Vol. 26 2010. 10 01 FOCUS 02 스마트폰과 모바일 오피스의 보안 이슈 및 대응 전략 29 EXPERT INSIGHT 30 스마트폰과 모바일 오피스의 보안 강화를 위한 제언
FOCUS 스마트폰과 모바일 오피스의 보안 이슈 및 대응 전략 작성:나성욱 책임연구원 이윤희 선임연구원(이상 한국정보화진흥원) 지순정 주임연구원(한국인터넷진흥원) 1. 스마트폰과 모바일 오피스의 현황 2. 스마트폰과 모바일 오피스의 보안 이슈 3. 스마트폰과 모바일 오피스 보안 대책 4. 정책적 제언
요 약 (개념 및 현황) 스마트폰과 모바일 오피스 모두 확산 추세 - 스마트폰은 통화 기능은 물론 이메일, 인터넷, 전자책 등으로 활용 가능한 소형 컴퓨터 기능을 갖춘 멀티 휴대전화로, 전 세계 스마트폰 시장은 점차 확대되고 있으며 우리나라 역시 확산되고 있는 추세 - 모바일 오피스는 언제 어디서나 모바일 단말기를 통해 외부에서 회사 업무를 처리할 수 있는 업무 시스템으로, 스마트폰 시장 확대에 따른 모바일 오피스 역시 증가하고 있는 상황 모바일 오피스는 스마트폰 등의 모바일 단말기, 업무관련 앱스(Apps) 등의 솔루션, WCDMA, WiFi 등의 이동통신망 및 모바일 플랫폼으로 구성 - 미국, 영국 등 선진국에서는 보안에 경미한 업무를 중심으로 모바일 오피스를 도입 중이며, 대부분 PDA 및 피처폰 기반으로 제공 - 우리나라의 경우 대기업과 공공부문에서 시작된 모바일 오피스는 향후 중소 기업까지 확산될 것으로 전망 (보안 이슈) 스마트폰의 확산에 따른 보안 위협 증가 - (단말 보안 이슈) 단말기의 도난 분실로 인한 개인정보 또는 업무정보의 유출, 업무용 서버에 불법 접속하여 업무정보 유출, 스마트폰 소유자가 악의적으로 업무정보를 외부로 유출할 가능성 존재 - (응용프로그램 및 플랫폼 보안 이슈) 스마트폰의 악성코드 감염으로 인해 개인정보 유출, 장치이용 제한, 부정과금 유발, 모바일 DDoS 공격 등의 위협 가능, 플랫폼 또는 펌웨어 변조에 따라 보안 기능을 약화시킬 가능성 존재 - (네트워크 및 서버 보안 이슈) 무선구간에서 패킷 스니핑(패킷 가로채기), 상용인터넷망을 통한 해킹, 스마트폰을 경유하여 인트라넷 서버에 접속하여 발생 가능한 보안 위협 존재
(보안 대책) - (단말 보안 대책) 스마트폰 잠금 기능(원격 잠금) 및 원격 파일 삭제 기능 등 물리적 보안책 마련 복합인증방식, 단말 가상화 솔루션 적용, 데이터 전송 통제, 편집이 불가능한 저장매체만 스마트폰에 사용, 편집이 불가능한 형태로 변환, 외부출력과 화면캡처 금지, 테더링 기능 제한 등 - (응용프로그램 및 플랫폼 보안 대책) SW의 개발, 판매, 사용 전 단계에서의 정보보호체계 확립, 안티 바이러스 솔루션 도입, 정기적 원격 패치 및 패치 관리 솔루션 제공, 사용자 안전 사용 방법 등에 대한 인식 제고 등 - (네트워크 및 서버 보안 대책) 네트워크 보안 대책 : 모바일 플랫폼은 이동통신망에서 전용 회선으로 직접 연결하고, 암호화 기능 및 VPN(가상사설망) 적용, 모바일 플랫폼 접속은 이동통신망을 통해서만 가능하도록 조치 서버 보안 대책 : 보안장비를 구축 운영하고, 스마트폰에서 내부 업무서버로의 직접연결은 차단, 릴레이 연계 서버 구축 등 요 약 (정책적 제언) - 강력한 보안정책 및 활용성을 고려한 도입전략 필요 모바일 오피스는 국가 및 민간 차원에서 점차 확대될 것으로 예상되며, 특히 국가정보화 중요정책인 스마트워크의 핵심전략 모바일 오피스의 성공적 도입을 위해서는 강력한 보안정책 적용과 활용성을 고려한 도입전략 수립 필요 업무별 보안성 수준정의 및 표준규격을 마련하고, 보안수준이 경미한 업무부터 단계적으로 모바일 오피스 적용 - 부문별 도입전략 제언 (공통인프라) 모바일 오피스 공통기반(통신, 보안환경 등), 단말 망 관리환경, 시험 검증환경 등 모바일서비스센터를 구축함으로써 스마트폰에 대한 관리와 모바일 Apps 등에 대한 검증기능 강화 (기술개발) 모바일 오피스 및 보안성 강화와 관련된 기술을 선정하여 조기개발 유도 (법 제도) 스마트폰 및 관련 서버 운용 관리지침 마련 등을 통한 법 제도적 기반 마련 (기반조성) 모바일 오피스 관련 포럼 창설 등으로 산 학 연 연구 및 교류의 장 마련 등 거버넌스 체계 강화 (인식제고 및 인력양성) 스마트폰 보급 활성화에 따른 모바일 보안 전략 및 표준, 사용자 가이드라인 개발 및 보급
1. 스마트폰과 모바일 오피스의 현황 스마트폰의 현황 스마트폰의 개념 스마트폰은 통화 기능은 물론 이메일, 인터넷, 전자책(e-book) 등으로 활용 가능한 소형 컴퓨터 기능을 갖춘 멀티 휴대전화 - 나아가 스마트 모바일(Smart Mobile) 의 개념으로 확대할 수 있는데, 이는 이용자가 원하는 정보를 상황을 기반으로 정확히 선별하여 빠르고 편리하게 제공하는 이동성을 갖춘 단말 및 서비스를 의미 1) PC의 운영체제(OS)는 MS 윈도우즈가 90% 이상을 차지하는 반면, 모바일 환경에서는 안드로이드, 윈도우즈 모바일, 아이폰 OS, 블랙베리 OS, 심비안, 리모, 바다 등 다양 - 위피(WIPI) 2) 의무화 폐지(2009.4)와 더불어, 다양한 브랜드와 OS 기반의 스마트폰이 본격적으로 국내에 보급 < 주요 스마트폰 종류 > 편리하고 직관적인 이용자 인터페이스(User Interface, UI), 빠른 반응 속도, 멀티 포인트 터치, 개방형 응용 서비스 모델(앱스토어, 안드로이드 마켓 등) 활용 가능 3) 1) 방송통신위원회, 2010.4 2) Wireless Internet Platform for Interoperability, 한국형 무선인터넷 플랫폼의 표준 규격으로, 이동통신 업체들이 같은 플랫폼을 사용하도록 할 목적으로 2001년부터 추진되었지만, 2009년 4월 1일부터 위피의 의무탑재제가 폐지 3) 이승훈 외, 한국인터넷진흥원, 2010.4 4 CIO Report
- 다양한 애플리케이션의 자유로운 설치 및 실행이 스마트폰의 가장 큰 특징이자 장점 - PC와 같이 멀티미디어 서비스 기능과 인터페이스를 지원하며, 컨버전스 (convergence), 인터페이스 간편화 및 터치폰 확산 추세 기존 피처폰(feature phone) 4) 과 비교할 때 스마트폰의 가장 큰 특징은 OS의 개방 정도에 따라 분류 가능하다는 점 - 피처폰은 각 제조사별 전용 OS를 탑재하므로 서드파티(3rd party) 5) 애플리케이션 활용이 제한 - 스마트폰은 범용 OS를 탑재하고 있어 애플리케이션 스토어를 통해 서드파티 애플리케이션을 자유롭게 활용 가능 < 주요 스마트폰 운영체제별 특성 > OS 제작사 장 점 애플리케이션 스토어 개방성 멀티 태스킹 아이폰 사용자 친화적 앱스토어(업계 최대) X X 안드로이드 뛰어난 개방성 안드로이드 마켓 O O 블랙베리 속도 및 메시징 블랙베리 애플리케이션 센터 심비안 윈도우와의 연동성 오비 스토어 O O 윈도우즈 모바일 바다 윈도우와 호환 용이 윈도 마켓 플레이스 O 사용이 쉬운 UI 다양한 서비스 접목 출처 : 지순정 외, 한국인터넷진흥원, 2010.3 X O 삼성 앱스 X O 구분 PC 스마트폰 피처폰 OS 서드파티 애플리케이션 참고 PC와 스마트폰, 피처폰의 특징 비교 ㆍ개방형 플랫폼 ㆍMS Windows가 사실상 독점 ㆍ다양한 애플리케이션 다운로드 및 설치 가능 ㆍ누구나 제작/배포/설치 가능 ㆍ개방형 플랫폼 ㆍ범용 OS ㆍSymbian, iphone 등 다수의 범용 OS 존재 ㆍSDK(소프트웨어개발키트) 공개에 따른 서드파티 개발자의 애플리케이션 ㆍ폐쇄형 플랫폼 ㆍ전용 OS ㆍ제조사별 자체 탑재 ㆍ단말 벤더에 종속된 애플리 케이션만 설치 가능 ㆍ모바일 플랫폼 표준 규격 4) 일반 범용 휴대전화로, 스마트폰보다 낮은 연산 능력을 가진 저성능 휴대전화를 지칭 5) 공식적으로 하드웨어나 소프트웨어를 개발하는 업체 외에 중소규모의 개발자들이 주어진 규격에 맞추어 제품을 생산하는 경우, 또는 생산자와 사용자 사이에서 중개 역할을 하는 업체를 지칭 CIO Report 5
