스마트폰 보안 논의에 대한 기우 몇 가지

보안 이야기 2010.02.17 10:59

스마트폰에 대한 열기가 폭발적이다. 우리 나라에서 너무 늦게 보급되기 시작하다 보니 마치 봇물이 터진 느낌이다. 금년도에 보급되는 스마트폰이 500만대에 이른다고 하니, 작년에 스마트폰이 때이르다며 반대 의견이 있었던 것이 무색할 정도다. 이미 몇 년 전부터 미국의 많은 대학생과 직장인들이 아이폰이나 블랙베리를 들고 다니는 상황에서 너무 글로벌 동향에 대해 무관심했던 것 같다.

 

Application Economy를 설명한 비즈니스위크

스마트폰은 통신업체와 휴대폰 제조업체에 의해 주도되던 산업 구조를 소프트웨어 플랫폼 기반으로 바꾸고 있다. 스마트폰은 애플리케이션 경제(Application Economy)의 한 축을 담당할 패러다임이다. 전화가 잘되는 것보다, 휴대폰 모양이 예쁜 것보다, 내가 필요한 애플리케이션(application)과 콘텐츠를 얼마나 잘 찾아서 활용할 수 있느냐가 주요 관심사다. 겉모양은 휴대전화처럼 보이지만 이를 보는 관점이 바뀌고 있는 현상을 간과해서는 안 된다. 5-10년 후 모바일 기기가 어떻게 사용되고 있을지 자못 흥미 진진하다.

스마트폰의 여러 가지 문제가 얘기되면서 보안에 대해 벌써부터 많은 말이 오고 간다. 새로운 패러다임이 등장하면서 보안 문제가 먼저 제기되는 것은 반가운 현상이다. 1990년대 중반 인터넷 열기 속에 너도나도 홈페이지 제작에 열을 올리던 당시 나는 인터넷 산업에서 보안이 중추적 문제가 될 것이라고 열심히 얘기하고 다녔다. 하지만 글쎄, 중요한 것 같기는 한데 너무 과장하는 것 아니야?” 라고 무시당했던 상황이 지금도 눈에 선하다. 그런데, 최근에는 스마트폰, 스마트그리드, 클라우드와 같은 새로운 IT 패러다임이 나올 때마다 보안은 반드시 준비할 핵심 요소로 간주되고 있으니 격세지감을 느낀.

 

스마트폰 보안에 대한 논의는 현실 가능성에 바탕을 두어야

 

그러나, 한편으로는 보안 문제가 너무 체계를 갖추지 않은 채 제기되는 모습도 적절하지 않아 보인다. 특히 보안에 일가견이 있는 전문가일수록 차분하면서도 내실을 갖춘 논의에 초점을 맞추어야 한다. 앞으로 스마트폰의 용도와 사용자의 행동 방식은 예측하기 어려울 정도로 전개될 것이다. 그런 상황에서 이것이 스마트폰의 보안 문제다라고 단정지을 수 없을 뿐더러, 괜히 스마트폰에 대한 부정적 인식과 편견만 불러 일으킬 수 있다.

 

물론 PC에서의 위협 형태가 스마트폰에서도 비슷하게 발생할 개연성이 크다. 또한 스마트폰 만의 구조적 취약점도 충분히 예견된다. 그러나, 보안 위협은 현실에 바탕을 두고 판단해야 한다. 기술적으로 해킹이 가능하다고 해서 반드시 위협이 되는 것은 아니다. 사용자가 웬만큼 관리하거나 제도적으로 보완된다면 해킹을 해도 실익이 없게 되고, 그렇다면 그것은 더 이상 위협이 아니다.

 

그런 점에서 해킹이 될 수 있다고 소란스러워 하는 것은 별 도움이 되지 않는다. 오픈 소스의 운영 체제나 급조된 애플리케이션을 해킹하는 것은 그다지 뉴스 거리도 아니다. 보안의 범위와 목적을 정해놓지 않은 상태에서 기술적으로 왈가왈부하는 것이 무슨 도움이 되겠는가? 어떤 환경에서, 어떤 애플리케이션을 어떻게 사용한다는 경우에 대한 위협 시나리오를 설정해 놓고 차분히 보안 대책을 논의하는 자세가 바람직하다.

