평범하지 않은 그녀석

안드로이드 보안 문제 잘못은 다 OS탓? 본문

talk/small-talk

안드로이드 보안 문제 잘못은 다 OS탓?

티니 2013.05.07 18:58



보안 세미나가 있어 다녀왔다.

오늘도 그렇게 보안 전문가라고 말씀하시는 분께서 요즘 유행하는 피싱에 대해 이야기를 한다.

"문자메시지로 APK앱을 다운 받을 수 있는 링크를 보냅니다. 그리고 설치를 유도하죠, 설치가 되면 결제가 되고 문자가 날아옵니다. 결제사실에 당황한 사용자가 실제 결제사가 아닌 피싱회사에 전화를 걸고 인증번호를 알려줍니다. 그리고 그 과정에서 정상 결제가 일어납니다"


그래서 안드로이드폰을 쓰다가 아이폰으로 바꾸셨다고 이야기를 한다. 이게 지금 무슨소리인가....?


- 문자메시지로 APK앱을 다운 받을 수 있는 링크를 보내고 설치 유도를 한다.

- 근데 설치가 됐다.



왜? 왜? 왜? 왜? 왜? 왜? 왜?




정상적인 안드로이드는 마켓 정확하게는 '구글 플레이 스토어'에서 받는 앱 이외는 설치가 되질 않는다. APK파일의 설치는 사용자가 의도적으로 해제를 해야 한다. 환경설정에서 보안 탭에 들어가 '알수 없는 소스(출처) 허용'을 체크해야 한다.


분명히 구글은 이 부분에 있어, 기본값을 허용하지 않음으로 놓은 상태로 출고하는 것을 가이드로 걸었다고 생각된다. 근데 도대체 어찌하여 이런 일이 일어나고 있는 것일까..?


- 너무나 당연하게 알수 없는 소스를 허용하게 풀어주는 네이버의 위엄 http://mobile.naver.com/tip/?tabId=tab_andr1

- 티스토어도 있었던것 같은데 재빠르게 안보이는지 사라졌다?!

- 국민은행 뱅킹을 이용하려면 알 수 없는 소스 허용을 풀어야 한다. 한겨레 기사 링크 http://www.hani.co.kr/arti/economy/finance/586223.html


보안에 대해 가장 앞서고 잘 모르는 사람들에게 계도를 하며 안내를 해야 할 곳(그것도 개인의 재산을 가지고 먹고 사는 곳 아닌가? 은행권은 더더욱)들이 자신의 편의를 위해서 '알 수 없는 소스 허용'을 너무나 쉽게 자연스럽게 하도록 만들어버렸다.



이렇게 한번 풀려있는 상태가 되면 그 이후에는 어지간해서 차단을 해둘 일이 사실상 없게 돼고, 그 과정에서 악성앱이 안드로이드 스마트폰에 자연스럽게 들어올 수가 있게 된다. (물론 문자메시지 피싱을 조심하면 된다. 근데 이 피싱의 대상이 누군지 다시금 생각해보자)


방법이 잘못됐는데 당연하게 이용을 한다. 그리고 결국 문제가 생기면 사용자의 책임이라고만 한다. 그걸 떠나 안드로이드 OS가 보안이 약하다는 이상한 소리를 한다. 이게 말이 되나...?


도대체 앱에 어떤것을 심어두었길래 구글 플레이 스토어를 통과 못해서 별도의 방식으로 앱 배포들을 하고 있는것일지 궁금하다. 사용자들을 생각하면 당연하게 기본적으로 OS가 지향하는 방향으로 가도록 해둬야 하는데 왜 그걸 편법으로 이용하려 하는걸까..?


보안 탭에서 선택할 수 있는 APK 패키지를 설치 가능하도록 바꿔주는 '알 수 없는 소스(출처)' 허용은 개발자가 테스트를 할때라던가 간단한 앱을 믿을만한 사람들끼리나 함께 쓸 수 있는 기능이다.


내 돈이 들어있는 은행이 무슨 이유로 내 스마트폰의 보안을 의무적으로 더 약화시키는가..?


그리고 여기서 나오는 더 웃긴 이야기 '루팅(관리자권한 탈취)를 한 폰에서는 뱅킹 어플이 돌지 않는다' 근데 PC에서는 관리자권한이 있어야만 뱅킹을 할 수가 있다모순도 이런 모순이 없지.

0 Comments
댓글쓰기 폼