아이폰, 보안적합성 탈락에 대한 고찰

 막연하게 '아이폰과 안드로이드 중 어떤 것이 보안이 우수할까?'라는 질문이라면, '아이폰!'이라는 답을 쉽게 떠올릴 수 있습니다. 일반적으로 알고 있는 선에서 본다면 틀린 말은 아니지만, 기업/정부 보안에서의 아이폰은 어떨까라는 질문을 하게 되면 쉽게 답을 내려놓을 수 없습니다.

---

아이폰, 보안적합성 탈락에 대한 고찰

 어제 행정안전부에서 주관하는 모바일전자정부 사업에서 애플 아이폰을 사용할 수 없게 되었다는 기사가 화제가 되었습니다. 국가정보원이 진행하는 '보안적합성 검증'에서 애플 아이폰이 탈락했다는 것입니다. 이 보안적합성 검증을 통과하지 못하면 모바일 전자정부 사업에 참여에 불가능하게 됩니다. 따라서 공무원의 아이폰 사용이 제한당할 수 있는 것이죠.

 '아이폰의 보안은 우수하다던데 아닌가?', '정부가 반애플적이라 아이폰을 배제한 것인가?'라던가, '안드로이드 때문에 삼성을 밀어주려는 것'이나 혹은 '애플의 정책때문에 사용이 불가능 한 것' 등 다양한 의견이 놓여지는 것을 볼 수 있었는데요, 국내 보안관련이나 화제되고 있는 BYOD에 관해 다루는 대중적인 미디어가 썩 많지 않다보니 사실 어떤게 정답이다라는 것에 대해 둔할 수 밖에 없습니다. 그래서 필자가 이에 대해 고찰해보려 합니다.

---

보안적합성

 국가정보원이 진행하는 '보안적합성 검증'은 어떤 것일까요? '국가정보보안기본지침'에 따라 국가기관의 정보보호시스템을 도입할 경우 국정원의 검증을 통과해야 하며, 모바일 전자정부 시스템 탑재도 여기에 해당됩니다. 현재까지 모바일 전자정부 시범운영 중인 기종은 안드로이드 기반의 스마트폰 11종이며, 아이폰은 배제되었습니다.

 아이폰이 배제 된 이유는 애플이 iOS의 소스코드를 공개하지 않았기 때문이라고 행정안전부는 밝혔습니다. 소스코드 공개가 필요한 이유는 스마트폰의 설정이나 백업, 원격삭제 등을 담당하는 보안솔루션을 탑재하기 위해서입니다. 여기까지 들으면 수긍이 가는 부분입니다. 다른 것보다 '애플은 폐쇄적'이라는 얘기는 공연히 들었었던 것이고, 오픈 된 환경의 안드로이드에서 자체적인 보안 솔루션을 이용하는게 더 수월하는 것은 당연해보입니다. 일단 애플은 앱스토어를 통해서만 어플리케이션을 유통하고 있으며, 탈옥을 하지 않는 이상 자체적인 수정은 불가능하니 말입니다.

 이런 문제가 이번에만 있었던 것은 아닙니다. 얼마 전에는 국방부에서 아이폰의 영내반입을 금지하는 조항을 개설하며 논란이 되기도 했었죠. 이에 대해 애플의 고자세와 국가 문제에 비협조적인 부분에 대해 많이 비춰지고 있는 실정입니다. 그렇다면 실제 보안 시장의 상황은 어떨까요?

 다양한 방면에서 비춰볼 수 있어야합니다.

---

모바일 보안

 Bring Your Own Device(BYOD), '내 휴대폰을 업무에 쓰겠다'는 이 기업 모바일 트렌디는 올초부터 화제가 되어왔습니다. 기업에서 사용할 스마트폰을 개인의 디바이스로 대체하여 사용하자는 것인데, 개인의 디바이스가 업무에 사용되다 개인용도로 사용하는 등 병행되자 당연히 떠오르는 이슈는 '보안'입니다. 그렇다면 이 스마트폰 보안은 어떻게 이뤄지는 것일까요?

 기업/정부에서 사용되는 스마트폰의 보안 시스템은 크게 세가지로 분류할 수 있습니다.

 첫번째가 바로 우리 정부가 실시하는 스마트폰에 직접적으로 솔루션을 탑재하는 방법입니다. 디바이스의 내부 소스를 건들여 직접 솔루션을 탑재하는 방식으로 설치나 탑재 부분을 직접 행하기 때문에 심적인 안정감을 주는 것이 장점이라면 장점입니다. 솔루션의 유통이 폐쇄적으로 이뤄지기 때문에 어떤 솔루션을 사용하는지 알 수 없다는 안정감은 있지만, 스마트폰의 분실이나 직접적인 해킹이 가해졌을 땐 원격삭제 밖에 답이 없다는 것이 단점이라고 할 수 있습니다. 이 방법은 해당 디바이스의 소스코드를 알고 있어야 가능합니다.

 두번째로 솔루션을 플랫폼에 맞춰 유통하는 방식입니다. 인터넷뱅킹이나 정부 사이트에 접속 시 액티브엑스(Active X)로 설치되는 프로그램들이 이에 해당된다고 할 수 있습니다. 얼마 전, 세계적인 보안 업체인 시만텍은 '시만텍 모바일 매니지먼트 스위트(Symantec Mobile Management Suite)'라는 아이폰, 안드로이드 모두 대응되는 BYOD 통합 솔루션을 내놓은 바 있습니다. 이 통합 솔루션은 앱스토어나 안드로이드마켓에서 유통이 되며, 대신 사용할 때는 인터넷뱅킹 시 인증서를 사용하듯, 사용처의 보안 레벨에 따른 인증을 거쳐야 사용할 수 있습니다. 이 방식은 플랫폼에 따라 공개 유통되기는 하지만, 직접 솔루션을 탑재하는 방법과의 차이는 그다지 없습니다. 단점도 똑같이 적용됩니다. 플랫폼의 유통 방식에 따르기 때문에 따로 소스코드를 알 필요가 없습니다.