구분 PC 스마트폰 피처폰 개발 및 공유 가능 ㆍ커스터마이징 가능 ㆍ누구나 제작/배포/설치 가능 ㆍ커스터마이징 가능 ㆍ3G/무선 네트워크 인터넷 접속 환경 ㆍ유/무선 네트워크 ㆍWCDMA, HSDPA, Wi-Fi, Bluetooth, PC Sync 사용시간 주요 HW ㆍ인터넷 또는 문서 작업 등의 필요한 시간에만 사용 후 Power-off ㆍOn 상태에서 사용자의 시선을 벗어나는 시간이 짧음 ㆍ프로세서: 2.4GHz ㆍ메모리: ~500GB ㆍ디스플레이: ~18.4인치 (노트북 기준) 출처 : 이승훈 외, 한국인터넷진흥원, 2010.4 ㆍ항상 Power on ㆍOn 상태에서 사용자의 시선을 장시간 벗어나는 것이 가능 ㆍ프로세서: ~1GHz ㆍ메모리: ~32GB ㆍ디스플레이: ~4인치 (WIPI) 기반에서 해당 이통사만 탑재 가능 ㆍ커스터마이징 불가 ㆍ2G/3G 네트워크 ㆍCDMA, WCDMA, HSPA ㆍ항상 Power on ㆍOn 상태에서 사용자의 시선을 장시간 벗어나는 것이 가능 ㆍ프로세서: 1GHz ㆍ메모리: ~2GB ㆍ디스플레이: ~4인치 스마트폰의 현황 전 세계 휴대폰 시장은 2009년 단말기 기준으로 7.9% 감소하였지만, 스마트폰 시장은 24%의 성장을 기록 - 2009년 국내 휴대폰 시장에서 스마트폰이 차지하던 비중은 2.2%로 미약하지만, 아이폰 도입 이후 급격한 증가세를 보여 2010년까지 스마트폰 이용자는 약 400~600만 명까지 확산될 전망 6) 2010년 2사분기 스마트폰은 6,300만 대가 출시되었으며, 2009년 동기 (4,190만 대) 대비 50.4%의 성장률을 기록(2010.8) - 2010년 누적 출시량은 1억 1,830만대로 2009년 동기 7,680만 대 대비 54% 늘어난 수치 - 전체 휴대폰 시장에서 스마트폰의 판매 비율도 2009년 동기 14.4%에서 2010년 18.8%로 4.4% 증가 노키아는 2009년과 같이 시장 선두(전년 대비 점유율 2.2% 하락)를 지키고 있으며, 2010년 4사분기 심비안3 OS가 탑재된 스마트폰을 출시할 계획으로 사용자 반응에 따라 시장점유율에 변화 예상 6) 방송통신위원회, 2010.4 6 CIO Report
- RIM은 북미시장 외의 지역에서 판매량이 늘어서 2위를 유지했지만, 안방시장이나 나름 없는 북미시장에서는 5분기 연속 점유율 하락(곧 출시될 블랙베리OS 6.0에 기대) - 애플은 안드로이드 폰과 더불어 2009년 동기 대비 61% 가량 판매량이 증가했으며, 최근 아이폰4의 안테나 게이트 7) 로 주춤하는 모습을 보이고 있지만 여전히 시장 수요는 강한 편 - HTC는 2분기 동안 영업이익이 2억 6,800만 달러(3,117억 원), 매출 18억 8,000만 달러(2조 1,865억 원)로 영업 이익률이 14.2%로 추정되는 등 스마트폰 분야에서 무섭게 성장하는 추세 - 삼성전자는 전략폰인 갤럭시S의 국내 판매호조와 본격적 북미시장 상륙에 따라 Top5에 재등극 하였으며, 갤럭시S의 해외 판매량이 3사분기 실적의 큰 변수가 될 것으로 전망 2009년 1사분기 2010년 1사분기 판매량 판매사 판매량 (백만 대) 시장점유율 (%) 판매량 (백만 대) 시장점유율 (%) 증가율 (%) 노키아 16.9 40.3 24.0 38.1 42.0 RIM 8.0 19.1 11.2 17.8 40.0 애플 5.2 12.4 8.4 13.3 61.5 HTC 2.1 5.0 4.8 7.6 128.6 삼성 1.1 2.6 3.0 4.8 172.7 기타 8.6 20.2 11.6 18.4 34.9 합계 41.9 100 63.0 100 50.4 출처 : IDC, 2010.8, KISA 내부자료 < 2010년 2사분기 스마트폰 시장추세 > < 세계 스마트폰 시장 전망(2007~2013) > (단위 : 백만 대, %) 구 분 2007년 2008년 2009년 2010년 2011년 2012년 2013년 휴대폰 판매대수 1,151 1,209 1,114 1,202 1,306 1,432 1,568 스 마 트 폰 판매대수 121 143 178 254 351 469 604 성장률 49 18 24 43 38 34 29 비중 10.5 11.8 15.9 21.1 26.9 32.8 38.5 주 : 2009~2013년은 전망치 자료 : 삼성경제연구소, 2010, KISA 내부자료 7) 2010년 여름에 출시된 스마트폰 아이폰4의 수신불량 문제. 안테나를 휴대전화기 테두리에 심어 특정 부위를 손으로 감싸 쥘 경우 수신이 잘되지 않는다는 불만이 잇따른 사건 CIO Report 7
모바일 오피스의 현황 모바일 오피스의 개념 모바일 오피스(mobile office, 이동 사무실)란 언제 어디서나 모바일 단말기 (이동통신기기)를 통해 외부에서 회사 업무를 처리할 수 있는 업무 시스템 - (구성) 스마트폰 등의 모바일 단말기, 업무관련 앱스(Apps) 등의 솔루션, WCDMA, WiFi 등의 이동통신망 및 모바일 플랫폼으로 구성 모바일 단말기는 스마트폰을 비롯하여 무선 PDA, 노트북 컴퓨터 등 다양한데, 본고에서는 스마트폰을 위주로 논의 < 모바일 오피스 구성 > 모바일 오피스 도입방법은 모바일 플랫폼을 기업 기관이 직접 구축하는 방안(구축형)과 사업자의 시설을 활용하는 방안(활용형)으로 구분 - (서비스) 일반적으로 전자결재, 메일 등의 그룹웨어 서비스와 현장 단속 및 관리 등의 특화현장업무 서비스 및 FMC 8) 등의 음성통화 서비스로 구분 < 모바일 오피스 서비스 형태 > 서비스 형태 그룹웨어 서비스 특화현장업무 서비스 음성통화 서비스 주요 내용 메일, 전자결재, 회계처리 등의 일반 업무를 스마트폰으로 제공하는 서비스 현장단속, 시설물관리, 보험상담 업무 등 기업 기관별 특화된 현장업무를 스마트폰으로 제공하는 서비스 기업 기관 내에서는 스마트폰을 내부통화 무료, 외부통화는 저렴한 인터넷전화로 제공하는 서비스 8) 유무선 융합(Fixed Mobile Convergence, FMC) : WiFi/WiBro 등이 지원되는 스마트폰으로 유선전화를 이용할 수 있는 유 무선 통합서비스 o 무선랜과 인터넷전화교환기를 연계하여 사내에서는 직원 간 스마트폰 등의 통화를 무료로 제공하고, 외부 통화는 저렴한 인터넷전화 요금 적용 8 CIO Report
