‘개발자 글쓰기 연습 – 5달’에 언급한 ‘회사 전문가 기고’가 지난달에 회사 홈페이지와 알약 블로그에 공개되었다. 글쓰기 연습을 진행한 초기에 긴 분량의 글을 작성하는 것이라 부담감이 있었다. 주제를 정하는데 가장 많은 시간을 들었고 완성된 글을 다듬는 시간이 글을 작성하는 시간보다 오래 걸렸다. 아래 초고를 공개한다. 회사 홈페이지에 공개된 글과 비교하면 어떻게 다듬어졌는지 알 수 있다.
모바일 기기 보안의 시작, 기기 잠금
미래창조과학부 통계자료에 의하면 2016년 12월 초고속인터넷 가입자수는 약 2천만(20,555,683)명이고, 이동전화 LTE 가입자는 약 4천 6백만(46,310,262)명이며 무선데이터 트래픽도 꾸준히 증가하는 추세다. 스마트폰과 태블릿 또는 안드로이드와 iOS로 대표되는 모바일 기기들은 휴대성과 다양한 기능의 앱을 무기로 이 시대의 생활 필수품으로 자리잡았다.
스마트폰으로 날씨를 확인하고, 앱을 이용해서 버스가 도착하는 시간에 맞춰 집을 나서고, 네비게이션 앱이 알려주는 길로 운전을 하고, 음악을 듣고, 동영상을 감상하고, 은행 거래를 하고, 쇼핑을 하고, 소셜네트워크 서비스(SNS)나 카카오톡으로 소통하는 모습은 주변에서 흔히 볼 수 있다. 또한 회사에서 개인의 스마트폰을 이용해서 메일을 확인하고, 사내 메신저를 이용하거나 회사 게시판에 글을 작성하고, 확인하는 등의 모습도 볼 수 있는데 BYOD(Bring Your Own Device)라고 하여 개인의 기기를 업무에 활용하는 것을 말한다. 이렇게 모바일 기기가 개인의 일상과 회사의 업무에 폭넓게 이용되면서 보안의 필요성이 강조되고 있다.
모바일 기기 보안은 어디서부터 시작해야할까? 스마트폰을 분실 했다고 생각해보자. 우선 모바일 기기 구매 비용이 아까울 것이고, 사진, 동영상 등의 자료를 잃게 된 것이 아쉬울 것이다. 그리고 스마트폰에 들어있는 공인인증서, 주소록, 사진 등의 정보가 유출될까 걱정할 것이다. 이런 걱정을 덜어주는 것이 무엇일까? 바로 기기 잠금이다.
모바일 기기 보안의 첫 단추는 ‘화면 잠금’ 또는 ‘기기 잠금’이라고 불리는 잠금 설정으로 시작된다. 모바일 기기에 잠금 기능이 설정되어 있지 않다면 보안 앱이 설치되어 있더라도 무력화 될 수 있고 안드로이드 기기의 경우 USB를 연결하면 기기 내부 저장소에 접근이 가능하여 공인인증서, 사진, 동영상 등의 정보가 유출 될 수 있다.
요즘 기기 잠금 외에 부가적인 기능을 제공하는 잠금 앱들을 스토어에서 내려받아 사용하는 경우가 있는데 잠금 앱 중 일부는 잠금 상태에서도 USB 연결이 되는 경우가 있으니 안전함을 확인한 후에 사용하거나 기본 탑재된 잠금 기능의 사용을 권장한다. 또한, 안드로이드 기기 사용자 중에는 기기의 잠금 설정은 하지 않고, 보안 앱을 이용해 특정 앱에만 앱 잠금을 설정하는 경우도 있다. 이 경우 해당 보안 앱을 강제 종료하거나 삭제 또는 절전 상태로 바꾸어 잠금 기능을 무력화 시킬 수도 있고, 악성 앱 설치를 통해서 정보를 빼낼 수 있다. 실제 사용자의 예를 보자.
알약 안드로이드에는 스마트폰에 쌓인 카카오톡의 임시파일 등을 삭제해주는 카카오톡 청소 기능이 들어가 있다. 이 기능을 이용한 고객 문의 중에 이런 내용이 있었다. “카카오톡의 잠금 기능을 사용하고 있는데 알약 안드로이드의 카카오톡 청소 기능을 사용하니 주고 받은 사진과 동영상이 보이네요. 수정바랍니다.” 이것은 카카오톡이 누구나 접근 가능한 영역에 임시 파일을 남겨서 발생하는 일이다. 스마트폰을 USB로 연결해서 해당 폴더를 검색해도 볼 수 있는 것이다. 간단한 청소 기능이지만 앱 개발사가 미처 신경쓰지 못한 헛점을 보완해주고 있다. 이렇게 앱 개발사가 직접 만든 잠금 기능도 헛점이 있을 수 있다. 모바일 기기 자체의 잠금 기능을 활성화 하는 것을 추천한다.
