김홍선의 IT와 세상

최근 언론 매체를 통해 스마트폰의 보안에 대한 이슈가 많이 제기되고 있다. 올해 초부터 스마트폰 보안 관련 세미나는 활발했다. “우리가 언제부터 이렇게 보안을 미리부터 걱정했던가?”하는 생각에 보안 전문가로서 반갑기도 하면서 한편으로는 당혹스럽다. 스마트폰의 사용 현황에 비해 보안 문제가 너무 부각되고 있다는 느낌에서다.

스마트폰 보안의 관심 (토마토 TV)

스마트폰 보안 접근법의 문제

첫째, 보안 이슈는 세분화해서 디테일한 분석으로 시작해야 한다. 전혀 다른 이슈임에도 ‘스마트폰’이라는 단어로 얼버무려 통칭하는 것을 자주 보게 된다. 이를테면 특정 운영체제(OS) 플랫폼에서만 가능한 해킹 수법을 ‘스마트폰의 취약점’이라며 일반화한다. 특정 앱(App)에만 해당하는 보안 이슈를 ‘스마트폰 앱이 위험하다’라며 수많은 앱을 의심의 눈초리로 보게끔 만든다. 이러한 이슈 확대는 뉴스거리는 될지언정 대다수 사용자를 불안하게만 할 뿐이다.

둘째, 위협(Threat)과 위험(Risk)을 명확히 구분해야 한다. 악성코드와 해킹의 위협이 있다고 해서 모두 위험은 아니다. 운영체제나 애플리케이션 해킹이 기술적으로 이뤄질 수 있다 하더라도 보안 솔루션을 갖추고 사용자의 관리와 제도적인 보완 장치가 있으면 위험은 될 수 없다. 무선 인터넷 해킹 같은 문제는 이미 수년 전부터 나왔던 문제인데 이제 와서 무조건 '위험하다'고만 하면 오히려 대책을 세우는 데 장애가 될 뿐이다. 각종 공격 기법에 대해 일희일비 하기 보다는 사이버 안전을 위한 중심 방향과 로드맵을 가지는게 우선이다. 이를 바탕으로 제도와 정책, 기술과 제품의 접목, 사용자의 책임과 관리, 대응 체제를 포함하는 종합적 시각으로 접근해야 한다.

위협(Threat) vs. 위험(Risk)

셋째, 보안 위협은 신속하고 투명하게 소통되어야 한다. “이런 해킹 기법을 나는 잘 알고 있다. 당신은 위험하다” 라는 식의 막연한 문제 제기는 불안감만 부추긴다. 우리가 살다 보면 불확실할 때 가장 불안하지 않은가? 7.7 디도스 대란이 우리를 불안하게 했던 것도 공격자의 의도를 알 수 없어서 였다. 새로운 위협, 공격 기법, 악성 코드의 정보가 확보되는 순간 불안감은 급격하게 줄어든다. 따라서, 정보의 공유와 소통이 보안 전문가의 덕목이다.

일반인들이 이해하기 어려운 기술적 용어로 겁을 주면서 적당히 자신을 과시하는 것은 바람직한 자세가 아니다. 이미 국내에도 실력 있는 보안 전문가와 기업이 많이 있어 그런데 흔들리지도 않는다. 보안은 마케팅 도구가 아니다. 현존하는 위협으로부터 어려움에 처한 이들을 구한다는 사명감의 본질에 충실했으면 한다.

보안에 관련된 주체들의 역할 분담 절실

스마트폰의 경우 관련 주체가 많다. 사용자, 서비스 사업자, 단말기 공급자, 스마트폰 운영체제 공급자,앱스토어 운영자, 앱 개발자, 앱 서비스 운영자, 광고주, 보안 솔루션 업체, 정부기관 등. 이들이 보안 문제의 원인 제공자가 될 수도 있고, 어느 정도 책임의 범위가 있다. 개인화와 개방형 시대가 되면서 정보 권력이 분산돼 혼란스런 느낌이다. 이럴수록 역할 분담을 명확히 해야 한다.

오히려 스마트폰의 문제에 국한해서 보지 말고 컨버전스 플랫폼으로서 태블릿 PC, 전자책, 스마트 TV와 같은 기기, 클라우드, 소셜네트워크와 같은 서비스를 총괄적으로 보는 긴 호흡이 필요하다. 컨버전스가 진행되어 업종 간 경계가 무너지면서 보안 경계마저 희미해지고 있으며 새로운 문제들도 속속 발견되고 있다. 스마트폰 보안의 이슈도 우리 기업과 사회에 미치는 영향의 전반적 틀에서 보는 것이  장기적 해법이다.