본문 바로가기

Security Indicator/Insight

애플과 보안 -1


*zdnet 컬럼입니다. 원래 한편인데 양이 길어서 두편으로 잘렸습니다. 이럴줄 알았으면 더 길게 쓸 걸 그랬습니다. ^^; 더불어 컬럼 게재용 이기에 뒷부분을 못 올리는 걸 양해 바랍니다. 다음편의 내용은 속칭 TGIF가 직면한 구조적 공격과 위험에 대한 내용쯤 됩니다. 가볍게 쓴다는게 무거워져서 길어진점 양해를.. 향후에 TGIF의 문제에 대해서는 다시 한번 정리를 해보겠습니다. 참 돈 안되는 일에 죽자사자 매달리는 것 같아서 좀 그렇긴 합니다.

전 세계적으로 이슈의 중심에 선 기업답게 애플과 관련된 사고들이 적지 않다. 중요하게 생각 하지 않는 다수의 사용자들도 있으나 시간이 지날수록 문제는 커질 것이고 사용자에게 직접적인 영향과 피해를 끼칠 수 있을 사안이 될 수밖에 없어서 한번 짚어야 할 부분이다. 

 

현재까지 발생한 애플 관련 보안 이슈들의 일부는 아이튠스를 통한 계정도용과 비정상적인 결제, 순위조작과 같은 문제들을 포함한다.

 

기술적인 측면에서 애플을 곤혹스럽게 만드는 부분이 분명히 있다. 현재 문제의 양상과 언급들을 보면 과거 MS와 구글이 연상될 만큼 상징적인 파장이 크다. 애플의 영향력이 빠르게 커져가고 있음을 알 수 있다.

 

애플의 다양한 제품을 묶어주는 서비스들은 향후에 사용자들에게 더욱 큰 영향을 미칠 것이다. 세계화된 서비스 특성상 특정 지역에만 국한된 문제는 아닐 것이다. 더불어 국내에서도 붐을 일으키고 있는 페이스북, 트위터에서 발생 될 수 있는 문제들과도 맞닿아 있는 부분이다. 

 

모든 문제는 근본적인 원인이 존재하고 문제가 표면에 드러나는 것은 임계점에 도달했을때 일반 사용자들에게 알려진다. 국내 인터넷 서비스들은 이미 문제 국면에 들어섰고 일정부분 대책이 수립된 곳들도 있고 그렇지 않은 곳들도 있다 국내 몇몇 서비스들은 위험 대응이라는 측면에서 적절한 수준을 경험하고 대안을 갖췄다고 볼 수 있다. 대다수는 그렇지 못한 상황이긴 하지만.. 

 

그럼 사용자와 기업 그리고 서비스 측면에서 어떤 문제들이 있을 수 있는지 짚어보고 위험성을 알아보도록 하자.

 

이번 칼럼 타이틀은 애플과 보안이라고 붙였지만 현재 가장 이슈가 되고 있는 대표적인 기업들도 보안적인 문제에서 자유롭지 못하며 그 결과는 모든 사용자들에게 돌아 올 수 밖에 없다. 애플은 그중 하나의 예일 뿐이다.

 

비단 애플만의 문제일까? 

 

인터넷에서 발생하는 보안 이슈들은 개별 기업의 시스템과 체계를 통해 해결을 할 수는 없다. 내부 시스템에 문제가 없게 하는 것은 가능하나 이미 서비스 범위와 영향도는 한 기업의 시스템과 체계에 얽매이지 않는다. 지리적이고 공간적인 차이를 벗어난 인터넷상에서 폐쇄적이고 강력한 절차적 검증을 거친다 해도 문제는 항상 있게 마련이다. 

 

정상이라고 가정 했던 모든 것들이 비정상으로 판명 될 때 무리한 대응이 나오게 마련이다. 탈옥(Jail Break)과 같은 시스템에 대한 통제들은 언제나 그렇듯 해제되게 마련이다. 보다 더 폭넓은 사용의 자유를 느끼고 싶고 시스템에 의해 통제되는 것을 싫어하는 부류는 항상 있게 마련이고 금전적인 이득을 얻을 수 있다면 더 한 일들도 당연하게 일어 날 수 밖에 없다.

