이탈리아 해킹팀의 해킹 프로그램 제작 툴킷이 오픈소스로 공개되면서 초보적인 해킹 기술만으로도 고급 스파이웨어를 만들 수 있게 돼 스마트폰 보안에 비상이 걸렸다. 이 기술은 스마트폰의 모든 기능을 제어하고 파일을 삭제할 수 있으며, 전원을 꺼도 스파이웨어는 활동하게 된다. 사용자가 피해 사실을 알아차릴 수 없으며, 피해 사실을 알아도 삭제할 수 없는 악질적인 해킹 프로그램이다.
이러한 해킹 프로그램을 이용하면 사용자 단말에 저장된 정보 뿐 아니라 녹음·동영상 녹화를 통해 중요한 정보를 해커가 빼낼 수 있다. 따라서 기업/기관은 임직원의 스마트폰 관리에 각별한 주의를 기울여야 한다.
개인용·업무용 분리된 2개 OS로 업무 데이터 보호
스마트폰 해킹은 피해자가 악성URL을 링크해 악성앱이 설치된 후 실행되므로, 인터넷을 통해 의심스러운 앱이 설치되지 않도록 설정하는 것이 필요하다. 그러나 정상적인 인터넷 사이트와 정상적인 메시지를 위장해 몰래 설치되는 스파이웨어를 사용자가 완벽하게 차단하기 어렵다.
모바일 가상화 기술을 이용해 하나의 단말기를 개인 영역과 업무 영역을 분리하고, 업무 영역에는 업무 앱 외에 설치되지 않도록 하며 강력한 보안으로 보호되는 웹브라우저를 구동시켜 업무 영역을 보호할 수 있다.
레드벤드코리아는 28일 모바일 가상화와 BYOD 보안 솔루션을 소개하면서 스마트폰 해킹 프로그램으로부터 기업 정보를 보호하는 방법을 제안했다.
타입1 방식의 모바일 가상화를 이용하면, 개인 영역이 악성코드에 감염돼도 업무 영역의 모바일 메신저 대화나 문자, 통화내역에 접근하는 것이 불가능하다. 공격자가 화면 공유 및 화면 녹화 등 미러링 기술을 시도하더라도 업무영역으로 전환되면 화면 공유나 녹화가 차단돼 화면 외부 유출을 원천 차단할 수 있다.
‘모바일 전자정부’ 타입1 가상화 시범 서비스 진행
모바일 가상화 기술은 해외에서는 보안 우수성을 인정받아 미국의 해병대 및 영국 정부의 보안 인증을 통과하였다. 에드워드 스노든 폭로 사건 당시 논란이 되었던 독일 메르켈 총리 휴대전화 도청 의혹 사건 이후 독일 정부는 강력한 보안을 제공하는 타입1 모바일 가상화 기술이 구현된 스마트폰을 도입한 바 있다.
우리나라의 경우 행정자치부에서 모바일 기기로 행정업무를 처리하는 공무원들의 업무 안정성을 강화하기 위해 타입-1 모바일 가상화를 활용해 ‘모바일 전자정부 가상화 기술적용 사업’시범서비스를 진행 중이다.
SK텔레콤은 지난 해 레드벤드의 모바일 타입-1 가상화 기술이 적용된 기업용 BYOD 전문 서비스인 ‘T 페르소나 프리미엄’을 출시하고 기업들의 정보보호를 지원하고 있다.
레드벤드 관계자는 “SK텔레콤 T 페르소나 프리미엄에 적용된 레드벤드의 모바일 가상화 기술은 기업용 버전의 경우 업무 영역의 ‘알 수 없는 소스’ 기능을 원천 차단한다. SMS/MMS 등 URL 등을 이용한 악성코드 침투가 원천적으로 불가하고, 승인 받은 앱들만 설치 가능하기 때문에 대부분의 공격자들이 감행하는 ‘알려지지 않은 공격’도 방어가 가능하다”고 설명했다.
레드벤드, VM웨어, 시트릭스 등 가상화 업체들이 모바일 가상화 기술을 선보이고 있으며, 주요 제조사들이 스마트폰 등 모바일 기기에 모바일 가상화 기술을 적용하고 있다.
레드벤드 관계자는 “스마트폰 사용이 확대되면서 개인 데이터와 중요한 업무 데이터를 스마트폰에서 함께 저장, 관리하는 사례가 늘고 있다”면서 “스마트폰에서 업무 영역과 개인 영역을 완벽하게 분리해서 관리하는 모바일 가상화 기술은 모바일 시대에 보안 위협으로부터 기업의 정보자산뿐 아니라 개인의 사생활을 효과적으로 보호하는 대안이 될 것”이라고 강조했다.