< 이메일, 전자결재 등 그룹웨어 서비스 > 모바일 오피스를 통하여 업무 효율성 향상, 대국민 고객 서비스 강화, 수직 수평 간 소통강화 및 비용절감 효과 발생 기대 모바일 오피스의 현황 미국, 영국 등 선진국에서는 보안에 경미한 업무를 중심으로 모바일 오피스를 도입 중이며, 대부분 PDA 및 피처폰 기반으로 제공 우리나라의 경우 대기업과 공공부문에서 시작된 모바일 오피스는 향후 중소기업까지 확산될 것으로 전망되며, 모바일 오피스 이용자는 2009년 1만 명 수준에서 2012년 100만 명 수준으로 확대될 것으로 기대 9) 미국 (미시간 주) 검사원들에게 태블릿 PC를 지급하고 문서 대신 지참하도록 하여 공사 계획, GIS 데이터, 전임 검사원 의견 등을 현장에서 실시간 조회할 수 있도록 조치 9) KT 경영경제연구소, 2010.3 CIO Report 9
(샌디에이고) 쓰레기 회수 트럭에 GPS 소프트웨어를 장착하여 운행경로 및 쓰레기 회수현황을 실시간 감시하여 트럭 당 쓰레기 회수량 극대화 (버지니아 주) 검사원들이 모바일 장비(랩톱, PDA 등)를 통하여 사무실에 접속하여 당일 할당된 업무 및 승인관련 데이터를 원격으로 확인하고, 현장에서 검사결과나 정보 입력 가능 (뉴욕 주) 보안관실의 집행인들에게 PDA를 지급하여 집행대상 명령서 내역 확인 및 집행결과내역 입력 가능 영국 (경찰청) PDA로 전과조회, 관할구역경찰로 연결하여 수사, 검문, 검거 기록을 중앙서버로 자동 연결 조회 가능 (스코틀랜드) 지역개발계획을 담당하는 직원들이 사무실 밖에서 많은 시간을 지역사회 방문, 청소년 교육 등에 사용하고 있음을 고려하여 원격 모바일 업무환경 제공 (체셔 경찰) 모바일장치를 통한 원격 접속으로 중복적이고 시간 소모적인 서류작업(범죄대상자 인적정보 반복입력 등)을 자동화 (더비셔 경찰) 570대의 경찰차에 PDA와 애플리케이션을 탑재하여 정보 제공 및 문서작업을 경찰서 외부에서도 수행 가능 우리나라 민간부문은 삼성, 코오롱, KT 등에서 전사적으로 모바일 오피스를 도입하여 본격적인 업무 프로세스를 실제 업무에 적용 - (삼성그룹) 임직원에게 스마트폰을 지급하여 결재, 이메일, 임직원 조회 등에 활용하고 있으며, 이메일 확인에 대한 만족도가 가장 높은 것으로 조사 - (포스코그룹) 2009년도에 구축한 시스템을 확대하여 2010년도에 팀장급 이상에게 스마트폰을 지급하여 실시간 이메일, 마케팅 업무 및 사내 이러닝 등의 서비스를 제공함으로써 모바일 기술을 활용한 일하는 방식 개선 - (코오롱그룹) 전체 계열사(약 42개) 및 직원(약 8,000명)을 대상으로 스마트폰을 보급하여 선도적으로 모바일 오피스 도입 10 CIO Report
- (동부그룹) 그룹 관계사(8개)를 대상으로 모바일 오피스를 구축하여 전자결재 등 업무시스템을 연동하여 업무 프로세스 개선 및 기업문화 개선에 기여하였고, 향후 영업 및 재고관리 시스템 등을 확대할 예정 - (SK그룹) 자체 모바일 오피스인 티 오피스(T office) 를 구축하여 시범 운영한 결과, 평균 10시간 걸리던 전자결재 처리 시간이 9시간으로 단축 - (신한은행) 은행권 최초로 1,000여 명의 임직원 및 부서장들에게 스마트폰을 지급하고, 언제 어디서나 내부 문서결재, 직원 검색, 의사 결정 시스템, 사내 메신저 등을 활용 공공부문은 행정안전부, 기상청, 서울도시철도공사, 한국전력공사 등에서 보안에 경미한 업무부터 점진적으로 도입 추진 - (행정안전부) 약 3,000명의 임직원을 대상으로 스마트폰과 이동통신 사업자의 제약 없이 전자결재, 메모보고, 이메일 등의 행정서비스를 제공하고, 관련 보안, 연동 및 서비스 표준규격을 마련하는 시범사업 추진 - (기상청) 임직원을 대상으로 스마트폰을 지급하고, 인터넷전화 교환기 구축 및 FMC 모듈 탑재를 통하여 음성기반 FMC서비스를 제공 중이며, 직원을 대상으로 기상관련 특화서비스 제공 및 그룹웨어 연동 추진 예정 - (서울도시철도공사) 임직원을 대상으로 스마트폰 지급 및 특화업무서비스 환경을 구성하여 실시간 점검 및 고장신고기능, 조치사항 정보공유, 그룹통화 기능 제공 이를 통하여 고장 40% 감소, 정밀점검 및 신속한 고장조치, 약 2,300억 원/5년 규모의 기대이익 예상(KT 경제경영연구소) CIO Report 11
2. 스마트폰과 모바일 오피스의 보안 이슈 스마트폰 확산에 따른 보안 위협 증가 모바일 오피스의 중요 구성요소인 모바일 단말기, 특히 스마트폰의 확산에 따라 보안 위협 발생 가능성 증가 - 휴대하기 편리하며, PC, 카메라, 녹음기, 테더링 10) 등의 다양한 기능을 제공하며, 개방형 환경에서 누구나 모바일 콘텐츠의 제작 배포가 용이하다는 특성에 따른 보안 위협 발생 < 모바일 오피스의 보안 위협 > 기술의 발전으로 컴퓨터와 유사한 성능을 발휘함에 따라 기존의 위협이 발생가능하며, 위협 경로가 확대되는 추세 - 스마트폰은 다양한 무선접속환경에서의 개방성, 휴대성 등으로 기존 인터넷 환경에서 PC를 대상으로 나타나는 다양한 유형의 보안 위협과 더불어 새로운 보안 위협에 노출 < PC 보안 위협 > < 모바일 요인 > < 모바일 보안 위협 > + 10) Tethering : 휴대폰의 부가기능으로, 휴대폰을 모뎀(modem)으로 활용하여 노트북 등 IT 기기들을 연결하여 무선 인터넷을 사용할 수 있는 기능 12 CIO Report
최근 정부나 기업에서 공무원이나 직원들에게 스마트폰을 지급하고 스마트 워크에 활용하는 등 스마트폰의 업무 이용이 확대됨에 따라 보안 문제 확대 - 우리나라의 국가정보원은 스마트폰으로 내부 전산망에 들어가 전자 결재를 하거나 내부 이메일을 열람하는 행위를 제한할 것을 지시한 공문을 모든 공공기관에 송부(2010.1) 11) - 독일정부는 연방정보보안청(BSI) 권고에 따라 공무원들에게 보안 문제를 이유로 블랙베리와 아이폰 사용 금지 권고(2010.8.11) - 프랑스 컴퓨터긴급대응센터(CERTA)는 해커들이 아이폰 등 애플 제품에서 사용자 정보의 유출 및 통화 도청이 가능함을 경고(2010.8.6) - 사우디아라비아 통신당국은 국가보안을 이유로 블랙베리 서비스 중단을 명령하였으나, RIM사와 합의 후 서비스 재개 예정(2010.8.9) 서비스 구조에 따른 보안위협 분류 릴레이 서버 : 내부망(업무서버)과 외부망(DMZ)을 분리하여 연계하는 솔루션 11) 국민일보, 2010.8.11 CIO Report 13
단말 보안 이슈 단말기의 도난 및 분실로 인한 개인정보 또는 업무정보의 유출, 업무용 서버에 불법 접속하여 업무정보 유출 가능 스마트폰 소유자가 악의적으로 업무정보를 외부로 유출할 가능성 존재 개인 휴대기기의 특성상 이용자의 부주의로 인해 기기 및 메모리카드 등을 도난 분실할 수 있으며, 이에 따른 개인정보 유출 가능 - 다량의 개인정보(통화내역, 수신메시지, 전화번호부, 일정, 위치정보, 금융거래정보 등)를 저장하고 있는 스마트폰 분실 시 심각한 개인정보 유출 가능 스마트폰은 업무용, 영업용으로 활용 가능하여 기업정보를 담고 있는 스마트폰의 도난 분실로 인해 기업의 기밀정보 유출 가능 스마트폰은 PC에 비해 분실 및 도난 위험이 15배 이상 높음(시만텍, 2010.3, KISA 내부자료) - 스마트폰에 저장되어 있는 업무정보를 유출할 수 있고, 업무용 서버에 불법 접속하여 업무정보를 유출하거나 위 변조 가능 스마트폰은 휴대성이 있고, 대용량 메모리 및 통신기능이 있어 이용자가 이러한 기능을 이용해 악의적으로 업무 및 영업 정보를 외부로 유출 가능 사례 : 미국 아칸소 주의 맥도날드 직원이 습득한 필립 셔먼이란 남성의 분실 휴대폰에 있는 부인의 누드 사진이 인터넷에 유포되어, 맥도날드를 상대로 300만 달러의 소송 제기(2008년 11월) 응용프로그램 및 플랫폼 보안 이슈 스마트폰의 악성코드 감염으로 인해 개인정보 유출, 장치이용 제한, 부정과금 유발, 모바일 DDoS 공격 등의 위협 가능 플랫폼 또는 펌웨어 변조에 따라 보안 기능을 약화시킬 가능성 존재 다양한 모바일 플랫폼 개발과 플랫폼별 고유의 앱스토어 운영 정책으로 인해 애플리케이션의 보안 관리가 허술한 상황 14 CIO Report
