안심클릭과 보안에 대한 투자. 현상유지 카르텔

솔직히 내일 당장 ISP나 안심클릭이 폐지가 되어서 웹사이트가 자유롭게 카드 정보를 보유하고(아마존이나 아이튠스, 페이팔처럼) 결제한다면 솔직히 끔찍한것이. 지금까지 암호나 주민등록번호를 비롯한 각종 개인정보를 ‘털린 전적’ 때문이다. 그 사이트의 신인도도 장난이 아니거니와. 규모도 커서 필경 수백만명이 카드를 재발급 받는 참사가 일어났을 것이다. 우리나라 사이트들이 정보 보안에 들이는 비용이 매출에서 극히 미미한 점을 생각해보자.

물론 해외의 소규모 사이트가 그러하듯이 PG사에 아웃소싱하고 PG사가 철저히 관리한다면 뭐 문제는 한결 나아지겠지만. 근본적인 대책은 아니다.

결국 안심클릭을 비롯한 카드 결제 사태는 보안에 투자하지 않으려는 업체와 무사안태를 원하는 공무원들의 현상유지를 위한 묵시적인 합의하에서 굴러가는 것 아닐까.

맥(Mac)의 보안과 일반 상식

바로 얼마 전에 맥의 주요 브라우저를 노리는 악성 코드가 유행했다. 물론 조기에 애플에 의해 봉쇄되었고 그다지 심각하지 않은 수준의 악성코드였으며, 다운로드를 받은 뒤에 실행을 하고, 관리자 권한을 주어야 했기 때문에 더더욱 그러하다.

이제와서 맥이 보안이 더 뛰어나다 라는 말을 하는 것은 그다지 현명하지 않아보인다. 윈도우 플랫폼에 와서도 Trustworthy Computing Initiative에 입각해서 상당히 운영체제 자체의 취약점은 많이 사그라들었다. 실제로 운영체제, 심지어는 마이크로소프트 제품보다는 거의 대부분의 취약점은 서드파티 어플리케이션에서 비롯된다는 보안 업체의 보고서가 얼마전에 나오기도 했다. 개중에는 자바나, 플래시, 아이튠스 같이 크로스 플랫폼 제품도 있다.

따라서, 결론부터 말하자면, 맥이 PC에서 유행하는 PC 실행 악성코드에 걸리지 않기 때문에 걱정을 할 필요가 없다는 점은 사실이다. 하지만 자바나, 플래시 등을 이용한 취약점이 있을 수도 있고 OS X 자체나 그 어플리케이션 에도 취약점이 있을 수도 있다. 보안적으로 완전 무결한 시스템은 존재할 수 없다. 따라서 사용자는 일반적인 주의를 기울여야 한다. 패치나 업데이트를 잘 받아야 하고 수상한 사이트는 들어가지 말아야 하고, 정품을 사용하고 다운로드를 받을 때는 조심해야 한다. 문서나 프로그램, 이메일을 열때도 수상한지 의심을 하는 습관을 버리지 말아야 한다. 맥이라고 해서 철저히 무장한 갑옷이 아니기 때문에, 자물쇠를 모두 풀고 두 팔 벌려 달려드는 것은 무척이나 위험한 행동이다.

집을 나갈때는 문단속을 철저히 한다. 누구나 다 아는 일반 상식이다. 위에 언급한 것은 윈도우나 맥이나 크게 다를것이 없는 일반 상식, 즉 커먼 센스이다. 의외로 상식을 지킬 때 안전이 보장되고 , 기본적인 상식을 지키지 않아서 안전이 흔들리는 경우가 종종 발견되곤 한다. 이것도 다를게 없다고 생각한다.

하여, 완전 무결한 컴퓨터가 없는 세상, 맥이 특별히 보안이 뛰어나다고 생각하지는 않지만, 적어도 일반상식을 지킨다면 비교적 안전한 컴퓨터라고 생각한다. 덧붙여. 나는 기본적으로는 맥용으로 보안 프로그램을 사용하지 않는다. 향후 어떻게 될지는 좀 더 지켜볼 생각이다만 아직까지는 기본적인 주의로도 충분할 것이라고 생각한다.