 

애플이 특허를 보호하려 하는 것은 현재 애플과 관련된 문제들이 내부적인 프로세스에 의해 발생 되는 것이 아니라 사용자의 단말 상태에 따라 좌우되고 있음을 의미한다. 일정부분 타당성이 있다. 

 

그러나 해결책으로 제시한 내용은 단편적이고 자칫 지나친 통제로도 인식 될 수 있는 부분들도 있어 문제가 될 수 있다. 세계적인 기업들의 서비스 보호 움직임은 두 가지 정도로 축약된다. 개방화된 상태에서 전체적인 수준을 올릴 것이냐 아니면 폐쇄화된 상태에서 꾸준한 관리와 통제로 보호 수준을 올릴 것인가 정도로 흐름을 볼 수 있다. 애플과 구글을 예로 들 수 있다.

 

현재 발생되는 문제들의 이면을 살펴보면 사용자 정보 유출 (거의 아이디와 패스워드에 해당된다.)로 인한 문제가 대부분이다. 사용자의 관련 정보가 유출되는 경로는 데이터베이스에 저장된 정보가 빠져 나갔을 때와 사용자 단말기에서 유출 되는 경우가 있을 수 있다.

 

단순히 개인정보가 빠져 나간 것으로 그치지 않고 정상적인 서비스 운영을 방해하거나 조작해 금전적인 이득을 얻음으로써 사회적인 문제가 되고 있다. (웹서비스 보안의 불편한 진실 참고

 

이전까지의 보안 개념이라면 관리영역에 있는 시스템들과 서비스만 안전하게 하면 문제가 없었지만 지금은  사용자를 대상으로 폭넓게 이뤄져야만 한다. 사용자를 보호하지 못하는 서비스들은 구조적인 문제 ( 어뷰징-Abusing 이라고도 한다. )에 직면하게 된다. 

 

블로그에 광고가 도배 되거나 자신의 계정으로 서비스에 등록된 사람들에게 전체 메시지가 발송되는 경우, 구매하지도 않은 제품에 대한 결제요구, 자신의 아이템이 타인에게 팔리고 거래가 된 경우 등 다양한 피해를 유발한다. 모든 피해 현황은 개인에 집중돼 전체 규모는 크지 않게 보일 수도 있다.

 

그러나 과연 개인에게만 국한된 것일까? 개인 계정을 대규모로 운영하면서 광고를 일시에 전달하거나 악성코드를 자동적으로 전파하는 것은 공격도구의 자동화로 인해 어렵지 않게 할 수 있다. 특정 서비스를 노리고 자동적으로 악의적인 행위들을 하게 하는 것은 공격의 기본적인 것이다. 아마도 눈에 보이거나 언론에 기사화된 것은 피해규모나 심각도로 보면 빙산의 일각일 뿐이다. 해당 서비스를 운영하는 기업들은 전체적인 상황을 볼 수 있어서 스스로가 심각성을 절실 하게 느끼고 있을 것이다. 분주한 서비스 개편과 구조의 변경은 심각성의 반증으로 볼 수 있다.

 

지금 발생되고 있는 문제들은 겉으로는 평안하나 내부적으로는 치열하게 진행중이다. 세계적인 기업들이 왜 보안 전문 인력을 뽑는데 혈안이 되어 있는지, 또 국가차원에서 지원과 육성을 통해 전문인력을 양성하려고 하는지 한번쯤 생각해 볼 필요가 있다. 인텔과 같은 칩 제조업체가 9조원을 들여 전문보안업체인 맥아피를 인수한 것도 같은 맥락에서 살펴 볼 필요가 있다. 

