안드로이드와 애플 iOS, 어떤 것이 더 보안에 취약할까?

우리나라는 스니핑, 피싱 사기 같은 금융 사건들이 끊이지 않고 신문 지면을 차지하고 있다. 개콘에 한 꼭지를 담당할만큼 이제는 누구라도 피해자가 될 수 있을만큼 각종 피싱 사기는 널리 퍼져있다. 보이스 피싱은 이제 구시대(?)적 사기 수법이라 개그의 소재가 되기도 했지만 스마트 단말기를 이용한 피싱 사기는 아직 현재 진행형이다.

 

사람들의 관심사는 어떤 스마트 단말기를 써야 금융 사기로부터 안전해 질까 하는 것에 관심을 갖게 된다. 여러가지 나열할 필요도 없이 삼성과 애플로 양분화 해도 무리가 없다. 삼성이 기업 윤리와 경영 방식 때문에 뭇매를 맞고 있지만 사실 애플같은 글로벌 기업과 맞대결이 가능한 기업이 삼성이고 그런 기업이 우리나라에 있다는 건 자랑스러워 할만한 일이다. 삼성이 경영 철학을 바꾸지 않는다면 머지않아 점점 더 똑똑해지고 있는 국내 소비자들에게 외면당하게 될 것이지만 현재로썬 삼성과 애플이 양대산맥이다. 이는 곧 안드로이드와 iOS의 맞대결이기도 하다.

안드로이드는 구글에서 만든 스마트 단말기용 운영체제(OS)다. 오픈소스이며 누구나 프로그램을 분석해서 각자 취향(?)에 맞도록 수정이 가능하다. 오픈소스 운영체제인 리눅스를 다뤄 봤던 사람이라면 익숙함을 느낄 수 있다. 운영체제에는 커널이라는 것이 있는데 쉘이 사람의 손발이라고 하면 커널은 뇌라고 할 수 있다. 시스템을 처리하기 위한 중추신경을 직접 컨트롤하는 역할을 한다고 볼 수 있다. 즉, 커널을 분석해보면 운영체제가 시스템에 어떻게 접근하고 제어하는지 알아낼 수 있다. 이건 장점과 단점을 동시에 내포하고 있다. 칼이 요리사가 들면 맛있는 요리를 만드는 도구가 되지만 범죄자가 들면 살인 무기가 될 수 있는 것과 같다. 아직까지는 오픈소스의 장점을 살려 보다 편리한 도구들을 개발하는데 도움이 되고 있다.

 

iOS는 아이폰이 나오기 전까지는 우리나라에서 생소한 운영체제였다. 맥킨토시(Mac)를 사용하던 사람이 아니라면 이 운영체제를 다뤄 볼 수 있는 기회가 없었다. 데스크탑에서 사용하는 운영체제는 OSX라는 이름이 따로 있다. iOS는 모바일용으로 따로 개발 되어진 운영체제로 이 OS들은 서로 연동이 잘 이루어지기 때문에 데스크탑, 아이패드, 아이폰에서 통신이 자유로우며 자료 공유가 유기적이다. iOS는 소스가 비공개다. 국정원이 "보안 적합성 검증"을 위해 iOS의 소스 공개를 요구했지만 애플은 이를 거부했고 결국 전자정부를 지향하는 우리나라에서는 애플의 단말기로는 공적 업무를 수행할 수 없게 됐다. 그만큼 애플은 iOS의 소스 공개에 민감하다.

두 운영체제의 특성을 보면 폐쇄적인 iOS가 더 안전하게 여겨지는 건 당연하다. 폐쇄형이기 때문에 스마트폰에 해를 가하게 될 바이러스나 악성코드 개발도 할 수 없을거라 생각하게 된다. 과연 그럴까? 출시 하루도 되지 않아서 탈옥폰이 생기는 건 iOS가 폐쇄적이기 때문에 절대적으로 안전하다고 믿는 건 위험 할 수 있다는 얘기가 된다.

 

다시 처음으로 돌아가서, 스마트폰으로 이루어지는 피싱 사기 등을 막기 위해서는 안드로이드와 iOS 중 어떤 것이 더 안전할까? 많은 사람들이 당연히 iOS가 더 안전하다고 한다. 맞다. iOS가 더 안전하다.

 

데스크톱에서 이루어지는 스니핑이나 피싱은 해당 PC에 악성코드가 설치 돼 있어야 작동이 가능하다. 정상적인 프로그램에 악성코드를 심어 P2P나 블로그, 게시판 자료실 등에서 무료라며 배포되고 있는 출처 불명의 프로그램들을 사람들에게 설치하도록 한 다음 감염 된 PC를 대상으로 스니핑이나 피싱을 시도하는 게 보편적이 방법이다. 스마트폰도 같은 방법으로 스니핑, 피싱 사기가 이루어진다. 스토어에서 다운로드한 앱이나 감염 된 웹사이트에 방문했을 때 내 스마트폰이 악성코드에 노출 되게 된다. 사람들은 보통 내 PC와 스마트폰에 악성코드가 감영 됐다는 걸 모르고 지낸다. 평소에는 아무런 해를 끼치지 않기 때문이다. 백신이 최신 버전이 아니거나 설치 되어 있지 않다면 어떤 컴퓨터라도 감염을 피할 수는 없다.

