태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

보안관련소식2010. 8. 26. 12:56


구글의 안드로이드(Android) 모바일 운영체제에 대한 사용과 관심이 증대되면서, 다양한 어플리케이션(앱, 어플)이 등장하고 무료 프로그램을 통한 광고 수익 모델 등도 속속 만들어지고 있습니다.

이러한 관심사와 사용자 증대는 개인 컴퓨터 환경과 비슷하게 보안의 필요성으로 발전되어 논의되고 있기도 합니다.

안철수硏 "안드로이드폰, 보안 시장에 기회"
http://news.naver.com/main/read.nhn?mode=LSD&mid=sec&sid1=101&oid=003&aid=0003151917


해석상 입장 차이가 있겠지만 얼마전 또 다른 뉴스에서는 안드로이드폰에서 쓰는 어플리케이션 중 절반 정도가 고객의 동의를 얻지 않고 개인 정보를 빼내는 것으로 조사됐다는 글도 본 적이 있습니다.

안드로이드 플랫폼은 어플리케이션 설치 시 사용자들의 개인 정보나 데이터 등을 보호하기 위한 목적으로 퍼미션(Permission) 동의 절차가 포함되어 있으나, 사람들에 따라서 무용지물이 될 가능성도 배제하기 어려운 것 같아 보입니다. 안드로이드 운영체제가 직관적인 OS 기반의 퍼미션 모델을 제공해 준다는 점이 큰 장점이자 단점일 수 있는 부분이겠지요.

실제 안드로이드 마켓에서 어플리케이션을 설치 시도할 때 퍼미션이 바로 보여지는 경우도 있는 반면, 사용자가 목록을 수동으로 열어봐야지만 보여지는 경우도 있습니다. 또한, 퍼미션에 대한 정확한 이해와 관심의 정도가 부족할 경우 사용자 스스로가 확인절차를 거치지 않고, 무심코 퍼미션을 직접 허용할 수 있다는 점에서도 다양한 보안 공감대 형성이 필요한 부분으로 지적됩니다.

사용자 삽입 이미지

안드로이드 보안팀의 Nick Kralevich 가 언급한 신뢰할 수 있는 안드로이드 어플리케이션 개발에 필요한 8가지 팁을 보면 좋은 참고자료가 될 수 있습니다.

1. 개인 정보 보호 정책을 유지한다.
2. 퍼미션 사용을 최소화 한다.
3. 데이터 수집 여부를 사용자가 선택한다.
4. 불필요한 정보는 수집하지 않는다.
5. 장치 외부로 데이터를 전송하지 않는다.
6. 필요한 데이터는 암호화처리 및 최소화한다.
7. 이해하지 못한 코드는 사용하지 않는다.
8. 디바이스 또는 사용자 고유 정보를 기록하지 않는다.


http://android-developers.blogspot.com/2010/08/best-practices-for-handling-android.html 

궁극적으로 이용자들의 개인 정보를 다루는 일은 어플리케이션 개발자들의 책임이라는 의견이 지배적인 것도 이를 뒷받침해 주는 것이기도 합니다. 개발자가 의도하지 않았거나 고의로 불순한 의도를 통해서 사용자에게 악영향을 미칠 수 있는 기능 등이 존재할 경우 사전 필터링에 대한 방식도 심도있게 논의해 봐야 할 것입니다.

누구나 신뢰할 수 있는 어플리케이션은 수집하는 정보가 어떠한 이유와 목적으로 사용되는지 고지하고, 그 사용 과정이 깨끗하고 투명해야 하며, 사회나 도덕적으로 무리가 없어야 할 것임은 당연한 말일 것입니다. 그리고 스마트폰 단말기에 포함된 장치 및 개인 정보의 중요성은 사용자의 판단에 의해서 우선순위와 기준이 정해진다면 악성코드 판단 정의를 내릴 때도 중요한 근거자료로 활용될 가능성이 있지 않을까 싶습니다.

