iOS 플랫폼을 사용하는 많은 이용자는 보안이 강하고 사용자 편의적인 사용환경, 신뢰할 수 있는하드웨어 때문에 선택한다고 합니다.

보안의 측면에서 iOS 플랫폼은 "walled garden"이라는 접근방식을 가지고 있습니다.

하지만 안드로이프 플랜폼의 보안 취약성, 이전 iOS 플랫폼에서의 악성코드 및 해킹사고는 아이폰 OS 플랫폼이 보안 및 개인정보보호의 위험에서 완전히 자유롭지 못하다는 것을 보여주고 있습니다.

올해 초 iOS 디바이스는 "Operation Pawn Storm"라는 특정 목표를 대상으로한 보안공격으로 충격을 받았습니다.

• 

  애플, 과거 제니퍼 로렌스 등 헐리우드 여배우 누드 사진 유출?!

  뉴데일리  2015.07.22. 

   보내기

  [뉴데일리-구나리 기자] 애플의 분기 순이익이 아이폰 판매 호조에 힘입어 전년 동기 대비 38% 증가했다는... 애플은 “우리가 지금까지 조사한 사례 중 아이클라우드나 내 아이폰 찾기 등 애플 시스템이 침해당해서 생긴...

  
  

전문가에 따르면 여기에 사용된 2개의 스파이앱은 문자메시지, 주소록, 사진, 위치정보, 설치어플 리스트 등의 정보를 iOS 디바이스에서 수집할 수 있었습니다.

상기 악성앱은 피싱이메일, 오래된 운영체제, 소셜네트워크 등을 통해서 감염될 수 있었습니다.

이러한 사항만 봐도 애플의 보안체제를 뚫기 위한 시도는 계속 있어 왔고 앞으로도 계속될 거라고 할 수 있습니다.

모바일 보안 강화를 위한 7가지 제안

사이버 범죄자들은 탈옥 아이폰 OS 버전을 위해 만든 응용 프로그램에 지문 센서를 해킹하고, 보안과 개인정보를 탈취하기 위한 수단과 방법을 계속 찾고 있습니다.

따라서 느슨한 보안 습관이 심각한 위험을 초래할 수 있음을 인식 하고 사건이 발생하기 전에 다음과 같은 보안강화를 위한 작업을 통하여 좀 더 안전한 모바일 사용환경을 만들 수 있습니다.


1. 계정보호 : 사이버범죄에 대하여 대응하기 위한 가장 기초적인 단계로 애플 아이디와 패스워드를 잘 보관하는 것이 중요합니다.
또한 생일이나 이름, 다른 획득 가능한 정보와 연관이 없는 해독하기 어려운 강력하고 고유한 암호를 사용해야 합니다.
물론 암호의 자릿수도 본인이 활용 가능한 최대한의 자릿수를 사용합니다.

2. 도난방지앱 사용 : 아이폰 찾기 같은 도난 방지 앱을 사용하여 내장 된 아이폰 OS에 보안 기능이 향상시킬 수있는 보안을 활용해야 합니다.
이 응용 프로그램은 잃어버린 전화를 찾는 데 도움이 되며, 어디에 있든 위치 추적 및 원격으로 장치를 복구 할 수 없도록 데이터를 지울 수 있습니다.
당신은 또한 아이클라우드를 이용하여 이중 식별 옵션을 사용 가능하게 할 수 있습니다.

3. 탈옥하지 마세요 : 장치를 탈옥하면 컨트롤성능을 향상시키고 일부어플을 이나 서비스를 무료로 이용할 수도 있지만 악성요소의 접근이 쉬워집니다.
아이폰 OS가 엄격하게 당신이 허용하는 데이터와 애플리케이션을 조절하는 이유입니다. 장치를 탈옥하면 즉시 패치 버그와 취약점에서 노출되고 앱과 아이폰 OS 버전을 업데이트하지 못할 수 있습니다.

4. 설치된 앱을 확인해 두세요: 보안 설정 및 응용 프로그램 권한을 항상 읽고 숙지하고 있으세요.
사이버 범죄자는 당연이 걸릴 쉽게 악성 링크 또는 무의식적으로 다운로드 할 수있는 첨부 파일을 몰래 보낼 수 있는 사용자에 촉각을 곤두 세우고 있습니다.

