[Interview] 1세대 보안전문가 권석철 터보테크 사장

스마트폰과 소셜 네트워크로 대표되는 새로운 흐름이 일상을 바꿔놓고 있지만, 왠지 불안한 게 사실이다. 스마트폰으로 인터넷 검색이나 이메일 뿐 아니라 신용카드 결제까지 가능해졌는데 안심하고 이용해도 괜찮은 것일까. 결론부터 말하자면 백신을 깔아도 악성코드와 해킹의 위협은 있다. 하지만, 이용자가 노력하면 위험을 최대한 줄일 수 있다.

권 사장은 보안 업계에서는 다소 생소한 터보테크에서 일하고 있지만, 한 때 안철수연구소와 겨뤘던 하우리를 창업한 보안 1세대 전문가다.

안드로이드폰이 더 취약

권 사장은 운영체계(OS)만 보면 구글의 안드로이드폰이 애플 아이폰(iOS)보다 더 위험할 수 있다고 말했다. 하지만, 아이폰 역시 탈옥(jailbreak)폰이 아니어도 해킹을 통해 비슷한 효과가 가능해 안전성을 보장하기 어렵다고 했다.

그는 “해커 입장에서는 안드로이드가 더 취약하다”면서 “왜냐하면 애플은 앱스토어 및 아이튠스를 직접 운영하면서 철저한 검수작업을 하고 있기 때문”이라고 설명했다.

애플 아이폰의 보안 문제는 아이튠스 앱에 악성코드가 통과했을 때가 가장 우려된다는 이야기다. 이는 개방형 운영체계(OS)인 구글 안드로이드가 모바일 생태계 발전에는 도움이 되나, 보안측면에서는 오히려 폐쇄적인 애플 아이폰의 안전성이 높다는 의미이기도 하다.

권석철 사장은 이를 컴파일러(compiler)와 인터프리터(interpreter)의 차이라고 설명했다. “아이폰 OS가 컴파일러라고 한다면 구글 안드로이드는 인터프리터라고 할 수 있다”고 했다.

컴파일러는 고급언어로 쓰여진 프로그램을 컴퓨터에서 즉시 실행할 수 있도록 바꿔주는 번역 프로그램이다. 인터프리터는 원시 코드를 기계어로 번역하는 컴파일러와 달리 프로그래밍 언어의 소스코드를 바로 실행한다.

권 사장은 “아이폰의 경우 해커가 권한을 획득하려면 기계어 분석을 해야 하지만, 안드로이드는 오류를 수정하지 않고 만들어진 소스코드가 해커 눈에 보인다는 의미”라고 설명했다.

아이폰도 위험하긴 마찬가지

하지만 멀티태스킹 이슈뿐 아니라 탈옥폰 등으로 인해 아이폰 역시 안전하다고 말하기는 어렵다고 했다. 권석철 사장은 아이폰4에서 추가된 멀티태스킹 기능은 완전한 멀티태스킹 기능은 아니어서 큰 문제가 아니라고 전제했다.

그는 “아이폰4의 멀티태스킹 방식은 기존 애플리케이션의 작동을 정지시키고 새 애플리케이션을 구동하는 방식이어서 소프트웨어간 간섭이 없는 만큼 그 자체로 보안 문제는 없다”고 설명했다. 하지만 탈옥폰 이슈와 최근의 해킹 기법으로 인해 아이폰 역시 100% 안전성을 보장할 수 없다고 설명했다. 탈옥이란 이용자 스스로 애플이 허용한 애플리케이션만 쓸 수 있도록 한 잠금 장치를 해제하는 행위를 말한다.

권 사장은 “탈옥이 문제인데 처음에는 본인이 원해서 하는 것이었지만, 지금은 해커나 악의적인 사람이 악성코드를 특정 웹사이트에 숨겨놓았을 때 이에 접속하면 자동으로 탈옥했을 때처럼 슈퍼 권한을 해커에 뺏길 수 있다”고 말했다.

