• 비밀번호가 설정되지 않은 모바일 기기가 많다.
사용자를 인증하고, 기기에 저장된 데이터에 대한 접속을 관리하는 비밀번호가 취약한 경우가 많다. 많은 기기들이 비밀번호, PIN(Personal Identification Numbers), 패턴 화면 잠금 기술들을 제공하고 있다. 일부 기기에는 지문을 확인해 인증을 하는 생체 측정 리더를 보유하고 있기도 하다.
그러나 관련 조사 보고서에 따르면 이런 기능들을 사용하지 않는 사용자들이 많고, 비밀번호나 PIN을 사용하고 있는 경우에도 1234나 0000 같이 쉽게 파악할 수 있는 번호를 사용하는 경우도 다반사였다. 비밀번호나 PIN을 이용해 기기를 잠그지 않으면, 인가되지 않은 사용자가 전화기의 중요한 정보에 접근해 이를 잃어버리거나 도난 당할 수 있다.
• 모바일 기기를 이용해 중요한 거래를 하면서 이중 인증을 사용하지 않는 때가 있다.
연구에 따르면, 소비자들은 모바일 기기를 이용해 중요한 온라인 거래를 할 때 이중 인증 대신 고정 비밀번호를 사용한다. 이런 고정 비밀번호는 보안 측면에서 단점이 있다. 비밀번호를 추측하기 쉽고, 잃어버리기 쉽다. 또 도난이나 도청을 당할 가능성도 있다.
이중 인증은 일반적으로 전통적인 비밀번호와 PIN에 비해 더 높은 보안 수준을 제공한다. 이는 중요한 거래에 아주 중요하다. 이중 인증이란 사용자가 알고 있거나, 보유하고 있는 것, 또는 본인과 관련된 것 등 2가지 다른 요소를 이용해 인증을 하는 인증 시스템을 의미한다. 일부 이중 인증에서는 모바일 기기를 2번째 인증 요소로 사용하도록 되어 있다. 모바일 기기를 이용해 패스코드를 생성하거나, 이 코드를 문자 메시지를 통해 휴대폰으로 전송한다. 이중 인증을 사용하지 않는다면, 권한이 없는 사용자가 중요한 정보에 접근을 하거나 모바일 기기를 악용하는 위험이 높아진다.
• 무선 전송을 암호화 하지 않는 경우가 있다.
모바일 기기에서 발송한 이메일은 암호화 되어 있지 않는 경우가 대부분이다. 또 많은 애플리케이션들이 네트워크를 통해 수신 또는 송신하는 데이터를 암호화하지 않아 쉽게 가로채기를 당할 확률이 있다.
예를 들어, (보안 http가 아닌) http를 이용하는 암호화 되지 않은 WiFi를 통해 데이터를 전송하면, 이를 쉽게 가로채기 할 수 있다. 그리고 무선 전송을 암호화 하지 않을 때 쉽게 데이터를 가로채기 할 수 있다.
• 모바일 기기에 맬웨어가 있을 수 있다.
소비자들이 맬웨어가 들어있는 애플리케이션을 다운로드 할 수도 있다. 또 게임이나 보안 패치, 유틸리티, 기타 겉으로는 유용한 애플리케이션으로 가장한 맬웨어를 다운로드 받기도 한다. 사용자가 적법한 애플리케이션과 맬웨어가 포함된 애플리케이션을 구별하기란 쉽지 않기 때문이다.
예를 들어, 애플리케이션에 맬웨어를 덧씌울 수 있고, 소비자는 이를 알지 못한 상태에서 모바일 기기에 애플리케이션을 다운로드 받는다. 그러면 데이터를 쉽게 가로챌 수 있다. 무선 전송을 암호화 하지 않으면, 도청을 통해 데이터를 가로챌 수 있고 권한이 없는 사용자가 중요한 정보에 접근을 할 수 있게 된다.
• 보안 소프트웨어를 사용하지 않는 모바일 기기가 많다.
악성 애플리케이션, 스파이웨어, 맬웨어 기반 공격을 방어하는 보안 소프트웨어를 기본 탑재하지 않은 모바일 기기가 많다. 또 사용자 역시 보안 소프트웨어를 설치하지 않는다. 보안 소프트웨어들이 동작을 느리게 하고 배터리 수명을 잡아먹긴 하지만, 이런 소프트웨어가 없으면 위험 또한 증가한다. 해커들이 바이러스, 트로이의 목마, 스파이웨어, 스팸 같은 맬웨어를 배포해 비밀번호나 기밀 정보를 드러내도록 하는 것이다.
• 운영 시스템이 시대에 뒤떨어져 있을 수 있다.
모바일 기기 운영 시스템의의 보안 패치나 픽스가 제때 설치되지 않는 경우가 종종 있다. 소비자 기기에 보안 업데이트를 제공하는데 몇 주 또는 몇 달이 걸리기도 한다. 취약성 특징에 따라 패치 절차가 복잡하거나, 여러 회사가 관여해야 할 수도 있다.
