"한국, 온라인 사기 피해 세계 4위…민관 협력으로 대응해야"

[뉴스웍스=박광하 기자] 데이브 클라이드마허 구글 안드로이드 글로벌 보안 담당인 부사장이 4~5일 한국을 방문해 모바일 보안 강화의 시급성을 강조했다.

클라이드마허 부사장은 4일 과학기술정보통신부와 보이스피싱 대응 업무협약(MOU)을 체결하고, 5일 국회에서 '차세대 모바일 보안 강화 및 스팸방지 정책 세미나'에 참석했다. 그는 "한국이 전 세계에서 1인당 온라인 사기로 인한 금전 손실 피해에서 상위 4위를 차지한다는 조사 결과가 나온 바 있다"며 우려를 표했다.

클라이드마허 부사장은 모바일 운영체제(OS)인 안드로이드의 보안 수준이 크게 개선됐다고 자평했다. "UA라는 회사에서 발표한 익스플로잇 비용 자료에 따르면, 공격자가 안드로이드 시스템을 해킹하기 위해서는 현재 1500만달러가 필요한 것으로 나타났다"며 "공격자들이 이런 공격을 실행하기 위한 비용이 훨씬 높아졌다"고 설명했다. 가트너에서 실시한 플랫폼별 보안 성능 비교에서도 "수년 동안 안드로이드는 다른 플랫폼에 비해 훨씬 보안성이 뛰어난 것으로 지속적으로 나타나고 있다"고 강조했다.

보안 향상의 배경으로는 메모리 안전성 강화를 언급했다. "5년 전만 하더라도 C++ 등의 언어를 활용했는데, 안전한 프로그래밍 언어를 활용하는 것으로 전환했다"며 "메모리 안정성을 강화해서 5년 전 80% 수준이었던 메모리 오류 비율을 현재는 20% 미만으로까지 낮출 수 있었다"고 설명했다.

모바일 기기의 핵심 보안 기능인 신뢰 실행 환경(TEE)에 대해서도 상세히 설명했다. 그는 "모든 모바일 기기에는 TEE가 있어서 암호키 보호나 바이오메트릭 정보 보호 등 가장 중요한 기능들을 수행한다"며 "TEE는 계속 존재해왔지만 산재해 있었고 품질이 항상 최상은 아니었다"고 기존 한계를 지적했다.

이를 개선하기 위해 "최근 pKVM이라는 새로운 기능을 보완했다"며 "ISO 15408에 해당하는 가장 높은 보안 인증을 받았고, 이를 통해 예전보다 훨씬 강화된 TEE를 이용할 수 있게 됐다"고 밝혔다.

클라이드마허 부사장은 최근 사이버 공격 트렌드의 변화를 강조했다. "OS에서 보안을 강화한 결과, 최근 몇 년에 들어서 공격자들과 범죄자들이 사용자를 직접적으로 공격하는 것이 급증했다"고 설명했다. 그러면서 "OS에서의 보안 강화 노력을 멈춘 것은 아니다"라며 "바뀐 트렌드를 반영해 금융 사기와 같이 직접 사용자를 공격하는 해킹 사례에 대응하기 위해 노력 중"이라고 덧붙였다.

구글의 AI 기반 보안 기술에 대해서도 구체적인 성과를 제시했다. 그는 "구글은 AI 기반 방어 체제에 막대한 투자를 하고 있다"며 "구글 플레이 프로텍트를 포함해서 보유하고 있는 보안 기술은 다른 플랫폼 대비 훨씬 정교하고 발전했다"고 강조했다.

구체적인 성능 비교도 공개했다. 클라이드마허 부사장은 "다른 안티바이러스 프로그램 상위 5개를 모두 합한다 하더라도, 효과 면에서 저희 보안 기술이 50% 더 효과적인 것으로 나타났다"고 밝혔다.

AI 기술의 활용 범위에 대해서는 "AI는 앱의 악성 프로그램을 탐지하는 것뿐만 아니라 소셜 엔지니어링에도 잘 활용되고 있다"며 "보이스피싱이나 문자 메시지 같은 것들은 원래 많은 메시지를 보고 통화를 통해서만 탐지할 수 있었는데, AI 기술을 통해 이러한 소셜 엔지니어링 위험 요인들도 탐지하고 있다"고 설명했다.

AI 보안 기술의 핵심 원리에 대해서도 상세히 설명했다.

그는 "의심스러운 행동이나 콘텐츠를 탐지할 때, 콘텐츠나 메시지만 보는 것을 뛰어넘어서 실질적으로 행동하는 주체가 의심스러운 사람인지, 믿을 수 있는지를 확인한다"며 "누가 나한테 이런 정보를 주고 있는지, 누가 지금 전화를 했는지에 대해서 주체까지 탐지하고 있다"고 설명했다.