- 애플리케이션 마켓/스토어 등 PC 환경과는 다른 새로운 무선 인터넷 환경에서 나타나는 보안 문제가 다양하게 등장할 가능성 구글의 안드로이드 마켓에서 은행 프로그램을 가장하여 이용자의 은행 비밀번호를 훔쳐가는 불법 소프트웨어 판매 사례 발생(2010.1) 안드로이드 마켓의 경우, 별도의 등록 심사 과정을 거치기 않기 때문에 이러한 불법 프로그램이 등록되더라도 이를 차단하기 어려운 상황 개인정보 유출 스마트폰의 블루투스 및 애플리케이션을 통해 이용자가 인지하지 못한 채 SMS, 통화기록, 위치정보 등의 개인정보 유출 가능 - 자녀 및 직원 관리 목적으로 정상적으로 판매되고 있는 프로그램(예: Mobile-Spy)을 이용하여 SMS, 통화기록, 위치정보 등을 포함한 이용자의 개인정보 유출 및 모니터링 등 악의적으로 사용 - 블루투스나 무선랜 기능 등이 인지하지 못하는 상태에서 사용가능하게 되었을 경우 타인의 무단접속 등으로 정보유출 가능 개인정보 유출 악성코드 o PBStealer(2005) : 전화번호부 압축 프로그램으로 가장한 악성코드로 단말기에 저장된 전화번호를 외부 단말기로 유출 o Infojack(2008) : 단말의 보안설정 변경 및 단말정보(OS, 설치 애플리케이션) 등을 2차 공격하기 위해 외부로 전송하는 악성코드 o iphone/privacy.a(2009) : 감염된 아이폰에서 무선랜을 접속하는 경우 개인정보 (문자메시지, 이메일 등)를 원격지로 전달 o Duh Worm(2009) : 아이폰을 이용한 금융관련 거래에서 SMS 기반 인증코드(6자리)를 훔쳐 원격지로 전송하는 등의 금전적인 피해 유발 가능 장치이용 제한 콘텐츠 삭제, 아이콘 변경 등을 통해 기기의 사용을 불가능하게 만들거나 일부 기능을 마비시키는 공격 수행 - 단말기 UI 변경, 단말기 파손(오류 발생), 배터리 소모, 정보(파일, 일정, 전화번호 등) 및 프로그램 삭제 등 CIO Report 15
장치이용을 제한하는 공격은 스마트폰의 배터리 등의 자원을 고갈시켜 기능 수행을 불가능하게 하며, 배터리 소모 공격과 전화기능 마비 공격 등이 대표적인 공격 유형 - (배터리 소모) 과도한 CPU 연산이나 네트워크 통신을 유발함으로써 스마트폰의 배터리를 고갈시켜 스마트폰을 이용한 실시간 업무 수행을 방해하고, 업무 장애를 초래 - (전화 기능 마비) 공격자의 의도에 따라 특정 전화번호에 대해서 발신과 착신을 차단할 수 있으며, 긴급 상황 발생 시 단말 기능을 방해함으로써 혼란과 장애를 초래 장치이용 제한 악성코드 o Skull(2004) : 단말기의 시스템 애플리케이션을 다른 파일로 교체하여 단말기 사용을 불가능하게 하는 악성코드 o Bootton(2005) : 단말기에 설치된 응용 프로그램 아이콘 변경, 전화통화 외에 다른 기능을 사용하지 못하게 하는 악성코드 o BlankFont(2005) : 단말기 폰트파일 사용을 불가능하게 하는 악성코드 o Ikee(2009) : 유럽등지에서 유포되기 시작했으며, 아이폰의 바탕화면을 80년대 팝가수 릭애슬리 사진으로 변경하는 악성코드 o Liberty(2000) : 단말의 모든 애플리케이션 삭제 및 재부팅 부정과금 유발 SMS/MMS(멀티미디어 메시지)를 통한 바이러스 감염 등으로 강제통화, 대량 SMS(스팸문자)를 발송하여 비정상인 요금 유발, 휴대전화 소액결제, 무선 인터넷 이용, 유료전화서비스 악용 등의 문제 발생 스마트폰 사용자 20%가 SMS, MMS 및 메일을 통해 피싱 메시지를 수신(시만텍, 2010.4, KISA 내부자료) 러시아에서 발생한 RedBrowser는 감염된 스마트폰에서 일반 메시지보다 비싼 프리미엄 요금으로 문자메시지를 발생시켜 사용자에게 과금(2007) - 부정 과금 발생 시 사용자와 사업자 간의 분쟁시비 발생도 우려 16 CIO Report
부정과금 유발 악성코드 o Mosquit(2004) : 고액의 비용을 청구하는 서비스 전화번호 리스트를 포함하여, 단말기 사용자 몰래 SMS 메시지를 해당 전화번호로 보냄으로써 고액의 서비스 이용료 부과 o CommWarrior(2005) : MMS에 자신의 복사본을 첨부하고 단말기 주소록에 있는 모든 연락처에 발송함으로써 단말기 소유자에게 고액의 서비스 이용료 부과 o Timofonica(2000) : 임의로 생성된 번호로 문자 메시지 전송 o CommWarrior(2005) : MMS에 자신의 메시지 복사본을 첨부하고 단말기 주소록에 있는 모든 연락처에 발송하는 악성코드 o RedBrowser(2006) : 모바일 인터넷 사이트 방문 애플리케이션으로 위장하여 프리미엄 문자메시지를 전송하는 악성코드 모바일 DDoS 감염된 좀비 단말기는 특정 사이트에 트래픽을 유발하거나 특정 단말기에 SMS를 전송함으로써 부정 과금 유발 및 웹사이트 마비, 단말이용 불능 야기 스마트폰 자체를 DDoS 유발용 단말기로 사용 가능 - 악성코드 웜 등에 의해 감염된 스마트폰을 좀비 클라이언트로 악용하여 DDoS 공격에 사용 가능함을 경고(안철수연구소, 2010.1, KISA 내부자료) - 2009년에는 감염된 아이폰을 봇넷의 좀비로 만들어 스팸 및 DDoS 공격에 활용 가능한 iphone/ibotnet.a 사례 발생 스마트폰을 이용한 분산서비스거부(DDoS) 공격 발생 경고(KISA 인터넷침해대응 센터 2009년 12월 인터넷 침해사고 동향 및 분석 월보, 2010.1.24) o 스마트폰에서 DDoS 공격이 발생할 경우 사용한 트래픽량 만큼 과금되는 스마트폰 특성상 직접적인 금전피해도 예상 o 스마트폰을 통해 인터넷 접속이 손쉬운 특성으로 이 같은 위협이 높아지고 있으며, 이에 대한 대비의 필요성 강조 이용자 편의에 의하여 기기 변형ㆍ개조 및 불법 애플리케이션 등 보안 인식 미흡에 의한 위협 발생 CIO Report 17
- 폐쇄적으로 운영 관리되는 아이폰의 경우 이용자 편리대로 개조하는 이른바 탈옥(jailbreaking) 으로 검증받지 못한 애플리케이션을 이용할 수 있게 되어 바이러스 악성코드 등의 유포 가능 iphone의 정식 펌웨어 파일을 커스텀 펌웨어 파일(탈옥된 펌웨어)로 바꿔주는 다양한 툴이 존재 (Pwnage Tool, QuickFreedom 등)하며, 탈옥된 iphone을 대상으로 하는 악성코드 발견(2010년) 스마트폰 사용자의 23%만이 보안 프로그램을 사용 중인 것으로 조사(트렌드 마이크로, 2009.8, KISA 내부자료) 참고 스마트폰 보안문제에 대한 인식 스마트폰 이용자의 47.2%( 매우 걱정됨 9.5%, 걱정됨 37.7%)가 스마트폰 보안문제 (바이러스 및 악성코드 감염, 개인정보 유출 등)에 대해 우려 < 스마트폰 보안문제에 대한 인식(%) > 출처 : 방송통신위원회 한국인터넷진흥원, 2010.7 네트워크 및 서버 보안 이슈 무선구간에서 패킷 스니핑(Packet Sniffing, 패킷 가로채기), 상용인터넷망을 통한 해킹 등의 위협 발생 가능 스마트폰을 경유하여 인트라넷 서버에 접속함으로써 보안 위협이 발생할 가능성 존재 스마트폰은 PC 등 고정환경이 아닌 이동환경에서 활용되므로 무선구간 (WiFi, 블루투스, 2G 3G, WiBro)에서의 해킹위협 발생 18 CIO Report