스미싱(smishing) 사기를 막는 방법

연일 언론에서 안드로이드 스미싱(smishing) 사기가 보도되고 있다. 그러나 언론에서는 ‘이러이러한 문자가 떠돌고 있으니 주의하라’ 라는 경고만 나오고 있지 본질적인 문제를 건드리지 않고 있다. 지난번에 스마트폰 보안 문제, 정확히는 안드로이드 보안 문제를 뭉뚱그려 얘기하고 있다고 한탄했는데, 이 문제의 십중팔구는 악성 어플리케이션이 링크된 주소를 탭하면 악성 어플리케이션이 다운로드되고, 그것을 설치하면서 발생하는데(구글 플레이 스토어에서 일어난 케이스는 아직 언론에서 화제가 된 것을 보지 않았다), 본질적인 문제의 근원은 구글 플레이(통칭 마켓, 이후 마켓으로 부른다) 또는 통신사 스토어 이외에서 설치되는 어플리케이션을 설치 할 수 있도록 사용자가 안드로이드의 기본 설정을 변경했기 때문이다. 문제는 이것을 몇몇 통신사나 은행 등 금융사가 권장 혹은 강제했다는데 있다. 기본적으로 안드로이드는 마켓이나 통신사 스토어 외에서 앱(.apk 확장자로 되어 있다)을 다운로드 할 수 없게 되어 있다. 이것을 ‘알 수 없는 출처’ 옵션 거부 기능이다. 그런데 내가 사용을 해본 결과 몇몇 어플리케이션(지금은 변했는지 모르지만 몇몇 통신사의 지도 프로그램이나 시중은행의 백신 프로그램)이 업데이트를 위해서 끄지 않으면 원활하게 작동하지 않게 되어 있고, 또 몇몇 사용자는 불법 앱 사용을 위해서(apk 파일을 마켓 이외의 장소에서 다운로드해서 사용하기 위해서) 이 기능을 끄고 사용하는 경우가 있다. 그러다보니 꽤 많은 사용자들이 이 옵션을 끄고 사용한다. 이 옵션을 끄게 되면 안드로이드는 반드시 경고를 내보내게 되는데 그냥 무시하도록 안내하고 있다.

그리고 이 옵션을 꺼놓고 있으면 절대로 스미싱 사고는 일어날 수 없다. apk 앱이 깔리지 않기 때문이다. 그런데 이 옵션을 켜놓으면 이런 참사가 나타난다. 사진을 보자.

안드로이드 설정에서 보안으로 들어가면 기본적으로는 [알 수 없는 출처]가 체크 해제되어 있다.

이 상태에서 웹브라우저에서 앱을 설치하려고 들면 거절 당한다.

옵션을 해제해 보자, 경고가 나온다. 분명히 위험하다고 경고한다. 경고를 무시하자.

이렇게 설치 화면이 나온다. 여기서 설치를 누르면 당신은 당한다. 이 앱은 안전한 앱이니 상관없지만 만약 악성 앱일 경우 게임은 끝이다. 물론 여기서라도 당신이 취소를 누른다면 그나마 가망은 있다. 구별할 수 있는 방법은 애플리케이션이 요구하는 권한 중에 요금이 부과되는 서비스, 내 메시지, 통화 등의 권한을 요구하는지 살펴보는 것이다. 이 권한들은 당신 몰래 메시지를 보내고 받을 수 있다. 그외에 쓰잘때기 없는 권한을 요구하면 백프로 사기다. 마켓에서 다운로드 하는 앱 또한 마찬가지이다. 생각해보라 무료 쿠폰앱이 메시지를 보내거나 통화를 할 필요는 전혀 없다. 마켓에서 다운로드를 하던, apk 파일을 설치하던, 반드시 권한을 확인하고 필요 없는 권한을 요구한다면? 합당한 설명이 없다면 다운로드하거나 설치 해서는 안된다. 반드시 거절해야 한다. 