구글 플레이 앱 스토어의 위험 신호 분석 결과도 공개했다. 클라이드마허 부사장은 "구글 플레이 앱 스토어에서 일어나는 위험 신호들을 분석해보면 3분의 2가량이 앱에서의 의심스러운 행동이 아니라 그것을 공격하는 주체에 문제가 있는 것으로 나타났다"며 "개발자가 누구인지, 개발자의 신원이 누구인지, 개발자가 어떤 행동을 했는지가 중요하다"고 강조했다.

구글의 어드밴스드 프로텍션 기능에 대해서도 상세히 소개했다. 그는 "2017년에 출시한 고급 보호 기능은 정치인이나 회사 CEO, 언론인과 같은 고위험군을 대상으로 설계했다"며 "굉장히 성공적인 서비스이지만 제한적으로만 사용됐다"고 설명했다.

하지만 최근 상황이 변했다는 게 그의 설명이다. 그는 "기존에 생각했던 고위험군이 아님에도 불구하고 이 기능을 선택해서 활용하겠다고 하는 사용자들이 나타났다"며 "보안에 대해 걱정을 많이 하기 때문에 이 기능을 켜서 활용하는 것으로 생각된다"고 분석했다.

그러면서 "최근 출시된 안드로이드 15에서는 8년 전과 비교해 이 기능을 활용하겠다고 동의하는 고객들의 숫자가 100% 이상 증가했다"고 구체적인 수치를 제시했다. 고급 보호 기능의 핵심 내용에 대해서는 "구글 계정에서 피싱이 불가능한 인증을 더 강화했고, 사이드 로딩을 통한 앱 다운로드를 원천적으로 차단한다"고 설명했다.

한국에 도입되는 강화된 사기 방지 프로그램(EFP)에 대해서도 상세히 설명했다. 그는 "EFP는 사이드 로딩을 원천적으로 차단한다"며 "정식 앱 스토어가 아닌 인터넷을 통한 우회 다운로드를 차단하는 것"이라고 설명했다. 아울러 "사이드 로딩을 통해 다운로드되는 앱들은 보통 금융 사기에서 많이 악용되는 민감 권한과 관련돼 있다"며 차단의 필요성을 강조했다.

싱가포르에서의 성공 사례도 구체적으로 제시했다. "싱가포르에서 EFP를 최초로 도입했는데, 일정 시간이 지나고 나서 싱가포르 보안 관련 정부 기관에서 EFP를 도입한 이후 사이드 로딩을 통한 온라인 사기가 거의 제로에 가깝게 줄었다고 보고해줬다"고 밝혔다.

클라이드마허 부사장은 모바일 보안 생태계 개선을 위한 장기적 방안으로 투명성 제고를 제안했다.

된장 구매를 예로 들며 "성분표시를 보고 나트륨 함량이 적은 제품을 선택하듯이, 제조사들은 고객들의 선택을 받기 위해 이런 부분에 신경쓸 수밖에 없다"며 "이것이 제조사들한테 주는 유인책이 되고 건강한 식습관으로 이어질 수 있다"고 설명했다. 하지만 "전자기기나 앱을 다운로드받을 때는 이런 제품 성분표시 같은 것이 없다"며 "보안 품질이 더 높은지를 확인할 길이 없다"고 문제를 지적했다. 그는 "성분표시처럼 투명성을 제고한다면 개발자 측면에서도 보안성에 신경쓰고 보안 행태를 개선할 것이고, 사용자들도 각자의 보안을 보호하는 데 더 주의할 것"이라고 강조했다.

구글의 표준 제정을 위한 노력도 소개했다. 클라이드마허 부사장은 "구글도 표준 제정을 위해 굉장히 많은 노력을 하고 있다"며 "보안성 관련 여러 요건을 통해 보안성을 비교할 수 있게 되고, IoT나 의료기기 부분에서 ISO나 IEEE와 같은 표준을 제정할 수 있다고 생각한다"고 밝혔다.

민간 협력에 대해서는 "앱 디펜스 얼라이언스라는 조직을 만들었다"며 "메타나 마이크로소프트 같은 회사들도 참여해서 모바일 보안성을 높이고 보호하기 위한 대책을 마련하는 협의 기구를 운영하고 있다"고 설명했다. 그는 "지금까지 모바일폰이 얼마나 많이 활용되고 있는지를 감안하면 훨씬 더 먼저 생겼어야 하는데, 이제서야 모바일 보안성을 평가할 수 있는 기구들이 마련됐다는 점이 새삼 놀랍다"고 덧붙였다.

그는 마지막으로 "나쁜 마음을 갖고 있는 범죄자들은 굉장히 조직화되고 체계화돼 있기 때문에 우리도 조직화하고 체계화해서 대응해야 한다"는 발언을 통해 민관 협력의 중요성을 재차 강조했다.