 고백2013.04.25
- 인프라웨어, 안드로이드→타이젠앱 툴 소개2013.04.25
- 구글 회장 “6~9개월 내 안드로이드폰 10억명”2013.04.25
- 알약 안드로이드 위장 신종 스미싱 주의보2013.04.25
더구나 사용자 입장에서는 기존에 사용하고 있는 구글 플레이 스토어, 삼성, 이동통신회사 등이 제공하는 앱스토어 외에 또 다시 별도의 금융앱스토어를 설치해야만 하는 번거로움이 생긴다.
안드로이드는 개방형 운영체제라는 특징 때문에 추가적인 보안대책이 필요하다. 그러나 일각에서는 이 운영체제의 개방성은 곧 보안위협으로부터의 개방성이나 다름 없다는 지적들이 나오고 있어 추가적인 대책이 절실한 상황이다.