한가지 더, 브라우저로써 Chrome을 기본 브라우저를 사용하는 것을 추천한다. Chrome은 .apk 파일을 받기전에 반드시 경고를 한다. 당신이 경고 메시지에 반사적으로 확인을 누르는 사람이 아니라면 무작정 다운로드 될때까지 시간을 벌 수 있을 것이다.

핵심은 이렇다. 1. 보안에서 알 수 없는 출처 옵션을 꺼라 2. 켜야 하는 상황이 있다면 사용이 끝난 상황이 되면 바로 꺼라. 3. 반드시 권한을 체크하라 4. (사용할 수 있다면) 크롬을 사용하라

정말 안타깝게도 이러한 상식은 언론에서 다루지 않는다. 그저 어떤 메시지가 퍼지고 있는지 어떤 메시지를 클릭하지 말라던지, 심지어는 안드로이드 사기에 아이폰 사진을 덩그러니 붙여넣는 짓을 서슴없이 하고 있다. 아이폰으로는 백날 받아봐야 링크가 눌리지도 않고 어거지로 주소창에 넣어서 눌러도 아무런 소용이 없다. 그래놓고는 변종이 나와서 피해가 늘어나고 있다고 난리다. 이래봐야 소용이 없다. 우리나라 사람들은 인터넷 뱅킹의 ActiveX 탓인지 각종 운영체제의 경고 메시지를 무시하고, 확인하고 해제하는 못된 버릇이 들어버렸다. 그 문제가 안드로이드에서도 재현되고 있다. 정말이지 큰일이 아닐 수가 없다.

스마트폰에 백신을 강제한다고?

드디어 정부가 미친 것 같다. 방송통신위원회와 한국인터넷진흥원이 앞으로 출하되는 스마트폰(아마 향후 업그레이드 되는 스마트폰에도 소급 적용될 가능성이 높다)에 모두 백신을 강제로 설치해 돌리라고 할 모양이다. 한마디로 엔프로텍트의 스마트폰 판이다. 스미싱(smishing)이나 이런저런 사건이 벌어지니 부랴부랴 대책이 발생한것인데 나는 인터넷 뱅킹때 부터 이런 것에 매우 거부감이 있었고 심지어 이는 금융회사와 정부의 면피수단에 지나지 않는다고 주장했으며 엔프로텍트같이 엑티브엑스를 강제하느니 차라리 공짜백신을 깔도록 배포해 뿌리라고까지 했었다. (글을 쓸 당시에는 알약 같은게 없었다)

해서, 공무원 나으리 께서 자꾸만 심각해지는 보안 사고가 나니 뭔가 해야겠고 그러니 이런일을 벌인것 같다. 거기에 보안회사의 로비도 한몫한것같다. 예전에 이런 일이 있었다. 모 언론사에서 보안업체에서 스마트폰 해킹을 시연해서 위험하다는 단독 취재를 했는데 이 업체에서 시연에 사용한 제로데이 취약점이 알고보니 1-2년전에 막힌 것이었고 나중에 내가 알아보니 그런 유사한 취약점을 막기 위한 보안 솔루션을 특허낸 것이었다. 위협이 실제로 존재하는지 의심스러운 상황이었던데다 뻔히 그 위협을 노린 시연이었다. 게다가 안드로이드 취약점인데 화면은 아이폰이었다. 그래서 문의하자 아이폰도 취약점이 있다며 취약점 내역을 알려주었는데 그 취약점 조차 이미 한참 전에 봉쇄된 것이었다. 그 기사에서는 기존의 백신으로는 절대로 탐지가 되지 않는다는 점을 강조하며 경쟁사 제품으로 검색했는데 다분히 의도적인 것으로 생각된다. (정확히 말하면 그들의 솔루션은 취약점을 이용해 커널의 변조되는 경우를 탐지하는 듯했으나 운영체제 차원의 보안을 무력화하고 자사의 홍보를 했다면 이쯤 되면 악질이다)

다행히 그 회사 제품이 실용화되지는 않았다. 나 정도의 짱구를 굴리는 사람은 다 있었나 보다. 실제로 그 기사를 쓴 사람은 지금도 거의 매일 그 언론사에 나오는데 아닌게 아니라 국회 출입기자다. 얼마전까진 대통령직인수위 출입기자였고…

해서 이런 일까지 겪어보다보니 스마트폰 보안업체들이 얼마나 지저분한 일까지 저지르는지 충분히 알고도 남는다. 데스크톱에서도 술상무란 말이 있다지만 무선이란 신천지가 열린것이다. 하아.