5. 안전한 네트워크 연결 : 최대한 보안이 확실한 네트워크나 개인 네트워크에 연결합니다.
보안되지 않은 와이파이 네트워크는 man-in-the-middle 공격을 통해 데이터를 가로 채기 위해 공격자에 의해 사용될 수 있습니다

6. 공식적인 앱스토어에서 다운로드 : 가끔 재미있는 게임을 다운로드 받을 때 탈옥 폰에서 사용할 수있는 타사 상점에서 애플 리케이션을 얻을 유혹 얻을 수 있습니다.
그러나 이는 악성 코드에 의해 영향을받을 수있는 가장 쉬운 방법 중 하나입니다.
잠재적인 공격을 막기 위하여 항상 공식적인 애플 앱 스토어에서 앱을 다운받습니다.

7. 신뢰할 수있는 보안 솔루션을 설치 : 모바일 보안 소프트웨어가 앱과 링크의 위협을 높일 수도 있고 줄일 수도 있습니다.
신뢰할 수 있는 솔루션을 통하여 검증된 앱이나 링크로만 접속할 수 있도록 합니다.

최근 애플이 아이폰 OS 9의 장치의 잠금을 해제하기 위해 6 자리 코드를 사용하기위한 옵션을 포함 할 것이라고 발표했습니다.

업데이트는 새로운 디바이스 나 브라우저를 사용하는 경우 애플 서비스에 로그인 사용자를위한 이중 인증이 포함되어 있습니다.

새로운 인증 프로세스는 TouchID 모든 애플 기기에 적용됩니다.

국내 웹하드서 통해 버젓이 ‘활개’

모바일 오픈마켓 붐업에 ‘찬물’

새 블루오션으로 각광받는 오픈형 콘텐츠마켓의 선두주자인 애플 앱스토어가 크래킹으로 한바탕 곤혹을 치루고 있다. 최근 한 외신보도에 따르면 앱스토어에 등록된 유료 애플리케이션 중 무려 24%가 크래킹 공격에 의해 유출됐고 이는 여러 웹사이트를 통해 불법 유통되고 있다.

콘텐츠 불법 유통이 어제 오늘의 이야기는 아니지만 게임을 포함한 콘텐츠 산업에 새 유통경로로 각광받고 있는 앱스토어를 통해 콘텐츠의 불법 유통이 사실로 인정되면서 큰 쟁점으로 떠오르고 있다. 더욱이 국내에서도 오픈형 콘텐츠 마켓에 대한 관심과 그에 따른 가시적인 움직임이 일면서 이에 대한 대비책이 시급하다는 우려의 목소리가 일고 있다.

국내에서도 속사정이 조금 다르긴 하지만 이미 이와 비슷한 현상이 일어나고 있다. 크래킹 된 앱스토어 애플리케이션들이 국내 일부 웹하드 사이트를 통해 버젓이 유통되고 있다. 아직 애플의 대표 제품인 아이폰이 국내에 출시되지는 않았지만 MP4P인 아이팟터치로 이들 불법 애플리케이션을 사용할 수 있다. 국내 아이팟사용자들은 기기에 해킹 펌웨어를 설치해 이들 애플리케이션을 사용하고 있다. 해킹펌웨어 설치와 일명 크랙어플 사용법은 인터넷 웹사이트에서 쉽게 찾아볼 수 있다.

# 애플 무성의한 정책 탓

실제로 기자가 국내 포털에서 애플 아이팟과 관련된 커뮤니티 사이트를 뒤져 보았다. 이 곳에선 아이팟 사용자들이 기기를 사용하는 불편함을 줄이기 위해 각종 정보를 활발히 교류하고 있었다. 그 중 핵심은 아이팟터치를 해킹하는 것이다.

대표적인 커뮤니티에선 이에 대한 동영상 정보까지 제공하고 있어 누구나 쉽게 해킹할 수 있다. 해킹의 방법도 매우 다양하고 그에 따른 부작용이나 안정성에 대한 세부적인 설명도 곁들여져 있었다. 해킹에 대해 전혀 문외한인 기자도 이를 통해 쉽게 펌웨어를 업그레이드를 할 수 있었다.

이 뿐아니다. 해킹을 하고 난 후 한글 자판 등 유용하게 활용할 수 있는 애플리케이션 등을 공급받을 수도 있었다. 기존에 있던 소프트웨어가 아닌 유저들이 불편함을 해소하기 위해 직접 제작한 것이 대부분이었다.

문제가 되는 것은 일부 웹하드 사이트를 통해 아이팟터치에서 사용할 수 있는 일명 크랙어플이 불법 유통되고 있다는 점이다. 크랙어플이란 명칭에서 알 수 있듯 이는 크래킹 된 유료 애플리케이션이다. 불법 콘텐츠인 셈이다. 더욱이 눈에 띄는 것은 최근 등장한 크랙어플 중 대부분이 게임이란 점이다. 그 중에는 컴투스 등 국내 게임사들이 애플 앱스토어에 등록한 게임들도 있었다.