 

보안을 강화하기 위한 노력은 20만개 이상의 활용 애플리케이션을 가지고 있는 트위터가 혼란이 있을 것을 알면서도 인증 시스템을 변경한 사례도 해당된다. 그러나 여전히 부족할 수 밖에 없다. 앞으로도 서비스 구조를 이용한 공격과 개인정보 탈취 및 도용은 확산될 것이며, 웹2.0의 화두였던 연결과 소통처럼 구조를 이용한 공격은 각 서비스에 있어서 핵심적인 내용이 될 것 이다.
 
(구조적 문제를 이용한 공격은 2007년에 예상한 미래위협 참고 http://p4ssion.com/215 
계정탈취에 대한 공격은 이전 지디넷코리아 칼럼 참고- 빗나간 공인인증서 논란-1

 

폐쇄와 공유 그리고 TGIF 

구글의 대응이 오픈된 형태에서의 폭넓은 협력을 통한 대응이라면 애플은 폐쇄화된 플랫폼에서의 대응을 지향한다.

 

물론 검색을 기반으로 하는 구글과 서비스 애플리케이션을 기본 구조로 하는 애플은 대응 방식에서 다를 수 밖에 없다. 

 

최근 애플 iOS 운영체제 취약점을 활용해 웹사이트만 방문해도 아이폰 탈옥을 가능케 하는 십스가 등장해 주목을 받았다. 애플은 패치를 통해 OS를 업데이트했지만 애플과 보안에 대해 생각해볼 수 있는 기회였다.

 

폐쇄된 플랫폼 아래에서 평안은 그리 오래 가지 않고 깨졌을 경우 파급력은 휠씬 더 클 수 밖에 없다. 단순한 취약성이라고 누가 말을 할 수 있을까? 

 

단순히 사이트를 방문하기만 해도 설치되고 시스템 설정들이 변경이 되는 문제를 가볍게 여길 수는 없다. 지금 유행하고 있는 악성코드들의 전형적인 전파방식을 그대로 따랐기 때문에 심각하며 과연 앞으로도 문제가 없을 것인가 장담은 절대 할 수 없는 상태이고 곧 유사한 형태의 공격들은 애플의 서비스 플랫폼에 계속 나타날 수 밖에 없다.

구글의 지원아래 악성코드 유포 사이트 정보를 관리하고 있는 stopbadware.org 사이트의 항목이다. 9.8일 기준으로 489천여개의 URL에서 악성코드가 유포되고 있으며 위험성이 있음을 볼 수 있다. 

경고 표시는 위의 이미지와 같이 검색결과를 보여주는 화면에서 사용자에게 악성코드 유포 위험이 있음을 알려주는 메시지와 함께 검색 이후의 접근을 제한하도록 하고 있다. 악성코드가 유포되는 도메인에 대한 정보는 보안업체와 함께 협력 하거나 보안기능을 활용하여 탐지를 하여 stopbadware.org 사이트에 등록하도록 하는 형식을 취하고 있다. 

 

악성코드의 유포문제를 직접 해결하기 보다는 자사의 검색서비스를 통해 사용자 PC에 영향을 줄 수 있는 접근을 차단하거나 최소화 하는 방식으로 접근을 하고 있음을 알 수 있다.

 

애플의 경우에는 앱스토어에 올려지는 다양한 애플리케이션들을 직접 통제하고 체크함으로써 위험도를 판단하고 등록시켜주기 때문에, 앱을 통한 문제점 확산은 가능성이 적은 편이다. 그러나 직접적인 모니터링과 관리 부분에 많은 비용이 소요되는 구조다.  애플 소프트웨어의 취약성을 통한 시스템 침입에는 관리와 모니터링이 영향을 미칠 수 없다.

 

그러나 시스템 변화만으로 위험을 제거하기는 어렵다. 특히 봇넷은 SNS를 통해 퍼질 수 있고, 애플도 예외가 될 수 없다. 구조를 겨냥한 어뷰징 기법은 점점 TGIF(트위터, 구글, 아이폰, 페이스북을 의미)를 위협하는 존재로 떠오르고 있다. 구체적인 내용은 다음 칼럼에서 다뤄보기로 하자.