안드로이드는 이미 블로트웨어(bloatware)가 잔뜩있고 상주하는 소프트웨어가 잔뜩있다. 그리고 여러가지 백신이 존재한다. 더욱이 가령 대표적으로 거론되는 안랩의 제품이 좋은 성능을 보이는 것도 아니고 특출나게 다양한 보안기능(원격 삭제, 위치 추적 등)을 보이는것도 아니다. 사용자는 더 좋은 후보의 안티바이러스를 선택할 권리가 있다. 만약 강제로 돌리게 된다면 2중으로 돌리는 낭비를 겪게 될것이다.

정말이지 왜 이러나, 하다못해 그냥 부가서비스로 설치하게 해도 되는거 아닌가? 정말로 이번에야 말로 국민에게 공짜로 백신을 뿌리라고 하고 싶다, 아니 그럴 필요도 없겠다. 공짜백신은 널리고 널렸으니. 뭐 그게 깨림직하면 약간의 금액을 지불하면 좋은 백신도 많다. 뭔가 할일은 해야겠고 할일은 없다면 좋은 백신을 소개하고 적극적으로 설치를 장려할 일이다.

스마트폰 보안 정보의 애매한 보도의 위험성

최근 심심찮게 보이는 문제가 스미싱(smishing)이니 악성 어플리케이션에 의한 개인 정보 유출이니 하는 것이다. 그리고 그 문제가 연일 자극적으로 특종 등의 표현과 함께 보도되고 있다. 그런데 십중 팔구는 ‘스마트폰’이라는 표현을 쓰고 있다. 스마트폰 보안이 위험하다. 스마트폰 결제가 어떻다는 둥. 살펴보면 역시 십중 팔구 안드로이드의 문제이다. 말할 것도 없이 아이폰이나 윈도우 폰, 블랙베리 등 여타 플랫폼의 스마트폰은 표적이 되고 싶어도 될 수가 없다. 이들은 스마트폰이 아니라 바보폰(dumbphone)인가? 물론 개중에서 일부는 아이폰 등의 보안 헛점을 이용한 타 스마트폰의 문제도 간혹 보인다. 그런데 그것을 명확히 드러내는 경우는 가뭄의 콩나기고 그냥 스마트폰이라고 하는 경우가 대반이다.

물론 한국은 세계에서 가장 안드로이드가 가장 점유율이 높다(90%). 90%나 차지한다면 과연 그냥, 스마트폰~ 해버릴 만도 하다만 정확한 정보를 알리는것은 중요한 일 아닐까? 어찌됐건 10% 사용자가 있기 때문이다.

또 솔직한 의견으로 제공되는 정보 또한 피상적이다. 상표를 언급해서 안되는 까닭인지 구글 플레이나 특정 통신사의 마켓에서만 받으라는 말을 하지도 않고 필요 이상의 권한을 조심하라는 가령 어떤 경우를 조심해야하는지(가령 게임에서 메시지를 보내는 권한을 요구하거나 주소록을 열람하는 권한을 요구한다던지를 경계하라 라던지, 알 수 없는 출처의 체크를 해제해야 한다던지) 도움말을 하지도 않고. 얼렁뚱땅 넘어가는 그야말로 유야무야 하는 경우가 많다.

다시 말해서 어떤 기기가 위험한지는 대충 얼버무리고 위험을 피하는 대책은 대충 넘어가버리는 그야말로 총체적으로 부실함의 극치이다. 한심할 지경이다. 가끔 IT 전문가가 기자가 되는게 아니라 문과 기자가 IT를 다룬다는 생각을 지울수가 없다. 그러잖고는 이런 해괴망측한 난리가 나올리가 없지. 하기야 언젠가는 Y모 텔레비전 방송국에서 정치부 기자가 보안업체에서 보도자료 받아다가 스마트폰 해킹기사 쓴적이 있었지…