 

스마트폰의 사상에 충실해야

 

Home button의 의미는?

우려스러운 것은 이미 PC와 인터넷에서 익히 알고 있는 보안 제품과 기술을 그대로 스마트폰에 적용하려는 시도다. 물론 보안의 개념은 크게 다르지 않다. 그러나, 고객의 사용 행태를 고려하지 않은 처사는 스마트폰의 본질적 차이를 무시한 것이다.

이를 테면 스마트폰은 PC보다 상대적으로 적은 컴퓨터 자원으로 동작한다. 반면 모바일 사용자는 PC만큼 인내심을 가지고 기다릴 수 없다. “사용 중 잘 모르겠으면 언제든지 우리의 Home' 버튼을 누르고 스티브 잡스가 홈 버튼의 중요성을 설명한 적이 있다. 이 버튼을 가장 접근하기 좋은 위치에 놓은 것은 모바일 사용자의 조급성과 불안함을 해결해 주기 위한 최소한의 배려다. 일종의 스마트폰의 사상에 충실한 조치라고 할 수 있다.

그런데
, 보안 문제로 사용자가 불편함과 인내심을, 그리고 기술적인 마음가짐을 강제적으로 갖추기를 요구한다면 보편화를 모토로 한 스마트폰 사상의 틀은 깨진다.

 

또한 기술이 적용된 후의 서비스 인프라는 고려하지 않는 경향이 있다. 소프트웨어는 하드웨어와

스마트폰에 최적화된 기술이 되어야

달리 고객에게 상품이 전달된 순간부터 고객과의 교감이 시작된다. 업그레이드, 버그 수정, 확대된 기능, 보안 패치 등. 그런데, 일단 돈만 된다면 출시하는데 급급해서 무늬만 소프트웨어인 상품이 범람하지 않을까 우려된다.

검증되지 않은 소프트웨어가 쏟아져 나올 때 그 피해는 고스란히 사용자에게 간다. 이미 PC에서도 스파이웨어나 애드웨어처럼 동작하는 허위 제품이 무수히 거래되고 있다. 소프트웨어 간의 충돌로 인한 장애, 보안성의 결여로 인한 정보 유출 등 상품화 단계에서 걸러져야할 문제는 한 두개가 아니다. 홍수처럼 몰려오는 애플리케이션이 전문성과 검증성, 신뢰성에 기반하지 않는다면 앱스토어도, 스마트폰도 모래 위에 지은 집과 같다. 스마트폰 산업은 소프트웨어와 콘텐츠의 생태계가 신뢰를 바탕으로 굳게 서야 한다.

 

스마트폰의 핵심은 애플리케이션 산업이고 이를 받쳐주는 것은 소프트웨어 플랫폼이다. 정보 보안은 바로 이 소프트웨어 플랫폼에 녹아 들어야 한다. 이 플랫폼을 어떻게 설계하고 어떻게 공유하느냐에 따라 많은 보안 문제를 구조적으로 줄일 수 있다. 지혜를 모아서 안전하면서도 사용하기 편리한, 그러면서 글로벌 시장의 표준에 부합하는 방향으로 설계해야 한다. 보안은 그러한 프레임워크(framework)의 한 요소가 될 것이다.

 

스마트폰의 킬러 소프트웨어가 게임, 인터넷 금융, 소셜 네트워크 같은 것이 될 것이라고 한다. 아울러 기업 사용자는 업무 용도로 많이 사용하게 될 것이다. 이런 소프트웨어를 아우를 수 있는 골격의 설계가 필요하다. 이런 골격과 플랫폼에 보안의 개념이 자리잡아야 한다.

 

급속도로 성장하는 정보화 물결 속에 수많은 IT 패러다임들이 생성되고 소멸되었다. 시장의 활성화를 위해 어느 정도의 들뜸도 나쁘지는 않다. 그러나, 보안과 같은 규제적 요소가 너무 무성하게 논의되면 초점을 놓칠 수가 있다. 보안 문제는 전문가의 시각으로 내부 구조를 바라보는 신중함과 통찰력을 가졌으면 한다. 정보 보안은 IT를 편하고 안전하게 이용할 수 있도록 도와주는 조연의 역할에 충실해야지 무대 전면에 나서는 주연이 되는 것은 바람직하지 않다.

 

 


신고


티스토리 툴바