애플 역시 이 같은 문제점을 의식해 탈옥이나 해킹된 아이폰을 자동으로 복구할 수 있는 기능을 제공 중이며, 탈옥폰이나 해킹된 아이폰의 사용을 금지하는 다양한 인증 방법을 특허 출원하기도 했다. 또한 탈옥폰의 경우 A/S 보상을 해주지 않고 있다. 권석철 사장은 “구글 안드로이드나 애플 아이폰 모두 OS 측면에서 안전하다고 보기 어렵기 때문에 이용자를 위한 안전 기준이 필요하다”고 강조했다.

3G가 더 안전… 와이파이 접속 주의해야

스마트폰을 ‘걸어다니는 PC’라고 한다면, 스마트폰 보안 문제의 핵심은 무선 인터넷망에서의 보안 이슈라고 볼 수도 있다. 무선 인터넷 해킹 문제는 수년 전부터 제기돼 왔지만, 8월22일 SK텔레콤의 스마트폰 가입자가 200만 명을 돌파하는 등 스마트폰이 대중화로 부각되고 있다.

권석철 사장은 “3세대(G) 이동통신망에 물릴 때는 큰 문제가 없지만, 와이파이 접속은 주의해야 한다”고 했다. 공짜를 찾다가 무인증 AP로 접속했을 경우 낭패를 보기 쉽다는 이야기다. 그는 “스마트폰으로 와이파이에 접속할 때 신원을 알 수 있는 와이파이인지 확인하는 게 중요하며, 이를 귀찮아하면 안 된다”면서 최근의 한 실험을 예로 들었다.

터보테크는 아이폰 탈옥폰을 이용해 스마트폰을 해킹도구로 쓰는 실험을 했다. 먼저 인터넷에서 쉽게 찾을 수 있는 ‘에어크랙’이라는 와이파이 해킹툴을 이용해 실험대상인 회사의 와이파이 암호를 획득한다. 그 뒤 암호를 아이폰 탈옥폰을 들고 경쟁사를 방문한 실험 참가자에게 전송하면 실험 참가자는 화장실 등에서 탈옥폰으로 경쟁사의 네트워크에 접속해 권한을 획득하고 기밀 문서를 빼낼 수 있다.

권 사장은 “현대중공업 등 보안관리가 철저한 대기업을 방문하면 카메라폰 입장이 불가능한 사례가 있는데 앞으로는 스마트폰을 들고 협력 업체 등을 방문하지 못하게 될 수도 있다”면서 “하지만 스마트폰이 가져다 주는 장점이 많은 만큼 무조건 금지하기보다는 와이파이 보안 문제에 관심을 기울여야 한다”고 조언했다.

그는 와이파이(무선랜)로 기업 사내망을 구축하는 기업과 와이파이로 공짜 다운로드를 즐기려는 개인 모두 와이파이 보안 문제에 신경써야 한다고 말했다. “와이파이 AP가 방화벽 안에 있을 경우 더 위험하다”며 “무선인터넷은 유선인터넷과 달리 한 번에 여러 사용자가 자유롭게 접속 가능한 개방형 네트워크여서 보안이 상대적으로 취약하다”고 지적했다.

특히 “기업들은 와이파이 암호인증 방식을 쓸 때 WEP(Wired Equivalent Privacy)를 쓰지 말고 최소한 WPA(Wi-Fi Protected Access)나 WPA2(Wi-Fi Protected Access2)를 써야 한다”고 강조했다.

WEP는 키 값이 고정돼 쉽게 노출될 수 있으니 절대 쓰지 말아야 하고, 키 값을 자동으로 바꿀 수 있는 WPA나 WPA2도 완벽하진 않지만 해커 입장에서 풀려면 일일이 대입해 암호를 찾아야 하는 만큼 WEP보다 귀찮다는 것이다.

사용자들은 어찌해야 할까. 권석철 사장은 “무인증 와이파이 AP에는 절대로 접속해선 안되고, 자신의 와이파이는 암호를 설정해야 하며, 통신사 등이 제공하는 신뢰할 수 있는 AP인지 확인해야 한다”면서 “하지만 실제 AP 제공자와 스마트폰 화면에 나타나는 표시가 다를 수도 있으니 주의해야 한다”고 말했다. “하지만 긴급한 상황이 아니라면 뱅킹이나 주식거래 같은 금융서비스는 되도록 스마트폰으로 하지 않는 게 좋다”면서 “현재로서는 폰뱅킹이 스마트폰 뱅킹보다 훨씬 안전하다”고 말했다. M