월 스트리트 저널 블로그에 따르면 버락 오바마 대통령이 블랙베리를 고수하는 이유는 사실 미국의 대통령에겐 아이폰이 ‘허용되지 않
아이폰이 미국 최대의 브랜드 가운데 하나고, 대통령 본인 역시 자신이 애플의 설립자 스티브 잡스의 팬이라고 공공연히 이야기해왔다. 이를 생각해본다면 정치적으로 민감한 문제일 수도 있는 문제다. 자국 상품을 사용하는 것이 대통령으로써 바람직한 일이라고 믿는 애국주의자들에겐 특히 그럴 테니 말이다.
물론 대통령, 혹은 비밀 경호국 관계자의 입에서 아이폰에 정확히 어떠한 보안 위협이 있는지에 대한 이야기가 나오는 일은 아마 없을 것이다. 하지만 아이폰, 그리고 안드로이드 폰이 본질적으로 어떠한 불확실성의 위협을 안고 있음을 추측할 수 있는 상황이다.
분명히 온라인 세계 곳곳에는 수 많은 맬웨어가 산재해있다. 그들 가운데 일부는 지극히 평범하고 합법적인 얼굴을 하고 있지만, 그 이면에는 프라이버시를 침해할 각종 도구들이 숨어있다.
어떠한 앱 유형에 대해서는 이미 경각심이 자리 잡혀 있는 경우도 있지만, 어떤 앱들은 겉으로는 사용자 데이터를 사용하지 않는다는, 따라서 안전하다는 인상을 주며 우리의 눈을 흐린다.
연방거래위원회(FTC, The Federal Trade Commission)는 이번주 무료 안드로이드 앱 ‘브라이티스트 플래시라이트(Brightest Flashlight)’의 개발사인 골든쇼어즈 테크놀로지스(Goldenshores Technologies)와 관련한 성명을 발표했다.
위원회 측에 따르면 이 앱은 사용자에겐 아무런 공지 없이, 심지어 사용자가 서비스 조건에 동의하지 않은 경우에도 그들의 위치 정보 및 기기 ID를 수집해 광고자에게 제공한 것으로 확인됐다. 이번 성명에는 프라이버시 정책 및 사용자 커뮤니케이션, 데이터 관리 과정을 개선하라는 지침이 포함됐다.
FTC의 발표에 따르면 이 앱이 설치된 휴대폰의 수는 ‘1,000만 대’에 달했다.
이번 브라이티스트 플래시라이트 사태로 스마트폰 앱의 불편한 진실이 다시 한 번 수면 위로 떠오르게 됐다. 가장 기초적이고 명확한 프라이버시 침해 형태는 사용 경험에 전혀 필요치 않아 보이는 개인 데이터를 무작정 요구하는 방식이다.
또 사용자 데이터를 빼내진 않지만 무능력으로 사용자에게 취약성을 안겨주는 앱도 있다.
HP는 최근 아이폰 용 비즈니스 앱의 보안에 관한 연구를 진행했다. HP의 연구에 따르면 많은 비즈니스 앱들이 별다른 이유 없이 휴대폰 기능 및 사용자 데이터에 대한 접근권을 기본 조항에 명시하고, 또 실제로 획득하고 있었다.
그러나 HP의 조사에 따르면 연구 대상이 된 비즈니스 앱 가운데 90%가 한 가지 이상의 프라이버시 혹은 보안 관련 결함을 지니고 있었다.
결함 가운데 다수는 데이터 암호화의 부재와 프로토콜의 불안정성에서 기인한 것들이었다. 조사된 앱 중 20%는 사용자 데이터를 보호가 이뤄지지 않는 HTTP를 통해 전송하고 있었다. HTTPS를 통한 전송 역시 비슷한 수치로 조사됐으며, 이 과정 역시 적절한 보안은 이뤄지지 않고 있었다. 또한 HP는 앱이 사용자 보안 및 프라이버시를 침해할 수 있는 가능성의 상당수가 악의라기보다는 단순한 무능력에서 기인한다는 사실 또한 발견했다.
