'모바일 기기의 어떤 보안대책이 사용자 데이터에 대한 무단 액세스를 유효하게 막고 있는 것인가', 현대의 모바일 기기는 어떤 무단 액세스를 당하고 있는가', '무단 액세스를 방지하기 위해 모바일 기기에는 어떤 개선점이 필요한가'라는 모바일 기기의 보안에 대한 기본적인 의문에 대해, 존스홉킨스대학의 연구팀이 iOS 및 Android를 철저하게 조사한 후 해답을 제시했습니다.
Data Security on Mobile Devices
https://securephones.io/
Data Security on Mobile Devices : Current State of the Art, Open Problems, and Proposed Solutions
https://securephones.io/main.html
Data Security on Mobile Devices: Current State of the Art, Open Problems, and Proposed Solutions
Data Security on Mobile Devices: Current State of the Art, Open Problems, and Proposed Solutions Maximilian Zinkus Johns Hopkins University zinkus [at] cs [dot] jhu [dot] edu Tushar M. Jois Johns Hopkins University jois [at] cs [dot] jhu [dot] edu
securephones.io
◆ iOS의 사례
연구팀에 따르면, iOS는 강력한 암호화가 이루어지고 있으며, 보안 및 개인정보의 제어가 엄격하게 이루어지고 있지만, 툴이 충분히 활용되고 있지 않았기 때문에 커버하는 범위가 미흡했다고 합니다.
구체적으로는 '전원이 켜져있는 단말기는 암호화의 장점이 한정되어 있다'고 지적합니다. 이것은 처음부터 내장된 앱이 보유하고 있는 놀라운 양의 기밀 데이터가 '첫 번째 잠금 해제 후 사용 가능'이라는 보호 클래스에서 보호되고 있기 때문입니다. 이 보호 클래스는 단말기가 잠긴 상태라면 메모리에서 암호해독 키를 삭제하지 않기 때문에 '잠겨있지만 전원이 켜져있는 상태'의 단말기에서 Apple의 임베디드 앱의 기밀 데이터를 빼낼 수 있습니다.
클라우드를 이용한 백업과 서비스도 약점 중 하나입니다. iCloud 이용시 Apple의 서버로 전송되는 대량의 사용자 데이터는 iCloud 계정에 무단 액세스 가능한 상태의 공격자나 소환장을 갖는 법집행기관에 의해 원격으로 액세스할 수 있습니다. 연구팀은 "놀랍게도 시스템의 취약성을 증가시키는 iCloud의 기능도 발견했다"고 밝혔습니다.
클라우드에 대해 연구팀은 '종단간 암호화'의 한계도 지적하고 있습니다. 종단간 암호화가 된 일부 서비스는 iCloud 백업서비스와 함께 사용하면 기밀성이 손상되는 것으로 나타났다는 것. 또한 Apple의 문서 및 사용자 설정에서의 '암호화'와 '종단간 암호화'가 모호하여, Apple이 사용 가능한 데이터가 어떤 것인지를 이해하는 것이 어려워지고 있다고 지적합니다.
또한 하드웨어 기반 키 관리기능을 포함하여 안전한 보조프로세서이어야 할 Secure Enclave에 취약점이 존재하는 것도 문제점의 하나. 이 취약점은 패치의 수리가 불가능하다는 점이 지적되고 있습니다.
◆ Android 사례
Android 단말의 경우 플래그쉽 모델에는 꽤 강력한 보호기능이 탑재되어 있습니다만, Google 및 단말기 제조업체 사이의 관계가 얇고 OS업데이트의 반영이 늦거나 소프트웨어 아키텍처에서 고려해야 할 점이 많고, 보안 및 개인정보 보호 컨트롤이 지리멸렬되어 있다는 것.
iOS에서 지적된 '전원이 켜져있는 단말기는 암호화의 장점은 한정되어 있다'는 점은 Android 단말기도 마찬가지. Android의 암호화는 iOS보다 보호단계가 적고, 복호화 키가 '첫 번째 잠금해제' 후 항상 유지되므로 사용자 데이터는 법집행기관에 의한 접근을 받기 쉬운 상태에 있습니다.
Android에는 Google 데이터센터의 물리적 하드웨어를 기반으로 한 종단간 암호화된 백업기능이 존재합니다. 그러나 종단간 암호화된 백업을 수행하려면 앱개발자가 승낙해야 합니다.
다양한 기업과 조직이 개발한 시스템으로 구성되어 있다는 점도 Android의 약점으로, 구성요소의 개발이 일원화되어있지 않기 때문에, Android 전체의 보안을 통합하려면 조정이 필요하지만, 그러한 노력은 부족하거나 존재하지 않는다고 지적합니다.
그리고 종단간 암호화가 제한적인 점을 들 수 있습니다. 기본적으로 종단간 암호화가 이루어지고 있는 것은 타사 메시징앱에 한정되어 있고, 많은 네이티브 Android 앱은 종단간 암호화를 제공하지 않습니다.
또한, Android는 Google 드라이브 또는 Gmail과 같은 Google 서비스와 긴밀하게 통합되어 있으며, 서비스를 이용함에 있어 사용자는 더 많은 데이터를 Google로 보내고 있습니다만, 전술한 바와 같이, 종단간 암호화가 철저히 되어있지 않기 때문에, 지식이 있는 공격자와 소환권한이 있는 법집행기관은 정보에 접근할 수 있는 상태에 있습니다.
연구팀에 따르면, iOS, Android 모두 클라우드와 데이터 동기화가 늘어나는 것이 보안의 악화요인이 되고 있다고 경고합니다.
'IT' 카테고리의 다른 글
| 스마트폰의 누전? 찌릿찌릿하는 원인과 대책 (0) | 2021.01.23 |
|---|---|
| SMS로 송신자를 위장한 메시지 보내기 (0) | 2021.01.18 |
| 약 15년 전에 출시된 '무선 LAN 라우터'가 지금도 판매가 계속되고 있는 이유 (0) | 2021.01.18 |
| 단 한 줄로 스토리지를 즉시 손상시킬 수 있는 커맨드를 발견, '보는 것만으로도 스토리지가 손상되는 바로가기'의 존재도 확인 (0) | 2021.01.15 |
| Google 취약점 대책팀이 발견한 '매우 정교한 사이버공격'의 수법이란? (0) | 2021.01.13 |
| 비트코인 억만장자인데 비밀번호를 잊어버려 손도 못대는 프로그래머 (0) | 2021.01.13 |
| 스토리지가 고장난 iPhone 7을 사용하여 NFS를 통해 Ubuntu의 기동에 성공 (0) | 2021.01.13 |
| SNS 'Parler'에 게시된 100만 개 • 80TB의 영상을 메타데이터와 함께 해커가 취득한 것으로 판명 (0) | 2021.01.12 |