예를 들어, 구글은 안드로이드 OS의 보안 취약성을 없애는 업데이트를 개발해 제공한다. 그러나 특정 기기에 맞춰 이런 취약성 픽스를 포함한 업데이트를 만드는 것은 기기 제조업체의 몫이다. 따라서 기기 소프트웨어를 수정할 때까지 시간이 걸리기도 한다. 제조업체가 업데이트를 개발해도 소비자의 기기에 이를 전송하는 것은 각 통신 사업자가 결정한다. 그러나 통신 사업자들이 업데이트 제공을 늦출 수도 있다. 이 업데이트가 기기의 다른 기술적 부분이나 설치된 소프트웨어를 간섭하는지 테스트하는데 시간이 필요하기 때문이다
또 2년 이상 된 모바일 기기에는 보안 업데이트가 제공되지 않을 수 있다. 제조업체가 더 이상 이들 기기에 대한 지원 서비스를 제공하지 않기 때문이다. 많은 제조업체들이 출시 후 빠르면 12~18개월 되는 시점에서 스마트폰 지원 서비스를 중단한다. 이런 기기들의 경우 제조업체가 새로 발견된 취약성 패치를 개발하지 않기 때문에 위험이 증가할 수 있다.
• 모바일 기기의 소프트웨어가 시대에 뒤떨어져 있을 수 있다.
제3자 회사의 애플리케이션의 경우 보안 패치가 제때 개발되어 배포되지 않는 때가 종종 있다. 또 웹브라우저를 포함해 이런 애플리케이션들은 업데이트 출시를 알려주지 않는다. 특히 모바일 브라우저는 컴퓨터용 웹 브라우저와 비교했을 때 업데이트를 하는 경우가 드물다. 이런 오래된 소프트웨어를 사용하면 기기 취약성과 관련된 공격 위험이 증가한다.
• 모바일 기기의 경우 인터넷 연결을 제한하지 않는 경우가 많다.
연결을 제한하는 방화벽이 없는 모바일 기기가 많다. 기기를 WAN에 연결하면 통신 포트를 사용해 다른 기기와 인터넷에 연결을 한다. 그리고 해커들은 안전하지 않은 포트를 통해 모바일 기기에 쉽게 접근을 할 수 있다. 방화벽은 이들 포트를 보안하고, 사용자가 원하는 모바일 기기 연결만을 허용할 수 있도록 해준다. 모바일 기기에 방화벽이 없다면 보안이 확보되지 않은 통신 포트를 통한 침입에 무방비 상태가 될 수 있다. 침입자들이 기기의 비밀 정보를 획득해 이를 오용할 수 있다는 의미이다.
• 인가 받지 않은 수정(탈옥)이 되어 있을 수 있다.
이른바 '탈옥' 또는 '루팅'이라고 불리는 기능 제한을 없애기 위한 모바일 기기 수정은 보안 관리 방법을 바꿔, 보안 위험을 높이는 악영향을 초래한다. 탈옥은 사용자가 기기 운영 시스템에 접근해, 특정 무선 통신 사업자가 인가하지 않은 소프트웨어와 애플리케이션을 설치할 수 있도록 하는 것이다. 일부 사용자들은 방화벽 등 보안 기능을 설치하기 위해 모바일 기기를 탈옥하거나 루팅한다.
그러나 저렴하고 간편한 방법으로 원하는 애플리케이션을 설치하기 위해 탈옥을 이용하는 사람들도 있다. 후자의 경우 보안 위험이 증가한다. 제조업체가 규정한 애플리케이션 검사 프로세스를 우회함으로써 알지 못한 상태에서 맬웨어를 설치할 확률이 높아진다. 또 탈옥을 한 모바일 기기에는 보안 업데이트가 통보되지 않곤 한다. 따라서 소프트웨어를 최신 상태로 유지하기 위해서는 추가적인 노력이 필요할 수 있다.
• 통신 채널의 보안 상태가 취약할 수 있다.
블루투스 통신 같은 통신 채널을 '오픈'이나 '디스커버리 상태로 설정해두면(다른 블루투스 구현 기기가 장치를 확인해 통신을 할 수 있는 상태) 공격자들이 연결을 통해 맬웨어를 설치하거나, 녹음기나 카메라를 작동시켜 사용자를 도청할 수 있다. 또 암호화되지 않은 공공 무선 인터넷 네트워크나 WiFi 스팟을 사용하면 공격자들이 기기에 접속해 기밀 정보를 볼 수도 있다.
GAO 보고서에 따르면, 안전하지 않은 WiFi 네트워크에 연결을 하면 공격자들이 기기의 개인 정보에 접근할 수 있기 때문에 데이터 도난이나 신분 도난의 위험이 발생한다. WiFi 네트워크의 취약성을 이용하는 공격 형태 가운데 하나로는 맨-인-더-미들(Man-In-The-Middle)을 들 수 있다. 공격자들이 스스로를 통신 가운데에 집어넣어 정보를 훔치는 공격이다.
[출처] http://www.ciokorea.com/
댓글 없음:
댓글 쓰기