‘아이폰’이 ‘갤럭시’ 보다 안전하다?

애플, 다중 보안 의무화…구글·삼성, 편의 위주 선택적 보안

보안업계 “애플 안전지대 아냐…미국서 매년 해킹사례 보고”

 

배우 주진모 씨를 비롯한 일부 연예인의 삼성 스마트폰이 해킹 피해를 당해 개인정보를 유출한 가운데, 애플 아이폰이 삼성전자 갤럭시 대비 월등한 보안 성능을 갖고 있는 것 아니냐는 여론에 힘이 실리고 있다. 이에 삼성전자는 “갤럭시 단말 및 클라우드 서버 문제가 아니다”라고 항변하고 있지만 국내 시장 점유율이 30%내외에 불과했던 애플이 이번 기회로 보안 마케팅을 내세우는 것 아니냐는 관측이 나온다.

그러나 보안업계에선 “운영체제(OS)를 폐쇄적으로 가져가는냐, 개방적으로 가져가느냐의 차이에서 기인한 것”이라며 양사의 보안능력과는 상관이 없다고 지적한다. 소비자 불편을 감수하더라도 자사 OS 지배력을 높이려는 애플의 전략이 보안강화로 이어진 것이라는 분석이다. 그리고 이마저도 “언제든 뚫릴 수 있는 것”이라며 100% 완벽한 보안은 없다는 것이 전문가들의 설명이다.

◇상반된 보안정책…애플 “다중 보안 의무화” vs 갤럭시 “선택적 보안”

주씨를 비롯한 연예인 스마트폰 해킹 원인이 명확하게 밝혀지지 않았지만 보안업계에선 클라우드를 통해 스마트폰 내 정보가 빠져나갔다는 점에서 클라우드 접속계정 정보가 유출됐을 가능성에 무게를 두고 있다. 스마트폰 동기화를 통해 클라우드에 정보가 자동저장되고, 클라우드 계정을 파악한 해커가 외부에서 스마트폰 정보를 빼간 것이다.

실제 삼성전자 클라우드는 아이디와 비밀번호를 입력하면 외부기기로 손쉽게 저장된 데이터를 빼낼 수 있다. 문자메시지를 통해 신원을 확인하는 2단계 인증을 추가할 수 있으나 이는 선택사항이다. 이용자가 귀찮으면 1단계 보안만 해도 클라우드 이용에 지장이 없다. 업계에선 이같은 분리 정책이 이용자 편의를 고려했기 때문으로 추정한다.

반면 아이폰은 3단계로 이어지는 다중 보안인증이 필수적이다. 다소 불편하지만 아이클라우드에서 개인정보를 가져오려면 △ID와 비밀번호 △기존 아이폰에 SMS로 전송된 보안 코드 △기존 아이폰에서 쓰던 잠금 비밀번호 6자리를 입력해야 한다. 해커가 해킹에 나설때 갤럭시보다 아이폰에 더 많은 공을 들여야 하는 이유다.

이처럼 양사의 보안전략이 다른 이유는 삼성의 OS 안드로이드의 개발사인 구글과 애플의 경영방식의 차이 때문이다. 구글은 개방성을 필두로 모든 프로그램 제작에 오픈소스를 적극 활용하고 독려한다. 안드로이드 앱마켓이 아닌 곳에서도 설치파일(APK)을 언제든 포털사이트에서 손쉽게 구해 다운로드 받을 수 있다.

반면 애플은 관리자권한을 틀어쥔 상황에서 외부소스를 거의 허용하지 않는다. 최근 들어 스마트홈 호환 등을 이유로 일부 프로그램을 오픈소스로 공개하고 외부 플랫폼도 받아들이고 있지만 기본적으로 애플 앱 개발을 위해선 애플이 제공하는 툴 사용 비중이 압도적이다.

보안업계 관계자는 “탈옥부터 시작해 다양한 아이폰 해킹 도구가 개발되고 있지만 애플은 기본적으로 자사 OS에 대한 유일한 통제권을 쥐려 하고, 침해 시도를 원천적으로 차단하고 있어 소비자 편의는 중요한 고려사항이 아니다”라며 “디자인과 선도기술 부분에서 상대적으로 늦게 시장에 진입한 구글과 삼성 입장에선 소비자편의와 플랫폼 지배력 강화를 위해 오픈소스 전략을 우선할 수밖에 없는 것”이라고 설명했다.

◇애플도 안전지대 NO…보안에는 100%가 없다

그러나 보안업계에선 “세상에 완벽한 보안은 존재하지 않는다”라고 지적한다. 외부 침입 루트가 적어 관리자 권한을 탈취하는 것이 어렵지만 공을 들이면 불가능한 것은 아니라는 설명이다. 실제 미국에선 해마다 애플 IOS 해킹 사례가 보고되고 있고, 국내에서도 아이폰 계정이 탈취된 사례가 적지 않다는 것이 업계 관계자들의 설명이다.

국내 관제보안업체의 한 관계자는 “포털과 SNS 등 보안이 취약한 사이트들이 해킹되면서 아이디, 비밀번호를 탈취된 사례도 많고, 이때 유출된 아이디와 비밀번호를 타 사이트에서도 동일하게 사용하고 있다면 계정 탈취범의 타깃이 될 가능성이 높다”면서 “서로 비슷한 아이디와 비밀번호를 사용하고 있지만 확률적으로 가까운 숫자를 찾아 대입하는 사전대입 공격도 활발한 상황”이라고 설명했다.

단말 제조사나 OS 운영사와 별개로 이용자 스스로 보안인식이 낮다면 언제든 뚫릴 수 있다는 것이다.

또다른 보안업계 관계자는 “맥과 IOS도 악성코드가 수십·수백만개에 달한다”면서 “비율 차이지, 악성코드가 아예 없을 수는 없다”고 지적한다.

해당 관계자는 “IOS의 경우 윈도나 안드로이드보다 전세계 이용 계정 숫자가 훨씬 적어 악성행위를 통해 수익을 노리는 해커 조직 입장에선 큰 시장을 노리는 것이 효율적”이라며 “폐쇄성 때문에 뚫기는 어려운데, 분명한 타깃이 있는 것이 아니라면 굳이 들어가기 어려운 IOS를 공략할 이유가 없다”고 설명했다.

Leave a Reply