앱 보안 문제를 조사하고 지적한 기관은 HP 뿐만이 아니다.
트렌드마이크로(Trend Micro)도 새로운 보고서를 통해 환경에 100만 개 이상의 ‘맬웨어, 고위험 앱’이 존재한다고 이야기한다.
보고서에서 정의하는 ‘고위험 앱’이란, ‘안정성이 불확실한 사이트로 연결되는 광고를 적극적으로 제공하는’ 앱을 의미하며 이는 전체 시장 규모의 1/4 가량을 차지하는 것으로 추정된다.
정보 보안 업체 트러스트웨이브(Trustwave)는 이번 달 아이폰 및 아이패드 용 파일 공유 앱이 사용자의 보안에 위협을 줄 수 있다는 발표를 내놨다. 기관은 간단한 사진 공유, 문서 공유 앱에서도 프라이버시 노출의 위험성이 발견됐다고 지적했다.
문제는 이러한 앱 가운데 일부가 기기를 통해 복제 취약성이 존재하는 불안정한 파일 서버에 접근하고, 또 악성 크래커(cracker)들이 그들의 파일을 업로드하는 것을 제제하지 못함으로써 발생한다. 사용자 인증을 요구치 않는 앱도 존재했다. 구형 iOS 버전에서 앱을 구동하는 경우에는 취약성이 더욱 증대되는 모습을 보여줬다.
물론 이러한 발표 가운데 다수가 스마트폰 앱 보안 솔루션 판매 업체들로부터 나온 것들이다. 이들의 장삿속이 완전히 배제됐다고 보기는 무리다. 하지만 그럼에도 문제가 실제적인 것이며, 또한 만연해있다는 점 자체는 부정하기 어려운 것이 현실이다.
그렇다면 사용자들을 이와 관련해 뭘 할 수 있을까? 개인 데이터 프라이버시를 지키기 위해 ‘보안 전문가’가 돼야 하는 걸까?
애석한 답변이지만, 어느 정도는 그래야 한다.
아는 것이 힘이다. 아이폰 지문 인식기나 안드로이드 안티-맬웨어 앱 등 특정 유형의 보안 제품들이 일부 리스크를 제거해주는 것은 사실이지만, 문제의 대부분은 앱에 있지 않다.
일반론적 관점에서 먼저 이야기해보자면, 사용자 자신부터 앱을 다운로드하며 보다 신중할 필요가 있다. 단순히 평점이 좋다는, 혹은 인기 있다는 것이 그 앱의 안정성을 보장해주는 지표는 될 수 없음을 기억해야 한다.
또한 보호해야 할 데이터와 그럴 필요가 없는 데이터를 구분하는 것도 중요하다. 예를 들어, 위치 데이터의 보호에 신경을 쓰는 사람이라면, 그것의 유출 위협을 줄일 수 있는 일련의 방법을 적용할 수 있을 것이다. 반면 휴대폰에 금융 데이터를 담고 있는 경우라면, 위치 데이터와는 완전히 다른 또 다른 어떤 활동을 진행해야 할 것이다.
모든 사용자들에게 다시 한 번 강조하고 싶은 바는, 애플 앱 스토어건 구글 플레이 스토어, 혹은 기타 안드로이드 스토어건, 그곳에는 알아차리지도 못하는 동안 프라이버시를 침해할 수 많은 앱들이 산재해있다는 점이다.
따라서 앱을 다운로드하는데 좀 더 주의를 기울일 필요가 있다. 보안 기능 대부분은 악랄한 앱 개발자들에게 대응하기엔 너무 나약하다. 가장 우선적으로 보호해야 할 개인 정보를 추려내고, 그것을 보호할 방법을 모색할 때다. ciokr@idg.co.kr