- WiFi, 블루투스에서 패킷 스니핑(Packet Sniffing, 패킷 가로채기) 및 비인가 AP 12) 를 통한 인터넷전화 도청, 개인 및 정책 업무자료 유출 및 악성코드 설치 등의 위협 - 2G 3G의 경우, CDMA 구간(단말~관문장비)의 기술특성상 해킹(데이터 수집)은 거의 불가능하지만, 관문장비를 통하여 상용인터넷망과 연결되므로 상용인터넷망에 존재하는 공격자에 의한 해킹 위협 존재 테더링 등 스마트폰 기능 활용 및 악성코드 설치로 외부와 분리된 내부 인트라넷 서버에 접속함으로써 보안 위협 발생 - 테더링 및 악성코드 설치 등으로 인트라넷에 접속하여 기업 및 기관 내부 정책 업무 자료의 유출이 가능하며, 이를 통하여 특정서버 악성 코드 감염 및 전파 가능 등 모바일 오피스는 악성코드에 감염된 스마트폰, 분실 도난 스마트폰, 비인가 AP 등을 통하여 중요한 정책 업무자료의 유출, 비인가 사용자에 의한 권한 도용, 내부 인트라넷 접속 등의 보안위협 발생 악성코드에 의한 녹음내용 전송, 무선구간의 도청 등으로 FMC 기반의 인터넷 전화 보안위협 발생 12) 허락받지 않고 설치한 무선 인터넷 공유기 CIO Report 19
참고 스마트폰 침해사고 현황 국내 옴니아 스마트폰에서 국제전화 자동 발신을 유발하는 악성코드에 감염된 사례 발생(2010.4) - 2010년 2~7월 동안 300여 종의 안드로이드폰 악성코드가 등장하여 매일 100여 건의 감염 피해 사례 접수 국외 재키 월페이퍼 : 스마트폰 내 등록 전화번호 문자 메시지 등록 이메일 계정 등의 정보를 유출 크리스마스 월페이퍼 : 안드로이드 스마트폰의 유심(USIM) 정보를 해킹하여 공인인증서 등 개인정보를 빼돌리는 악성 애플리케이션 모바일 악성코드 발생건수가 지속적으로 증가하는 추세 - 국외에서 발생하는 모바일 악성코드 중 약 90% 이상이 심비안(Symbian) 13) 운영체제가 탑재된 스마트폰 대상 < 전 세계 스마트폰 악성코드 발견 수(누적) > 출처 : SMobile Systems, KISA 내부자료 13) 주로 PDA, 휴대폰 등에 탑재되는 경량화 된 운영체제, 노키아 주도로 개발 20 CIO Report
3. 스마트폰과 모바일 오피스 보안 대책 단말 보안 대책 도난 분실 대책으로 스마트폰 잠금 기능(원격 잠금) 및 원격 파일 삭제 기능 등 물리적 보안책 마련 - 스마트폰 암호설정과 일정시간 입력이 없는 경우, 자동으로 잠금을 제공하고, 입력 오류시(5회) 사용 접근이 불가능하도록 조치 - 스마트폰에 저장된 사용자 계정, 개인 정보와 관련 앱스(Apps) 등을 원격삭제 및 초기화하는 MDM(Mobile Device Management) 기능 제공 아이폰의 경우 유료 서비스인 Mobile Me, 안드로이드 폰의 경우 관련 애플리케이션(Mobile Defense, B-Folders 등), 윈도우즈 모바일의 경우 관련 애플리케이션(Remote Tracker 등)을 이용하여 원격 잠금 및 원격 파일 삭제 등이 가능 사용자 인증은 ID/패스워드(8자리 이상) 방식, 기기인증서, 공인인증서 방식 및 단말고유정보, OTP 14), 생체인식 등 복합인증방식 적용 단말의 보안성을 강화하기 위한 수단으로 하나의 단말에서 업무와 인터넷을 별도 플랫폼(OS) 기반으로 실행하는 단말 가상화 솔루션 적용 PC나 서버와 스마트폰 사이의 데이터 전송을 통제하고, 필요시 허가받은 저장매체만 스마트폰에 사용 정책 업무 자료는 스마트폰에 저장되지 않도록 하며, 플랫폼에서 편집이 불가능한 형태로 변환하여 스트리밍 15) 방식을 사용하여 스마트폰에 전송 업무자료 화면은 프린터 등을 통한 외부출력과 화면캡처를 금지하고, 콘텐츠 보호 보안을 위한 DRM 16) 적용 단말에서 웹(Web) 또는 앱스(Apps) 방식으로 모바일 오피스를 이용하는 동안 다른 프로세스 실행을 금지하고, 테더링(Tethering) 기능을 제한 14) One-Time Password, 1회용 패스워드 : 로그인할 때마다 그 세션에서만 사용할 수 있는 1회성 패스워드를 생성하는 보안 시스템 15) Streaming : 멀티미디어 데이터 전송방식 중 하나로 파일을 내려 받지 않고 실시간으로 보거나 들을 수 있는 방식 16) Digital Rights Management : 디지털 콘텐츠의 무단 사용을 막아, 제공자의 권리와 이익을 보호해주기 위한 기술과 서비스를 의미하며, 불법 복제와 변조를 방지하는 기술 등 제공 CIO Report 21
응용프로그램 및 플랫폼 보안 대책 안전한 SW 유통체계 환경 조성을 위한 개발, 판매, 사용 전 단계에서의 정보보호체계 확립 17) - 개발자(인증, 개발가이드, 코드서명 등), 판매(SW검증(자동검증) 등), 사용자(SW정보공유) 바이러스, 스파이웨어, 웜 등 악성코드에 의한 보안위협에 대비하여 안티 바이러스(Anti-Virus) 솔루션 도입 - 스마트폰에 백신프로그램 설치 및 주기적인 자동 업데이트 의무화 - 비정상적인 접속 및 자료가 송신될 경우, 강제 세션 종료 및 로그 제공 악성 응용프로그램에 대한 정보를 공유하고, 모바일오피스 응용프로그램 시험 검증 기능을 강화함으로써 안전한 응용프로그램 유통환경 조성 응용프로그램 공급 사이트를 통한 정기적 원격 패치 및 패치관리 (Patch Management System, PMS) 솔루션 제공 플랫폼(OS 등)의 보안 취약점 및 정기적인 업데이트를 공지하고, 사용자 안전 사용 방법 등에 대한 인식 제고 - 운영체제의 보안 취약점 연구 및 침해사고대응을 위한 센터 운영 네트워크 및 서버 보안 대책 네트워크 보안 대책 모바일 플랫폼은 상용인터넷망을 경유하지 않고, 이동통신망에서 전용 회선으로 직접 연결 - 해킹 위협이 존재하는 상용인터넷망을 피해 관문장비에 직접 연결하여 위협을 최소화 17) 강성주, 2010.6.23 22 CIO Report
종단 간 데이터 및 음성의 도 감청 방지를 위해 AES 18) 등이 적용된 암호화 기능 및 VPN 19) 적용 모바일 플랫폼 접속은 이동통신망(CDMA, WCDMA, WiBro)을 통해서만 가능하도록 하고, WiFi는 FMC에 한하여 접속 - FMC는 무선인터넷 공유기(AP)에 WPA2 20) 방식을 적용하고, 인터넷 전화에 대하여 TLS/sRTP 21) 규약적용 및 AES 암호화 적용 서버 보안 대책 서버 기반환경 외부망과 접속지점에 침입차단 및 유해트래픽탐지시스템 등의 보안장비 구축 운영 - 해킹 및 비인가자의 접근 차단을 위해 침입차단시스템 구축 운영 - 비정상 트래픽 상시 모니터링을 위해 유해트래픽탐지시스템 구축 운영 18) Advanced Encryption Standard, 고급 암호 표준 : 미국 정부 표준으로 지정된 블록 암호 형식. 이전의 DES를 대체하며, 미국표준기술연구소(NIST)가 2001년 11월에 연방정보처리표준으로 발표 19) Virtual Private Network, 가상사설망 : 인터넷망과 같은 공중망을 사설망처럼 이용해 회선 비용을 크게 절감할 수 있는 기업통신 서비스 20) WiFi Protected Access2 : 차세대 방식의 WPA. WPA를 지원하는 제품과 호환 가능하며 데이터 암호화 기능 AES가 추가 WPA : 비밀번호가 수시로 바뀌며 WEP(Wired Equivalent Privacy)보다 한 단계 위의 보안 기능 21) TLS(Transport Layer Security, 트랜스포트 레이어 보안) : 암호 규약인 SSL(보안 소켓 레이어)이 표준화 되면서 바뀐 이름으로, 통신과정에서 전송계층 종단간 보안과 데이터 무결성을 확보 secure Realtime Transport Protocol(보안 실시간 전송 프로토콜) : 실시간으로 음성, 영상을 송수신하기 위한 트랜스포트층 통신 규약에 비화, 무결성, 메시지 인증 등 보안을 강화한 규격 CIO Report 23
