세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
해커들이 날뛰는 때 ‘제로 트러스트’ 기반 모바일 보안습관
입력날짜 : 2016-02-10 21:45
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
모바일 앱 보안, 개발자도 사용자도 서로 믿기 힘든 상황
믿지 않는다는 건, 모든 과정에서 해이해지지 않는 것


[보안뉴스 문가용] 소비자들과 업체들은 더 이상 모바일 기기들에 기본으로 장착되어 있는 OS를 순진하게 믿어서는 안전을 보장받을 수 없다는 사실을 깨닫기 시작했다. 안전하다고 그렇게 광고를 해대던 OS에서는 각종 취약점들이 나올 대로 나왔고, 거기다가 앱 환경에서도 치명적인 약점들이 드러나기 시작하면서였다.

▲ 하나 남은 불빛도 이젠 꺼야 하나


IT 및 보안 전문가들은 ‘제로 트러스트(zero trust)’ 환경을 이야기하기 시작했다. 특히 모바일 및 애플리케이션 보안에 있어서 아무도 믿어서는 안 된다는 뜻이다. 그것이 아무리 최근에 업데이트 된 OS나 소프트웨어라고 해도 말이다.

심지어 뭐든 앱 및 OS에 대한 업데이트를 제대로 한 사용자도 드물다. 모바일 생태계의 82%를 차지하고 있는 안드로이드인데 6.0 버전의 보급률은 1%에 불과하다는 조사결과도 있었다. 70%는 여전히 4.4 및 그 이하 버전을 사용 중에 있었다. 즉 세계 모바일 시장의 대부분을 차지하는 사람들이 보안 근처에도 가지 않는다는 거다.

“결국 모바일 관련 개발 및 사업을 하는 사람들이라면 ‘우리 고객들은 보안 패치를 하지도 않고 할 수도 없다’고 그냥 생각해버리는 편이 오히려 현실적일 겁니다.” 페이스북의 CSO인 알렉스 스타모스(Alex Stamos)의 설명이다. 게다가 OS 자체에 대한 신뢰가 깨짐으로써 그 어떤 개발자들의 작품도 믿을 수 없는 게 되어 버렸다. 결국 소비자도 개발자도, 양측을 믿어서는 안 되는 시점에 이른 것이다.

1. 제로 트러스트 모델
요즘은 기업 차원이 아니라 독립적으로 모바일 앱을 개발하는 사람들 사이에서도 이 제로 트러스트 모델이 확산되고 있는 걸 볼 수 있다. 이런 개발자들은 OS의 보안기능을 전적으로 믿는 대신 자신들이 스스로 앱과 데이터, 사용자를 보호하면서 개발을 해나간다. 그들에게 보안은 더 이상 귀찮은, 부가적인 일이 아니다.

이런 개발자들은 위협들을 연구하고 분석한다. 요즘 앱들은 어떤 방식으로 공격 받는가? 어떤 우회로가 요즘 해커들 사이에서 유행하고 있는가? 도난당한 데이터는 어떻게 유통되는가? 이런 질문들을 끊임없이 묻고 캐낸다. 마치 스스로 보안 전문가로서 진화해가는 듯한 모습이기까지 하다.

2. 보안을 떠받드는 버팀목들
이런 제로 트러스트 개념을 사업에 접목시키려면 다음 세 가지에서부터 시작해야 한다. 무조건 모든 사람을 잠정적인 범죄인으로 취급하라는 게 아니다.

1) 보안 : 보안의 가장 큰 버팀목은 당연하게도 ‘보안’이다. 현대 보안에 들어가는 기능은 참으로 다양하다. 최근엔 암호화와 난독화가 화두다. 이 두 가지 기능은 물리보안으로 치면 정보 주위로 금고를 두르는 것과 비슷하다. 그리고 금고 안에 있는 정보가 가는 곳에 이 금고까지도 같이 보내는 것이다. 모바일 앱 보안이라면 이처럼 정보의 보안도 생각해야 하지만 앱이 설치될 기기들과 환경도 안전하지 않을 것이라는 것도 생각해야 한다.

2) 자기방어 : 금고설치가 다 되었다면 이제 금고 자체도 보호해야 한다. 그런데 앱이란 건 개발자가 스토어를 통해 배포해놓고 사용자가 자기 기기에 설치하는 순간, 개발자의 손을 떠난다. 모든 상황에 대해 일일이 개발자가 대처해줄 수 없다. 앱이 스스로를 방어해야 한다. 그러므로 개발자는 앱이 스스로를 방어할 수 있도록 처음부터 디자인해야 한다. 최소한 수상한 것이 감지되면 스스로가 셧다운시킬 수 있도록 해야 한다.

3) 가시성 : 그 다음은 가시성이다. 전문용어로 이벤팅(eventing)이라고 부르기도 한다. 금고로 치면, 금고가 있는 환경의 변화나 사건을 통해 금고를 더 보완할 방법이 없는지 살피는 것이다. 개발자가 이를 살피려면 앱이 사용되는 환경 내에서의 모든 작용을 한 눈에 살필 수 있어야 한다. 가시성을 확보할 수 있다면 보안사고가 발생했을 때 포렌식과 같은 대응을 하기에도 용이하다.

결국 앱을 개발하고 배포하는 모든 순환 속에서 ‘아무도 믿지 않는’ 제로 트러스트 개념을 지킨다는 건 ‘안전하겠지’ 하고 해이해지지 않는 것이다. 그럼으로써 모바일 멀웨어와의 싸움은 물론 개발 자체에 대한 효율성도 높일 수 있다. 아무 것도 믿지 않음으로서 스스로 더 꼼꼼해지고 철저해질 수 있다. 기존의 개발 과정들도 새롭게 하거나 더 완벽하게 가다듬을 수도 있다. 박하게 들릴 수도 있지만 제로 트러스트라는 개념이야말로 보안의 가장 근본 마인드일 수도 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

신뢰   제로 트러스트   모바일 보안         


정보보안 관련 자격증 가운데 보안 실무에 있어 가장 필요하다고 판단되는 자격증은?
정보보안기사 및 정보보안산업기사
정보시스템보안전문가(CISSP)
정보시스템감사사(CISA)
정보보안관리자(CISM)
산업보안관리사(ISE)
정보보안관제사(ISC)
사이버포렌식전문가(CCFP)
인증심사원 자격(ISMS/PIMS/ISO27001 등)
기타(댓글로)