악성코드 보안 프로그램의 역할
보통 안티바이러스, 좀 더 정확히 말하면 악성코드 보안 프로그램의 경우 다음과 같은 상황에서의 시스템 방어를 목적으로 합니다.
- 바이러스를 포함한 악성코드의 차단,
- 사용자가 의도하지 않은 인터넷 접속의 차단,
- 패치 되지 않은 운영체계 취약점에 대한 공격을 사전에 발견하고 방어
- 사용자가 의도하지 않은 또는 무의식적으로 저지를 수 있는 개인정보 유출 행위에 대한 방어
- 자체 방어
모든 운영체제에는 취약점(vulnerability)이라는 것이 존재합니다. 크래커들은 외부에 공개되지 않은 이 취약점을 이용하여 관리자 권한을 획득, 시스템에 있는 정보를 탈취하는 방법을 사용합니다. 윈도처럼 흔히 있는 일은 아닙니다만 종종 시스템 취약성을 통해 유닉스 계열 서버의 루트권한을 탈취할 수 있는 악성코드들이 보고되고 있습니다.
현재 윈도 운영체계의 경우 이런 취약점이 보고되면 MS의 정식 패치가 나오기 전에 악성코드보안 프로그램에서 이를 사전 차단하게 됩니다. 이런 조치가 차등적으로 이루어 지는 이유는 운영체계 패치의 경우 여러 프로그램에 대한 호환성 여부의 테스트가 먼저 이루어져야 하므로 대응이 늦을 수 밖에 없는 것입니다. 그러므로 MS의 정기패치 발표 시간이 매월 1회로 제한되어 있으며, 일부 패치의 경우 호환성 문제로 인하여 v5 패치까지가 나오는 경우가 종종 발생합니다.
아이폰 운영체계
일반적인 운영체제가 상당한 자유도가 주어지는 반면 아이폰 운영체제의 경우 다음과 같은 제약이 있습니다.
- 강력하고 보안성 높은 운영체계
- 응용프로그램을 위한 샌드박스
- 앱스토어 승인
위의 세 가지의 강력한 3중의 방어막을 통한 강력한 보안시스템입니다. 거기다 문제 있는 응용프로그램을 제거할 수 있는 킬 스위치(Kill Switch)도 존재합니다. 하지만 이런 시스템을 가지고 있다고 할지라도, 크래커들은 마음만 먹으면 알려지지 않은 운영체계의 취약점을 통해 시스템을 공격할 수 있으며, 시스템을 공격하거나 샌드박스를 뚫을 수 있는 코드를 정상적인 앱스토어 프로그램으로 위장하여 넣을 수 있습니다.
가능한 시나리오
이와 같은 제한된 환경인 아이폰 운영체계에서 동작 가능한 악성코드 보안 프로그램의 운용 시나리오는 위의 네 가지 중에서 오직 두 가지 입니다.
- 사용자가 의도하지 않은 또는 무의식적으로 저지를 수 있는 개인정보 유출 행위에 대한 방어
- 자체 방어
사실상 이정도 되면 거의 존재 가지가 없다고 보는 것도 틀린 말은 아닙니다. 하지만 그렇다고 악성코드 보안 프로그램이 없어도 되는 것일까요?
문제는 책임소재!
아이러니하게도 문제는 책임소재에서 불거집니다. 만약 아이폰 운영체계의 취약점이 발견되어 이를 통한 크래킹이 이루어져 계좌에서 돈이 이체되는 사건이 발생했다고 가정해 봅시다.
현재 대한민국의 경우 제1책임의 원인은 본인에게 있습니다만 만약 본인이 은행에서 제공하는 보안프로그램을 모두 설치하고 안전하게 컴퓨터를 사용했을 경우는 은행이 책임지도록 되어 있습니다.
만약 이 문제가 아무런 악성코드 보안 프로그램이 없는 아이폰에서 발생했다면, 문제가 첨예해 집니다. 은행은 자신들은 책임이 없다고 할 것입니다. 사용자는 자신은 단단한 운영체계를 가진 아이폰과 애플을 믿고 사용했는데 이런 일이 발생했다고 하겠죠? 그러면서 이는 은행이 PC처럼 보안 프로그램을 제공하지 않아서라고 할 겁니다.