모바일 기기에서 기본으로 제공하는 기기 잠금 방식에는 어떤 것들이 있을까? 크게 비밀번호 방식과 생체정보 인식 방식으로 나뉠 수 있다. 비밀번호 방식은 PC, 인터넷에서 사용하는 암호 설정과 동일한 개념이다. 문자, 숫자, 특수기호를 섞어서 사용하는 전통적인 비밀번호 방식과 입력을 간소화한 4자리 이상의 숫자를 사용하는 PIN 번호 방식, 특정 순서로 점들을 이어서 사용하는 패턴 잠금 방식이 대표적이다. 카메라와 센서의 발달로 쉽게 잠금을 해지 할 수 있는 생체정보 인식 방식은 최근 출시되는 모바일 기기에 많이 적용되고 있다. 대표적으로 얼굴인식, 지문인식, 홍채인식이 사용되고 있다.
스마트폰을 사용하면서 매번 긴 비밀번호를 입력하는 것은 귀찮고 번거로운 일이다. 짧은 PIN 번호를 사용하거나 지문을 등록해서 조금 편하게 잠금 기능을 사용하는 경우가 많다. 짧은 PIN 번호를 사용하면 보안에 취약할까? 지문은 개인 고유의 생체정보를 사용하는 것이니 더 안전하지 않을까? 다음 사례들을 살펴보자.
2015년 12월 미국 캘리포니아 주 샌버너디노에서 총기 난사 사건이 발생했다. 적어도 14명이 사망하고 17명이 부상당한 사건으로 범인들은 현장에서 사살되었다. 이 사건은 FBI와 애플의 암호 해제 논쟁으로 번지게 된다. 범인이 사용하던 아이폰을 입수한 FBI는 4자리 PIN 번호잠금를 풀기위해 다양한 시도를 했으나 풀지 못했다. 아이폰의 PIN 번호는 잘못된 암호를 넣으면 다른 암호를 넣기까지 일정 시간 기다려야 하는 대기시간이 존재하여 자동으로 추출된 번호를 반복 입력하는 것이 불가능했고, 암호가 10회 연속 틀리면 내부 자료를 삭제해버리는 기능이 있다. FBI는 애플에 암호를 풀 수 있는 장치를 마련해달라고 요청했으나 애플은 개인정보보호를 이유로 거절했다. 후에 FBI는 다른 업체의 도움을 받아 암호를 풀었으나 간단한 PIN 번호 잠금 설정만으로도 충분히 정보를 보호할 수 있음을 증명한 사건이다.
2017년 1월 9일 일본 산케이신문은 휴대폰 카메라 성능이 좋아지면서 사진을 찍을 때 취하는 ‘V’자 포즈로도 지문을 채취할 수 있다고 보도했다. 또한 3m 정도 떨어져 있는 사람의 ‘V’자를 확대해 지문을 복제한 후 지문 인식이 가능한지 직접 실험하여 성공했다. 지문을 복제하고 인식시키는 일이 영화에서나 쉬운일이지 현실에서는 힘들일이라 생각한다면 다음 사례를 보자. 최근 SNS에서 떠도는 모바일 기기 광고 중 한 장면이다. 잠들어있는 여자친구의 손가락을 살짝 가져다가 모바일 기기의 암호를 해지했는데 여자친구가 눈을 뜨면서 민망한 장면이 연출된다. 내가 의식을 잃은 경우를 상상하면 살짝 무섭지 않은가?
일반적인 모바일 기기 사용자라면 기기 잠금 설정하나만으로도 충분한 보안 효과를 얻을 수 있다. 모바일 기기에 엄청난 기밀이 담겨있는 경우가 아니라면 타 업체의 도움을 요청하거나 지문을 복제하면서까지 타인의 모바일 기기 잠금을 해지하기 위해 노력하지 않을 것이기 때문이다. 또한 기기의 잠금이 설정되어 있지 않으면 모바일 기기에 많은 보안 앱을 설치해 두더라도 무력화 될 수 있으니 다시 한번 자신의 기기 설정을 확인해 보고, 꼭 잠금 설정을 해두기 바란다.
Jaewook.KR 