아이팟터치 해킹펌웨어 설치는 일상적으로 일어나고 있지만 이는 애초 애플의 무성의한 한국 정책에서 비롯된 탓이 크다. 제품을 시장에 유통했음에도 제품 사용에 편의를 위한 서비스를 일체 제공하지 않았다는 얘기다. 때문에 제품 사용에 답답함을 느낀 유저들이 AS가 불가능하다는 것을 알고도 해킹을 할 수 밖에 없게 된 것이다.

문제가 되는 것은 제품의 해킹펌웨어 설치가 아니다. 해킹 펌웨어를 설치한 사용자는 AS 불가라는 불이익만 감수하면 그만이다. 하지만 일부 웹사이트를 통해 불법 유통되고 있는 소프트웨어(크랙어플)가 양산되고 있다는 점은 저작권 문제와 함께 향후 새 유통모델로 각광받고 있는 앱스토어에 치명적인 약점으로 작용할 수 있다. PSP, NDS 등 휴대용 게임기 타이틀이 불법 펌웨어로 큰 피해를 입고 있다는 점이 이를 방증한다.

# 등급 심의 받지 않은 작품 수두룩

또 하나 문제로 지적되는 것은 대부분의 크랙어플이 게임이란 점이다. 국내법 상 게임물등급위원회의 심의를 받지 않은 게임을 서비스하는 것은 명백한 불법이다. 앱스토어의 게임 카테고리가 아직 열려있지 않은 이유도 여기에 있다. 그럼에도 불구하고 몇몇 웹하드 사이트에선 아이팟터치용 게임을 쉽게 찾아 볼 수 있다.

애플 앱스토어를 벤치마킹 한 콘텐츠 유통망 구축을 서두르고 있는 국내에서도 인터넷을 통해 앱스토어 콘텐츠가 불법 유통되고 있다는 점에 큰 우려를 표하고 있다. 앱스토어 오픈을 가시권 안에 놓은 SK텔레콤은 이미 이에 대한 대책 마련에 착수한 상태다.

SK텔레콤 앱스토어에선 개발자가 제작한 애플리케이션의 불법복제 유통 방지를 위해 자체적으로 개발한 솔루션(ARM·Application Rights Management) 을 적용할 계획이다. 개발자들은 애플리케이션 개발 시에 SK텔레콤이 배포하는 이 ARM 기술을 적용해 개발을 해야 한다. 이 경우 정식적인 유통경로를 통하지 않고는 애플리케이션 실행이 불가능하게 된다.

또 하나 다행스러운 것은 게임을 구동하기 위해선 휴대폰을 해킹해야 하고 펌웨어를 설치해야 하는데 이는 휴대폰 고장의 원인이 될 수 있다는 점에서 소비자들 또한 애플리케이션 사용을 위해 쉽게 해킹 펌웨어를 설치하지 않을 것이란 전망이 우세하다는 점이다.

# 철저한 보안책 마련해야

반면, 휴대폰이 개인용 멀티미디어 기기로 진화하고 있다는 점에서 해킹펌웨어의 손아귀에서 결코 안전할 수 없다는 시각도 있다. 그동안 시중에 나온 휴대폰 대부분은 통화가 주목적이었지만 최근 등장하는 휴대폰은 콘텐츠 소비도구로서 역할을 하고 있는게 사실이다. 때문에 사용자들이 무료 콘텐츠의 유혹에 쉽게 빠져들어 해킹펌웨어를 설치할 수도 있다는 얘기다.

특히, 게임 콘텐츠의 경우 그 동안 휴대용 게임기의 전례를 봤을 때 불법펌웨어 설치와 불법 게임물 유통이 기승을 부릴 가능성이 높아 이에 대한 철저한 대비책이 마련돼야 한다는게 전문가들의 한결같은 지적이다.

업계 한 관계자는 이에 대해 “이같은 불법 콘텐츠 유통에 대한 대비책을 서둘러 마련하지 않으면 기업은 물론, 정부차원에서도 큰 관심을 받고 있는 오픈형 웹마켓이 콘텐츠 불법 유통이란 악재를 만나 꽃을 피워보기도 전에 시들어 버릴 것”이라고 말했다.

쿠키를 가로채는 전문해킹기술 이용해 2억 부당이익 챙긴 일당 검거

싸이월드 미니홈피에 방문자 개인정보를 자동 유출하는 프로그램을 설치, 방문자들의 PC로부터 방문자 정보가 포함된 ‘쿠키’ 정보를 가로채 약 2백만명의 방문자 개인정보 3천4백만여건을 유출해 약 2억원의 부당이득을 취한 일당이 경찰에 붙잡혔다.