애플의 경우는 앱에 대한 제한적인 책임을 약관에 명시(이 부분은 추후 확인해 보고 올리겠습니다. 링크는 아래 첨부합니다.)해 놓았을 테니 책임소재가 없음을 주장할 것입니다.
은행은 가만히 있을까요? 자신의 시스템이 취약점이 존재함에도 불구하고 애플이 보안프로그램의 설치를 지원하지 않았으며 거기다 책임까지 회피하려 한다고 공격을 할 겁니다. 이 모든 것은 애플의 보안 시스템을 과신하여 생긴 문제이며 모든 것은 원인을 제공한 애플에 있다고 공격을 할 것입니다. 큰 건의 경우 국제 소송까지 갈 수 있는 상황이 발생할지도 모르는 일입니다. (승소 가능성은 일단 뒤로 돌립시다)
또한 아이폰에 취약점이 있어서 그것이 국내에서만 이슈가 되었다 했을 때 발 빠른 대처를 해 줄지에 대해서도 아직은 의문이 있습니다. 구멍가게 수준의 한국 지사와 한국을 등한시하는듯한 태도를 보면 더더욱 신뢰가 가지 않습니다.
결국 피해는 사용자에게
이러한 사태를 예방하려면 상식적인 선에서 각각의 대상에게 권고할 수 있는 보안 수준을 부가하고 그에 대한 책임을 다했다면 책임 소재를 묻지 않는 면책 수준을 정할 필요가 있습니다.
현재 인터넷 뱅킹 시스템에 도입된 금융감독원 권고사항인 공인인증서, 악성코드방어 프로그램, 방화벽, 키보드 보안이 현재 PC에서 서로 합의한 수준입니다. 하지만 아이폰의 경우는 기존 시스템에서의 합의가 전혀 통하지 않습니다. 그러면 아이폰 운영체계의 룰에 따라서 모든 보안을 해제해야만 할까요? 그렇게 될 경우 아이폰의 취약점으로 인한 금융사고의 경우 모두 개인이 무한 책임져야 하는 문제가 발생합니다.
결국 가장 큰 피해를 입는 것은 시스템을 신뢰하고 사용했던 사용자들입니다. 문제는 이런 사태가 발생할 소지가 현재 증가하는 아이폰 사용자로 봐서는 빤히 보인다는 것입니다.
결론
앞으로 어떻게 합의가 이루어져 나갈지는 논의가 좀 더 있어봐야 알겠습니다만, 이 문제는 그저 애플만 신뢰하고 있어서 될 일은 아닙니다. 그렇다고 아이폰에 공인인증서, 키보드 보안 프로그램 설치한다고 해결 될 일도 아니고요.
모두가 안전하다고 하는 상황을 한번쯤 더 의심해 보고, 만약의 가능성을 생각해 보는 과정이 필요합니다. 그것이 애플, 은행, 그리고 사용자들 모두를 위해서 좋은 길이 아닐까 하는 생각입니다.
참고 사이트
세계 첫 아이폰용 백신 솔루션 개발 (전자신문)
http://www.etnews.co.kr/news/detail.html?id=201001210343&mc=m_901_00001
아이폰 백신, 출시는 했는데... (전자신문)
http://www.etnews.co.kr/news/detail.html?id=201001220142
아이폰 백신 소동 (디지털타임스)
http://www.dt.co.kr/contents.html?article_no=2010012502012351693002
CERT
http://www.cert.org/
인터넷침해대응센터
http://www.krcert.or.kr/
CVE - Common Vulnerabilities and Exposures
http://cve.mitre.org/
LICENSED APPLICATION END USER LICENSE AGREEMENT
http://www.apple.com/legal/itunes/appstore/dev/stdeula/
TERMS AND CONDITIONS - iTunes Store
http://www.apple.com/legal/itunes/us/terms.html
TERMS AND CONDITIONS - App Store
http://www.apple.com/legal/itunes/appstore/us/terms.html
(0) 
(0)Posted by 香格里拉
