[ET단상]iOS, 과연 정말 안전할까?

2017-06-21 온라인뉴스팀

모바일 운용체계(OS)인 안드로이드는 iOS에 비해 보안에 취약하다는 것이 보안 업계 관계자들을 비롯해 일반 대중에게 널리 알려진 의견이다. 이러한 믿음은 두 OS 정책과 운영 방식의 차이에서 시작한다.

안드로이드는 보안 위협이 있어도 사용자에게 자유로운 이용 방식을 준다. iOS는 보안 위협의 여지가 있는 이용 방식은 정책으로 허용하지 않는다. 안드로이드 오픈소스 OS는 개발자와 이용자가 커스터마이징을 할 수 있다. 해커 역시 악용하기 쉬운 시스템이다. 다양한 제로데이의 취약점도 꾸준히 발견된다.

반면에 iOS는 애플이 꾸준히 제어하는 클로즈드 시스템이다. 이러한 이유로 iOS가 안드로이드보다 더 안전하다고 무조건 믿을 수 있을까.

안드로이드 시스템의 제로데이 취약점은 보안업계에서 자주 거론되는 주제다. 안드로이드 취약점을 통해 디바이스 루팅 권한을 탈취하는 방식은 흔히 일어나는 모바일 해킹 공격의 한 형태다. 해커가 기기를 마음대로 조종하거나 이용자 개인 정보, 통신 내역, 위치 정보 등을 감시할 수 있다.

iOS는 제로데이 취약점이 없는 안전지대라고 생각할 수 있겠지만 실상은 그렇지 않다. 실제로 지난해 가을에 발견된 스파이웨어 '페가수스'는 이스라엘 보안업체가 iOS의 알려지지 않은 보안 취약점을 이용, 만들었다. 페가수스는 피싱 공격으로 시작해 기기를 장악한 후 이용자의 모든 통신 내역을 감시했다. 이 사례는 iOS에도 많은 보안 취약점이 존재한다는 것을 단면으로 보여 준다.

안드로이드는 취약점이 많은 만큼 그에 상응하는 보안 패치와 업데이트가 빠르다. 많은 개발자와 연구원이 안드로이드의 취약점 발견에 기여한다. 구글에서도 보안 지속을 위한 업데이트 판을 내놓는다. 이처럼 안드로이드는 보안 취약점을 개선해 나가면서 점점 더 튼튼한 OS로 변화했다.

iOS는 안드로이드만큼의 보안 취약점이 많이 알려지지 않았지만 보안 취약점이 아예 존재하지 않는 것은 아니다. 오히려 제어된 시스템이기 때문에 보안 취약점을 조사하는 인력이 적어서 활발한 보안 취약점 조사가 이뤄지지 않는다. 취약점이 발견되는 횟수도 적다. 이러한 이유로 보안 취약점 패치가 안드로이드처럼 빠르지 않다.

안드로이드 보안 위험은 공식 앱스토어 외에 다양한 앱스토어를 통해서 애플리케이션(앱)을 다운로드하기 때문이다. 카피캣, 위변조, 해적판 앱이 접근하게 한다. 해커는 다수의 안드로이드 기기에 분산서비스거부공격(디도스), 악성코드 감염, 스미싱 공격을 시도할 수 있다.

iOS의 앱은 공식 앱스토어를 통해 유통된다. 탈옥된 기기를 사용할 때 공식 앱스토어 외 다른 앱스토어의 앱들도 자유롭게 다운받을 수 있다. 최근 탈옥 기기를 이용하지 않고도 비공식 앱스토어에서 앱을 다운받는 방법들도 보고된다. 이러한 앱을 다운받으면 iOS도 안드로이드와 마찬가지로 사용자를 위협하는 해킹 공격에 노출된다.

안드로이드는 앱 이용자뿐만 아니라 개발자 보안을 위협하는 사례도 많다. 예를 들어 해커가 앱을 열어서 소스코드에 접근하는 디컴파일 또는 리버스 엔지니어링 기법을 통해 앱을 해킹한다. 개발자가 앱을 안드로이드와 iOS 앱스토어에 동시 출시할 경우 안드로이드 버전에 자체 보안을 적용한다. iOS에 출시할 때에는 iOS 앱스토어가 지원하는 기본 암호화 보안에 의존한다. 이는 쉽게 복호화되는 단점이 있다. 해커는 iOS 앱을 복호화, 앱을 구성하는 로직을 알아낸다. 안드로이드에서 유통되는 앱 로직도 추정해서 함께 해킹한다.

피해 방지를 위해 OS용 앱도 안드로이드 앱처럼 난독화 등 다양한 보안 기능을 적용해야 한다. 보안 취약점이 전혀 존재하지 않는 이상형의 프로그램은 존재하지 않는다. 안드로이드와 iOS는 각각 다른 정책을 운영하면서 이용자와 개발자에게 장단점을 제공한다. 특정 OS나 정책이 더 안전하다고 단정하기보다 다른 종류의 보안 취약점이 있다고 생각해야 한다. 개발자는 보안을 미리 적용하고 이용자는 OS와 앱스토어 이용 시 주의해야 한다.
홍민표 에스이웍스 대표 silverdel@seworks.co.kr