위협관리대응 및 침해사고대응시스템을 구축 운영하고, 24시간 보안관제 FMC 관련 인증장비 및 무선랜침입탐지시스템(Wireless IPS, WIPS) 구축 스마트폰에서 내부 업무서버로의 직접연결은 차단하고, 외부망과 내부망을 분리할 수 있는 릴레이 연계 서버 구축 모바일 플랫폼 모바일 플랫폼은 기업 기관의 보안수준에 따라 전용 플랫폼을 구축하거나, 사업자 시설 등을 활용하여 공동 활용 관련 서버는 호스트 기반의 방화벽 운용, 비밀번호 또는 인증서 적용, 로그관리, 불필요한 포트 차단 및 접근 권한 통제 등 모바일 플랫폼에서 정책 업무 관련 자료는 저장하지 않으며, 필요시 암호화하여 저장 릴레이 연계 서버 릴레이 연계 서버는 내부망 연동 서버, 외부망 연동 서버 및 연동스토 리지로 구성 릴레이 연계 서버의 내 외부 연동 서버와 연동스토리지는 광 채널 (Fiber Channel)에 의한 단순 물리계층으로 연결 - 복잡한 구조나 연산 수행 시 릴레이 연계 서버에 부담을 줄 수 있으므로 지양 데이터 입출력 시 DES 22) (64bit), 3DES(192bit) 등 표준화된 암호화 기능을 적용하여 보호 22) Data Encryption Standard, 데이터 암호화 규격 24 CIO Report
4. 정책적 제언 강력한 보안정책 및 활용성을 고려한 도입전략 필요 모바일 오피스는 국가 및 민간 차원에서 점차 확대될 것으로 예상되며, 특히 국가정보화 중요정책인 스마트워크의 핵심전략 - 국가기관의 지방이전, 저출산 고령화 등에 따른 스마트워크의 확대 및 고객 서비스 강화 측면에서 국가 사회적 문제 해결을 지원하는 수단이 될 것으로 기대 모바일 오피스의 성공적 도입을 위해서는 강력한 보안정책 적용과 활용성을 고려한 도입전략 수립 필요 - 강력한 보안정책만으로는 활용성이 약화될 수 있으므로 둘 다를 고려한 도입전략 필요 업무별 보안성 수준정의 및 표준규격을 마련하고, 보안수준이 경미한 업무부터 단계적으로 모바일 오피스 적용 - FMC 그룹웨어(게시판, 메일 등), 현장업무 그룹웨어(전자결재) 부문별 도입전략 제언 (공통인프라) 모바일 오피스 공통기반(통신, 보안환경 등), 단말 망 관리 환경, 시험 검증환경 등 모바일서비스센터를 구축함으로써 스마트폰에 대한 관리와 모바일 Apps 등에 대한 검증기능 강화 모바일 전자정부서비스 관련 Apps는 보안, 표준, 연동 등이 포함된 총괄적인 검증기능의 강화가 요구 - 민간부문은 사업자의 자발적인 인프라 고도화를 위하여 지속적인 서비스 활성화 정책을 마련하고, 공공부분은 장기적인 관점에서 보안이 강화된 국가전용 무선인프라 구축 필요 - 국내외적으로 기술 초기 단계에 있는 스마트폰 서비스 보안 인프라 기술 개발과 함께 스마트폰 서비스 산업 활성화 도모 CIO Report 25
(기술개발) 모바일 오피스 및 보안성 강화와 관련된 기술을 선정하여 조기개발 유도 - 스마트폰 보안 취약점 및 위협에 대한 기술 개발이 시급한 상황으로, 악성 코드 차단을 위한 백신뿐만 아니라 기기 보호, 개인정보보호, 네트워크 접속 제어 기술 등의 개발 필요 - 앱스토어 프로그램 개발 및 휴대단말 제조 시 스마트폰 보안을 위한 기본 준수사항 등에 관한 가이드 제공 (법 제도) 스마트폰 및 관련 서버 운용 관리지침 마련 등을 통한 법 제도적 기반 마련 - 스마트폰 확산에 따른 급격한 환경변화에 맞춰 보안위협 및 장애요인에 대한 정부와 산 학 연 간의 종합적이고 체계적인 대책 수립 - 모바일 오피스 구축 시 필요한 보안 대책에 대한 명확한 가이드라인을 제시하여 공공 및 민간부문에서 활용할 수 있도록 조치 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 정통망법)상 무선인터넷 서비스에 대한 법 적용한계가 존재함에 따라 스마트폰이 본격적으로 확산되는 현 시점에서 정보보안의 전반적인 법제 정비 필요 정통망법상 개인정보 수집, 이용, 제공, 저장, 관리, 파기 등의 책임은 서비스를 제공하는 정보통신 서비스 제공자 등에만 부과 앱스 개발자에게 개인정보보호 관련 국내법을 준수하는 프로그램 개발을 강제할 수 있는 방법 전무 - 모바일 기기의 특성을 반영하여 일관되고 명확한 법제 정비가 필요하며, 국내외, 민관 공조체계 구축 및 침해사고 대응능력 강화 훈련 등에 대한 법제도적 뒷받침 필요 (기반조성) 모바일 오피스 관련 포럼(Forum) 창설 등으로 산 학 연의 연구 및 교류의 장 마련 등 거버넌스 체계 강화 (인식제고 및 인력양성) 스마트폰 보급 활성화에 따른 모바일 보안 전략 및 표준, 사용자 가이드라인 개발 및 보급 - 스마트폰 이용자 대상으로 쉽고 흥미로운 방향으로 보안에 대한 인식 제고 교육 및 홍보 시행 - 모바일 보안에 특화된 실전경험과 능력을 갖춘 중ㆍ고급 전문 인력의 양성 및 일자리 연계 도모 26 CIO Report
참고 스마트폰 이용자 10대 안전 수칙 1. 의심스러운 애플리케이션 다운로드 하지 않기 - 위ㆍ변조된 애플리케이션에 의해서 스마트폰용 악성코드 유포될 가능성 높음 2. 신뢰할 수 없는 사이트 방문하지 않기 - 인터넷을 통해 스마트폰 단말기가 악성코드에 감염되는 것을 예방 3. 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 - 멀티미디어 메시지(MMS) 및 이메일은 첨부파일 기능이 있어 악성코드 유포에 악용 가능 4. 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기 - 단말기 분실 및 도난 시 비밀번호가 유출되는 것을 방지 5. 블루투스 기능 및 무선 인터페이스는 사용 시에만 켜놓기 - 악성코드 감염 가능성을 줄이기 위해, 국외의 경우 블루투스 기능을 통해 상당수의 스마트폰 악성코드 유포 6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기 - 스마트폰 매뉴얼에 따라 선조치한 후에도 이상증상이 계속될 경우, 악성코드 감염이 가능성이 있으므로 백신 프로그램을 통해 단말기 진단 및 치료 필요 7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 - 스마트폰용 악성프로그램이 인터넷을 통해 특정 프로그램이나 파일 등에 숨겨져 배포될 수 있으므로 바이러스 유무 검사 필요 8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 - 동기화 프로그램을 통해서도 PC에 있는 악성코드가 스마트폰으로 옮겨질 수 있으므로 스마트폰 및 PC의 정기점검 필요 9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기 - 플랫폼 구조 변경시, 기본적인 보안 기능에 영향을 주어 문제가 발생할 가능성 있음 10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하기 - 해커들의 다양한 공격기법에 대응하고 스마트폰의 안전한 사용을 위해 필요 (출처 : 방송통신위원회) CIO Report 27