 세번째는 가상화입니다. BYOD 시장에서 가장 핫한 것이 바로 가상화인데, 서버/스토리지 가상화로 직접적인 해킹을 피하고 좀 더 스마트폰 사용에 있어 자유를 주는 방식으로 각광받고 있습니다. 솔루션이 설치되는 방식의 경우 악성 무료앱이나 바이러스에 노출이 속수무책인 반면 가상화의 경우 그럴 염려가 줄어들기 때문에 CIO(최고정보관리책임자)들의 관심을 가장 많이 얻고 있습니다. 다만, 안정적인 속도와 통신에 따라 발생하는 문제가 단점으로 꼽히고 있습니다. 이또한 소스코드를 필요로 하지 않습니다.

 크게 세가지로 분류는 했지만, 사용처의 성향에 따라 달라지는 부분들이 있습니다. 예를들면 '사용처의 네트워크에 접속하기 위한 범위를 얼만큼 설정할 것인가' 같은 것을 들 수 있는데 스마트폰의 경우 이동하면서 사용하기 때문에 3G에 접속했다가, LTE에 갔다가, 외부 와이파이나 가정에서 무선랜을 이용할 수도 있는 등 일정하지가 않습니다. 그래서 솔루션의 접속 제한을 3G와 LTE 등의 이동통신은 막아버린다거나 등의 사용처 보안 레벨에 따라 각기 다른 방식들을 취하고 있습니다.

 고로 스마트폰에 직접 솔루션을 탑재하는 방법 외에는 스마트폰의 종류와는 관계없이 보안 솔루션을 탑재해 사용할 수 있습니다. 아이폰의 기업/정부 보안 문제는 크게 이상이 없다는 것이죠. 다만, 사용처인 우리 정부가 택한 방식이 아이폰과 맞지 않을 뿐입니다. '그럼 아이폰도 같이 사용할 수 있는 방식을 택하면 되는 것 아닌가?'라고 질문을 던질 수 있지만, 저 세가지 방식 중 어떤 것이 더 우수하다고 판명이 난 바가 없기 때문에 그나마 가장 직접적으로 손을 댈 수 있고 폐쇄적인 첫번째 방식을 사용하는 것이 국가 최고 보안레벨에 걸맞다고 생각합니다.

 정부에서 사용하는 디바이스야 애초 완전히 자율성이 배제된 것으로, 어플리케이션의 설치 등도 검열 받아야 하기에 악성 무료앱에 대한 고민을 할 필요도 없고 만약 문제가 발생했을 시 자체적인 방화벽과 백신도 탑재해 막아낼 수 있다고 볼 수 있기때문에 어찌보면 가장 효율적이라고 볼 수 있습니다.

 다만, 나머지 방법의 보안 레벨이 첫번째 방식보다 뒤떨어진다고 할 수는 없기 때문에 기업/정부의 보안에 있어 아이폰이 덜 우수하다고 판단하기는 어렵습니다.

---

정부 보안

 이 문제는 아이폰이나 애플의 고자세 문제라기 보다는 보안의 방식에 따라 엇갈려 있는 것이라고 볼 수 있습니다. 하지만 정부기관, 특히 아이폰의 영내 반입을 금지했던 국방부가 불법복제 한 윈도우XP 사용이 걸려 망신당한 것을 생각해봅시다. 미국의 포춘 500대 기업조차도 80%가 보안에 리눅스를 사용하는 실정인데, 그의 상위라고 할 수 있는 한 국가의 정부가 보안 레벨을 떨어뜨리는 것은 이해하기 힘든 것이죠. 초등학생도 뚫을 수 있다는 윈도우XP를 불법으로 사용하면서 보안 레벨을 떨어뜨리던 정부가 스마트폰에 대해서는 아이폰까지 다룰 수 있는 방식이 있음에도 불구하고 배제한 것은 의아한 것입니다.

 반대로 생각해서 아무래도 이동이라는 부분과 대중화, 그리고 실제 스마트폰으로의 업무가 넘어가기 시작하면서 스마트폰에 대한 관심이 뜨거울 때 더더욱 보안 레벨을 강화하여 보안 의식을 고취시키려는 자세만큼은 인정할만 하다고 생각합니다. 하지만 아쉬운 점은 세가지 방법 모두 방법과 제한에 따라 보안 레벨을 최상으로 올릴 수 있기 때문에 좀 더 다양한 디바이스를 정부 보안에 사용할 수 있도록 한다면 어떨까 하는 것입니다. 안그래도 정보수집으로 인한 빅브라더 논란이 많은 구글의 안드로이드인데다, 이후 윈도폰8이나 블랙베리10, 혹은 또다른 플랫폼에도 똑같이 적용할 수 있어야 하기 때문에 신중하게 검토를 해야하는데 너무 안드로이드에 치중하지 않았나하는 우려가 나타납니다.

 만약 안드로이드만이 최상의 보안 레벨을 유지 할 수 있다고 한다면 모르겠지만, 그런 것은 아니기 때문에 향후 안드로이드 종속으로 국가적 문제가 발생하지 않도록 대안책과 방안을 마련하여 도모 할 수 있어야 할 것입니다. 필자의 개인적인 생각으로는 국내에서 직접 플랫폼을 주도하여 국가적인 보안 레벨을 올릴 수 있다면 좋을 것이라고 보며, 중요한 정부 보안이기 때문에 신중에 신중을 기할 수 있었으면 하는 바람입니다.