▲7일, 방문자 정보가 포함된 ‘쿠키’정보를 가로채 약 2백만명의 방문자 개인정보를 유출해 약 2억원의 부당이득을 취한 일당이 경찰에 붙잡혔다. 사진은 싸이월드 사이트 캡쳐 사진.


경찰청 사이버테러대응센터는 미니홈페이지 운영자의 의뢰를 받고 방문자 개인정보를 자동 유출하는 악성프로그램을 미니홈페이지에 설치, 수백만명의 개인정보를 의뢰인에게 제공하는 수법으로 수억원의 부당이득을 취한 피의자 고씨 등 일당 6명 검거(불구속)했다고 7일 발표했다.

경찰에 따르면, 피의자들은 S사에서 서비스하는 미니홈페이지 운영자들에게 메신저 쪽지나 휴대폰 문자메시지 광고를 전송해 월1만원의 유료회원으로 가입할 경우 미니홈페이지 방문자 개인정보를 수집·제공해 주겠다고 홍보해 회원가입을 받은 후, 2008년 10월부터 올해 5월경까지 위와 같이 유료회원으로 가입한 1만6천명의 미니홈페이지에 방문자 개인정보(방문일시, 방문자명, 방문자 접속IP, 방문자 접속지역, 방문이력)를 자동 유출하는 악성프로그램을 설치해 방문자들의 PC로부터 방문자 정보가 포함된 ‘쿠키’ 정보를 가로채 약 200만명의 방문자 개인정보 3,400만여건을 유출해 유료회원들에게 제공하는 수법으로 약 2억원의 부당이득을 취한 것으로 알려졌다.

이번에 피의자들이 이용한 쿠키를 가로채는 전문해킹기술은 국내에서는 2003년에 유명 해커그룹 멤버들이 최초로 사용한 해킹기술로써, 현재 가장 쉬우면서도 위험성이 높은 해킹 기술로 평가되고 개인정보 도용범죄에 많이 악용되고 있다는 것이 경찰 측의 설명이다.

또한 이들 피의자들은 불과 약 6개월 간 2백만명의 개인정보 3천4백만건을 유출하고 돈벌이 수단으로 악용을 했으며, 유료회원들에게 제공받은 ID와 비밀번호 도용, 방문자 추적사이트를 홍보하는 내용의 쪽지를 네티즌들에게 무단 발송하고 방문시간·방문자명·방문자 IP 등 개인 통신기록을 비롯해 방문자의 위치정보를 시군구 단위까지 제공해 개인정보와 위치정보 침해의 심각성을 보여줬다.

특히 이번 사건은 설치비용을 지불하고 자신의 미니홈페이지에 악성프로그램을 설치함으로써 인터넷의 특징인 익명성을 무력화시켜 범죄불감증을 여실히 보여준 한 예라 하겠다.

이와 관련 경찰청 사이버테러대응센터 관계자는 쿠키정보에 대한 보안 강화 측면에서 “사용자는 브라우저를 최신 프로그램으로 업그레이드(IE8)하고 사이트 측에서는 쿠키 유출을 방지할 수 있는 프로그램으로 업데이트 등의 조치가 필요하다”고 조언했다.
(Internet Explorer 8 다운로드 센터)

또한 경찰청 사이버테러대응센터 관계자는 “그런 측면에서 유료회원 가입이유는 대부분 개인적 호기심이나 접속량을 확인하기 위한 차원이라고 하더라도 방문자 정보의 유출행위는 불법으로써 대국민 홍보 필요하다”며 “방문자정보를 알아내거나 의뢰하는 행위는 명백한 불법으로서 유료회원으로 가입하여 서비스를 받을 경우 처벌될 수도 있음 국민들이 인식해야 할 것”이라고 강조했다.

한편 경찰은 “방문자 개인정보를 가로채 회원들에게 제공하는 다른 나머지 방문자 추적사이트에 대하여도 수사를 확대하는 등 개인정보 침해행위 근절을 위해 엄정하게 대처할 계획”이라고 밝혔다.

 P.S - 싸이월드 측에서의 몇년전부터 있던 이런 추적에 대해 허술한 대응도 있었지만, 금지된 스크립트를 삽입이 불법행위임을 생각한다면 개발 판매하는 쪽도 문제지만 개개인 스스로가 이러한 프로그램 사용을 하지 않아야 된다고 생각된다.

[보안뉴스] 싸이월드 "방문자 추적" 미니홈피....... 끝