참 고 문 헌 국내 문헌 및 웹사이트 1 강성주, 스마트폰 시대 사이버안전정책 방향, Smart Mobile Security 2010, 2010.6.23 2 국민일보, 보안 취약한 스마트폰 경찰, 전자결재 등 제한, 2010.8.11 3 김승주, 스마트폰 분실 대응 방안, Smart Mobile Security 2010, 2010.6.23 4 디지털데일리, [특별기획/2010, FMC&모바일 오피스], 2010.8.9~24 5 방송통신위원회, 스마트 모바일 강국 실현을 위한 무선인터넷 활성화 종합계획, 2010.4 6 방송통신위원회 한국인터넷진흥원, 스마트폰이용실태조사, 2010.7 7 삼성경제연구소, 스마트폰이 열어가는 미래, 2010.2.3 8 이승훈 외, 스마트폰시장의 확산에 따른 모바일 생태계 변화, 인터넷&시큐리티 이슈, 한국인터넷진흥원, 2010.4 9 조선닷컴, 獨 정부, 공무원들에 블랙베리 사용 금지, 2010.8.11 10 지순정 외, 스마트폰의 기회와 위협, 인터넷&시큐리티 이슈, 한국인터넷진흥원, 2010.3 11 한국경제, 일은 집 근처에서 KT, 전국 30곳에 스마트워킹센터, 2010.8.23 12 한국인터넷진흥원, 모바일백신 국내외 현황, 2010.1.7 13 한국인터넷진흥원, 2009 무선인터넷이용실태조사, 2009.12.3 14 한국인터넷진흥원, 2010년 8월 인터넷 침해사고 동향 및 분석 월보, 2010.8 15 한국정보화진흥원, 스마트폰기반 행정서비스 보안대책, 2010.8 16 한국정보화진흥원, 스마트폰기반 행정서비스 시범사업 공모 자료, 2010.5 17 행정안전부, 스마트폰기반 전자정부 추진 전략 세미나 자료, 2010.6 18 KT 경제경영연구소, 2010 모바일 오피스 구축의 경제적 효과, 2010.3 19 KT, SKT, LGT, 스마트폰기반 행정서비스 시범사업 제안서, 2010.6 국외 문헌 및 웹사이트 1 CNET(http://news.cnet.com) 2 IDC(http://www.idc.com) 3 IDC, Worldwide Quarterly Mobile Phone Tracker, 2010.5.7 4 Mobile World Congress, 2010.2.19 5 Morgan Stanley, The Mobile Internet Report, 2010.4.12 6 Needham predicts 142.5m iphone sales in 2019, raises AAPL estimates. 9TO5Mac. 2010.2.12 7 UCLA, SmartSire: Virus Detection and Alert for Smartphones 8 VUPEN(http://www.vupen.com) 28 CIO Report
EXPERT INSIGHT 스마트폰과 모바일 오피스의 보안 강화를 위한 제언 권혁상 전무 (SK텔레콤) 김승주 교수 (성균관대학교) 기획 / 작성:이윤희 한국정보화진흥원 선임연구원
스마트폰 확산에 따른 보안의 중요성이 커지는 상황에서 이용자의 보안인식 확산 및 정부 차원의 적극적인 대책 마련, 기업의 적극적 투자가 필요하다. 권혁상 전무 (SK텔레콤) 현재 : SK Telecom 전무(정보기술원장) 주요 경력 - 2002년 9월 ~ 2008년 12월 : SK C&C 사업지원부문장 등 - 1996년 4월 ~ 2002년 8월 : SK Global CIO - 1981년 12월 ~ 1996년 4월 : (주)선경 스마트폰 및 모바일 오피스의 보안은 선택이 아닌 필수 스마트폰 운영체계, 서비스 특성, 보관하고 있는 정보 등 단말자체가 스마트해짐을 고려할 때 보안 사고로 인한 피해의 규모는 PC보다 심각하며, 스마트폰 보안은 선택이 아닌 필수 - 기업 내부 시스템 연동 시 기업 중요 문서, 전자 메일, 전자 결재, 영업 정보, 구성원 정보 등 기업 기밀 정보도 위협에 노출될 가능성이 존재 - 단말 분실 및 도난이나 해킹 위협 등 스마트폰의 기기 특성과 사용 환경으로 인해 사전 차단이 어려운 보안 문제가 존재 기업의 적극적 투자 및 인식제고 필요 기업에서는 스마트폰을 통한 모바일 오피스 등을 도입하면서 기존 PC 환경에 적용된 보안 시스템을 모바일 오피스에도 적용해야 하나, 보안이 필수가 아닌 부가 요소라는 인식으로 투자에 소극적 - 모바일 오피스의 경우 회사내부보다 외부에서 손쉽게 회사의 중요 정보에 접근할 수 있기 때문에 적극적인 투자 필요 스마트폰 앱 개발자, 응용 서비스 개발사, 콘텐츠 유통사 역시 보안에 대한 인식과 전문 인력이 부족한 현실 30 CIO Report
- 개발 초기 단계에서부터 보안을 고려하지 않아 과도한 개인 정보 수집, 보안 취약성을 지닌 소스 코드 사용 등 최종 사용자 단에서 발생할 수 있는 잠재적 보안 문제를 야기 - 대다수의 일반 사용자 역시 보안 문제로 인한 막연한 불안감을 느끼고는 있으나 구체적 대응 방안에 관한 정보가 부족하거나 이를 알더라도 실천하지 않는 경향 - 보안이 되지 않은 무선랜 접속 시도, 단말 잠금 설정 등 보안 미 설정, 출처가 불분명한 앱 다운로드 및 설치, 탈옥 을 통한 시스템 보안 해제 행위 등 관련 기술의 성숙도는 초기 단계로 기술 개발이 활발히 진행 국내 외의 대부분 스마트폰 보안 관련 기술은 스마트폰 백신 프로그램, 단말 관련(원격 삭제, 백업 관리 등)이 대부분이며, 기존 유선환경(PC 등)의 보안 기술과 비교할 때 기술의 성숙도에 차이가 존재 - 국내의 모바일 오피스 등 도입으로 기업 정보 유출, 도난/분실, 악성코드 감염 등에 대한 보안 관련 기술 개발이 활발히 진행 - 국외의 경우 기존 보안 업체, 모바일 보안 전문 업체 및 단말 제조사 등에서 유무선 통합 보안관리, 원격 관리, 암호화, VPN 등 다양한 보안 솔루션 존재 정부 차원의 스마트폰 보안 정책 입안 및 법제화 등 긍정적 추세 - 개인정보보호법, 행안위 법안심사 소위 상정(2010.4) 및 국회통과 추진 중 - 금감원 스마트폰 전자금융 서비스 안전대책 (2010.1.6) - 방통위, 스마트폰 보안 10대 수칙, 스마트폰 보안 주체별 역할 정립 및 발표(2010.7) 및 좀비PC확산방지법(안)에는 기존 PC환경과 동일하게 스마트폰을 취급 국내에서는 B2C, B2B 대상으로 자체적인 스마트폰 보안 강화 진행 CIO Report 31