따라서 사용자에게 최종 결정 권한을 부여하여 정보 수집에 대한 허가를 득한 이후에 사용될 수 있도록 하는 기준안 마련도 고려해 봐야 겠지만, 아직까지 스마트폰 어플리케이션 개발사들이 수집하는 정보들에 대한 법률적 타당성 검토와 유해성 판단 논란에 휩싸여 있기도 하고, 다양한 논의가 진행되고 있는 상태이기도 합니다.

현재로서는 이용자들 스스로 특정 어플리케이션이 과도한 퍼미션을 요구하거나, 어플리케이션 분류와 부합되지 않는 퍼미션을 요구할 경우에는 심각하게 고민을 해봐야 할 것이지만, 아직까지 그러한 내용에 대한 의견을 접하기는 쉽지 않습니다.

아울러 어플리케이션 이용자들의 선호도나 관심사 등에 대한 리스트를 생성하고 유지하고자 한다고 가정했을 때, 개발사(자) 또는 광고업자들은 단말기의 전화번호, DEVICE ID, USIM ID, Vesion, Serial, IMEI 등 의 자료를 수집하고 외부 서버로 전송하여 관리를 할 수 있습니다. 이러한 정보 수집이 아직까지는 악의적으로 사용된 사례나 피해 보고가 존재하지는 않고 있지만 앞으로 이러한 정보 수집이 보안적으로 큰 이슈로 부상할 가능성은 충분하다고 판단됩니다.

개인들이 느끼는 민감한 정보가 개인 주민 번호, 신용카드 번호, 계좌 번호, 주요 암호 등 뿐만이 아니라 사용자들의 단순 전화번호 노출만으로도 Spam 문자와 광고/홍보성 전화 등에 노출되거나 돈을 주고 거래가 되고 있기도 해서 사회적인 문제로 대두되고 있기도 하니 말입니다.

만약 불가피하게 사용자에게 동의를 얻고 개인 정보 수집을 할 경우에도 외부로 전송되는 데이터가 암호화 처리되어 쉽게 감시되거나 도용되지 않도록 하여 사용자의 정보가 비인가된 외부에 노출되지 않도록 신뢰성 강화에도 포커스를 맞추는 노력도 필요할 것입니다. 추가로 각종 통신과 관련된 법률안 등이 스마트폰 기준에 부합되는 조항 등으로 개정될 수 있도록 법적 검토도 진행된다면 좋을 것 같습니다.

마지막으로 스마트폰 보안 솔루션에 대한 정확한 인식 변화와 공감대 형성이 앞으로 발생할 수 있는 잠재적인 각종 보안 위협으로 부터 안전을 보장받을 수 있는 최소한의 준비가 아닐까 하는 생각도 해봅니다.


Posted by viruslab
TAG

댓글을 달아 주세요

  1. http://www.ddaily.net/news/news_view.php?uid=67484

    2010.08.27 09:20 신고 [ ADDR : EDIT/ DEL : REPLY ]
  2. 단말기 고유번호 수집하는 안드로이드 앱, 문제 없나
    http://www.bloter.net/archives/37504

    2010.08.30 10:11 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. 비밀댓글입니다

    2010.08.30 18:29 [ ADDR : EDIT/ DEL : REPLY ]
  4. 비밀댓글입니다

    2010.08.30 18:31 [ ADDR : EDIT/ DEL : REPLY ]
  5. http://www.mt.co.kr/view/mtview.php?type=1&no=2010083017022257746&outlink=1

    2010.08.30 18:49 신고 [ ADDR : EDIT/ DEL : REPLY ]
  6. http://www.ddaily.co.kr/news/news_view.php?uid=67535

    2010.08.30 18:50 신고 [ ADDR : EDIT/ DEL : REPLY ]
  7. http://www.yonhapnews.co.kr/bulletin/2010/08/30/0200000000AKR20100830212600004.HTML

    2010.08.30 19:18 신고 [ ADDR : EDIT/ DEL : REPLY ]