 

윈도우는 오픈소스가 아닌데 왜 그렇게 많은 바이러스와 악성코드가 만들어졌을까? 사용자가 많기 때문이다. 우리나라에서는 Mac 보다는 IBM 호환 컴퓨터를 거의 사용한다. 사용자가 많다보니 Mac보다는 윈도우용 악성코드 하나 만드는 게 훨씬 효율(?)적이다. 안드로드이가 보안에 취약하다고 하는 것도 이런 점에서 윈도우와 같다. 안드로이드가 오픈소스라서가 아니라 사용자가 그만큼 많기 때문에 악성코드 생산자들이 iOS보다는 안드로이드에 매달리고 있는 것이다. 통계적으로 iOS는 22%, 안드로이드가 70% 정도의 사용자를 보유하고 있다. iOS가 안전하다고 하는 이유는 그만큼 사용자가 적기 때문에 해커나 악성코드 생산자들의 관심 밖에 있기 때문이다. 안드로이드 쏠림 현상은 악성코드 생산자들에게 반가운 일이다. iOS 사용자들이 점점 증가하게 된다면 이 현상은 언제든 바뀔 수 있다.

 

안드로이드는 사용자가 많은 만큼 악성코드도 많고 보안 프로그램도 많다. 알약이나 V3 모바일은 모두 무료로 배포되고 있다. 하우리 바이로봇도 좋은 백신이다. 기본적으로 이런 백신들은 필수로 설치해야 한다. 프로그램 관리 앱을 사용하는 사람이라면 백신이 절전모드에서 종료 되는지 필히 확인해야 한다.

 

최근에 문제 되고 있는 피싱 사기 중 하나가 SMS(문자)을 이용한 소액결제 사기다. 인터넷 청첩장이나 돌잔치 초대장 등으로 가장해서 인터넷 주소를 보내고는 터치를 유도한다. 막상 주소에 접근하면 흰 화면만 보이고 아무일도 이루어지지 않는다. 잘 못 접속 됐나해서 다시 접속을 시도하는 사람도 있다. 이 때 사용자 눈에는 아무것도 보이지 않는 것 같지만 내 스마트폰에서는 어떤 행위들이 이루어지고 있다. 

안드로이드 설정에서 보안에 관한 페이지다. 알 수 없는 소스 항목에 체크 해제 되어 있는지 확인 해 보자. 이 항목이 체크 되어 있다면 마켓(구글 플레이)에 등록되지 않은 apk(스마트폰 앱) 파일을 설치 할 수 없게 된다. SMS로 전송 된 인터넷 주소를 터치 했는데 흰 브라우저 화면만 보였다면 인터넷 주소에 연결 된 apk 프로그램이 설치 됐을 가능성이 크다. 내가 의도하지 않았거나 공식적인 방법으로 앱이 설치 되는 것을 방지하기 위해서 이 항목에 체크를 해제한다. 이 앱(악성코드)이 하는 주된 역할은 나 몰래 나를 인증해주는 것이다. 무슨 말인가 하면 사이트 가입이나 금융거래(소액결제) 등에서 스마트폰으로 본인인증 절차가 필요할 때 내 스마트폰으로 전달 된 인증번호를 화면에 표시하지 않고 악성코드 배포자에게 몰래 전송해 주는 역할을 한다. 이미 악성코드에 감염 된 스마트폰이라면 이런 앱 설치 과정도 필요 없이 나도 모르게 전송 된 각종 인증번호를 악성코드 배포자에게 전송하게 된다.

GPS로 이동 속도를 계산하고 운전중이라고 판단됐을 때 전화가 걸려오면 부재중 처리하고 전화를 걸어온 사람에게 자동으로 운전중임을 알리는 문자를 전송해 주는 앱이 있다. 이 앱은 착한 앱이기 때문에 사용자에게 문자 송수신 내용을 알려주지만 피싱 사기를 위한 악성코드는 사용자게 문자 송수신 여부를 알리지 않고 수신 된 인증번호를 추출해서 빼가게 된다.

 

안드로이드에서 피싱 사기를 피하기 위한 첫번째는 백신을 설치 한다. 둘째는 설정에서 알 수 없는 소스 항목을 해제한다. 셋째는 SMS으로 전송 된 인터넷 주소는 만지지 말고 PC로 접속한다.

 

SMS으로 인터넷 청첩장이 오면 사람이 호기심에 주소를 터치해 보고 싶은 게 인지상정. 손가락이 근질거려서 도저히 참기 어려운 사람은 최소한 5분만 기다려 보자. 본인인증을 위한 인증번호는 보통 3분 이내에 소멸된다. 그러나 이 또한 스마트폰이 이미 감염 된 상태라면 소용 없다. 가능하면 SMS로 오는 인터넷 주소는 PC로 접속하자.