정부 차원의 대응방안과 함께 민간기업, 이용자의 총괄적인 대책 필요 정부 차원에서는 모바일 환경에서의 보안 위협 정보의 상시 수집 분석 관리와 선제적 대응 방안 수립을 통한 전 방위적 보안 대응관리 체계 구축 필요 - 기술 및 시장의 발전 속도를 뒷받침할 만큼 신속한 제도 정비와 환경 조성이 필요하고, 모바일 악성코드 위협으로부터 이용자를 보호할 수 있는 절차적 제도적 안전장치로써 법제도 정비 필요 - 정보보안, 보안침해 범죄 등에 대한 체계적이고 범정부 차원의 캠페인과 교육 등을 통해 이용자의 보안 인식을 높이고 책임의식을 갖도록 하는 접근이 중요 스마트폰 활성화를 위한 정책과 함께 보안 관련 기술, 정책 및 법 제도 등이 함께 추진될 필요 - 킬러 애플리케이션, 글로벌한 서비스의 개발 및 신규 융합서비스의 발굴 등 글로벌 시장에서의 선도적 기술 및 서비스 개발 필요 - 깨끗한 애플리케이션 유통 환경 구축, 보안 위협 대응 방안, 모바일 인터넷 보안 가이드라인 마련 등 이용자 보호 및 산업 진흥을 위한 선진적 제도 마련 필요 - 이해관계자들의 상생협력 등 기업의 자발적 노력 및 안정적 수익모델 확보 등을 통한 건전하고 안정적인 스마트폰 산업 생태계 조성 필요 민간 기업들은 모바일 보안에 대한 경영층 및 구성원 인식 제고와 종합적 대책 마련 필요 - 단말, 네트워크, 서비스의 전 영역에 걸친 보다 균형감 있고 다양하며 체계적인 보안 대응 체계 구축 필요 - 모바일 서비스 제공 기업은 무선랜 보안, 모바일 인증, 콘텐츠 암호화 구현, 방화벽, 침입방지, VPN 등 개별 솔루션 확보와 함께, 모바일 오피스, 클라우드 컴퓨팅, 홈네트워크와 같은 특화된 서비스에 따른 맞춤형 솔루션 패키지 제공 등도 필요 32 CIO Report
해외 선진국의 가이드라인과 프로젝트를 벤치마킹할 필요가 있으며, 데이터의 중요도에 따른 망 분리 및 보안 앱스토어 구축, 이해하기 쉬운 이용자 가이드가 필요하다. 김승주 교수 (성균관대학교) 주요 경력 - 2004년 ~ 현재 : 성균관대학교 정보통신공학부 교수 - 2005년 ~ 현재 : 한국정보보호학회 이사 - 2007년 ~ 현재 : 대검찰청 디지털수사 자문위원 - 1998 ~ 2004년 : 한국인터넷진흥원(KISA) 팀장 수상 경력 : 국가정보원 국가사이버안전업무 유공자 표창 (2007) 저서 : first-step 네트워크 보안(2005), 컴퓨팅 보안(2005), 보안 평가론(2008) 해외 가이드라인 및 프로젝트 벤치마킹 해외 주요국들의 경우 특별한 정책이 있다기보다 스마트폰의 안전한 사용을 위한 각종 가이드라인을 제시하고 있는 실정 정부 정책은 아니지만 미국 룩아웃이라는 보안업체의 앱 게놈 프로젝트 (App Genome Project)'를 주목할 필요 - 이 프로젝트는 애플 앱스토어 및 안드로이드 마켓의 약 30만 개 스마트폰 앱을 분석, 무단 개인정보 수집 여부 또는 필요 없는 개인정보 과도 수집 여부를 조사 - 향후 우리도 이와 유사한 프로젝트를 수행함으로써 소비자로 하여금 안전한 앱을 안심하고 사용할 수 있도록 하는 것이 필요 데이터의 중요도에 따른 망 분리 및 보안 앱스토어 구축 필요 정부는 누구든 자신이 만든 보안 프로그램을 자유롭게 앱스토어에 올려 거래할 수 있는 보안 앱스토어 구축을 통해 모바일 보안 SW 생태계 를 형성할 수 있도록 노력할 필요 - 또한 보안 앱스토어에 등록되는 프로그램에 대해 사전 검증할 의무 CIO Report 33
선진 국가들과 같이 데이터의 중요도 에 따른 망 분리 정책을 추진하는 것이 필요 - 이미 많은 선진 국가들은 망 분리 작업을 통해 중요 데이터의 유출을 원천적으로 방지 - 미국 등 선진국의 경우 네트워크망을 단순히 업무용과 비업무용으로 구분하는 것이 아니라, 기밀 데이터가 유통되는 망과 기밀이 아닌 일반 데이터가 유통되는 망으로 분리 - 이 중 기밀이 아닌 일반 데이터가 유통되는 망에 대해서만 적절한 보안시스템과 유 무선 인터넷을 이용해 외부에서 접속하는 것을 허용함으로써 보안성도 강화하고 업무의 효율성도 극대화 이해하기 쉬운 스마트폰 및 모바일 오피스 보안 가이드 필요 스마트폰 및 모바일 오피스에서의 보안 문제에 대해 최근 업계 또는 학계의 언론 보도에서 보안 위협을 과장하는 경향 - 모든 보안 위협에는 그 위협이 발생하기 위한 가정, 즉 전제조건이 있으며, 이 가정이 현실적으로 얼마나 실현 가능한가에 따라 위험의 심각도 결정 - 스마트폰에서의 보안 문제를 언급할 때 사용자의 경각심을 고취하기 위한 인식제고도 중요하지만, 이와 함께 스마트폰 산업 활성화를 위한 대책을 고려할 필요 최근 제시되고 있는 각종 스마트폰 보안대책을 일반 사용자들이 이해하고 실행에 옮기기에는 어려운 내용이 존재하므로 쉬운 형태의 가이드 필요 - 스마트폰 사용자는 보통 PC나 노트북 사용자에 비해 IT 기술에 대한 이해도가 낮으므로, 좀 더 이해하고 사용하기 쉬운 형태로 보안 가이드라인 및 보안프로그램을 개발 보급하는 것이 필요 34 CIO Report
CIO 리포트 과월호 목록 2008 Vol. 1 어린이 안전과 IT Vol. 2 정보화 역기능 현황과 과제 Vol. 3 재난관리와 IT Vol. 4 먹거리 안전과 IT Vol. 5 국가사이버테러 현황 및 대응동향 Vol. 6 그린 IT 이슈와 대응동향 Vol. 7 해외신간도서로 보는 미래 정보사회 Vol. 8 2008년 주요 이슈와 IT 2009 Vol. 9 2009년 국내 10대 이슈 전망 Vol.10 범죄 해결과 ICT Vol.11 고령화 문제와 ICT Vol.12 소셜네트워크와 공공서비스 Vol.13 그린 Security Vol.14 주요 선진국의 소통형 디지털 정부 추진 현황과 시사점 Vol.15 주요국의 사이버 보안 추진 전략과 시사점 Vol.16 주요국의 웹 접근성 추진동향 및 시사점 Vol.17 범국가 차원의 ICT신기술 패러다임 : 클라우드 컴퓨팅 활성화 전략 Vol.18 차세대 웹 표준의 발전방향 : 공공부문 도입을 중심으로 2010 Vol.19 저탄소 첨단녹색통행사회(G-ITS) 구현 전략 Vol.20 디지털 시대의 사회 통합을 위한 전략 및 시사점 Vol.21 Gov 2.0 시대의 공공정보 및 공공서비스 활성화 전략 Vol.22 효율적 정보화를 위한 성과기반 EA정책 추진 방안 Vol.23 주요국의 인터넷 중독 해소 정책 및 시사점 Vol.24 공공 부문의 성공적인 소셜미디어 도입 및 활용 전략 Vol.25 디지털 시대의 나눔문화 활성화 전략 Vol.26 스마트폰과 모바일 오피스의 보안 이슈 및 대응 전략
1. CIO 리포트 는 정보통신산업진흥기금으로 수행한 정보화 통계조사 및 동향분석 사업 결과의 일부로 산출된 것입니다. 2. CIO 리포트 는 매월 정부 정책입안자 및 일반 국민에게 국내외 주요 IT 이슈 분석과 동향 정보를 제공할 목적으로 발간됩니다. 3. 본 자료의 내용을 인용할 경우 출처를 명시하여 주시기 바랍니다. 4. 본 자료는 한국정보화진흥원의 공식 견해가 아니며, 본 내용에 대한 문의나 제안 사항이 있으시면 한국정보화진흥원 정보화평가분석부로 연락하여 주시기 바랍니다. 기획 구성 - 한국정보화진흥원 정보화평가분석부 박선주 선임연구원(sjpark@nia.or.kr) - 한국정보화진흥원 정보화평가분석부 윤미영 선임연구원(yoonmy@nia.or.kr) - 한국정보화진흥원 정보화평가분석부 이윤희 선임연구원(unistar@nia.or.kr) 문의 : 한국정보화진흥원 국가정보화기획단 정보화평가분석부 이윤희 선임연구원 보고서 온라인 서비스 : www.itglobal.or.kr