[디지털데일리 이유지기자] 스마트폰이 급격히 확산되는 요즘, 가장 민감하게 여겨지는 문제가 바로 보안이다.
모바일 보안 문제는 본격적으로 스마트폰이 보급되고 이를 업무에 활용하고자 하는 움직임이 크게 활성화되면서 최대 화두가 됐다.
작년 말부터 올해 내내 스마트폰 보안 문제가 크게 부각되면서 최근 들어 보안 전문가들조차 지나치다는 지적까지 나왔다. 현실에 비해 과도한 보안 우려와 이슈 제기는 막연한 불안감만을 키울 수 있기 때문이다.
문제는 여전히 스마트폰 보안 위협과 그에 대한 대응방식은 확실하게 손에 잡히지 않는다는 데 있다. 우선은 아직 많은 사례를 경험하지 못한 것에 원인이 있을 것이다.
최근 판단하기 쉽지 않은 한가지 일도 발생했다.
한 업체가 개발한 안드로이드 기반 스마트폰 백신이 특정 애플리케이션을 위험하다고 진단해 개발 업체와 마찰을 빚은 일이다.
이 백신업체는 해당 애플리케이션이 휴대폰 고유정보인 USIM 시리얼번호와 IMEI(International Mobile Equipment Identity, 국제 모바일 단말기 인증번호)라는 단말기 식별값을 수집하기 때문에 사용자에게 경고창을 띄워 경고메시지를 보내고, 사용자가 선택할 수 있도록 했다.
물론 해당 애플리케이션 개발사는 “정상 애플리케이션을 위험파일로 감지해 악성으로 진단했다”며 즉각 반발했다.
현재는 이 애플리케이션이 해당 백신에서 화이트리스트로 분류된 상태이지만, “이용자 동의 절차 없이 휴대폰 단말기 고유정보를 추출하는 것은 위험하다”는 것이 백신업체의 주장이다.
이와 비슷한 상황이 앞으로도 얼마든지 생길 수 있을 것으로 보인다. 이번 문제의 시발은 일단 아직까지 스마트폰 악성코드, 악성 애플리케이션의 기준이 제대로 확립돼 있지 못한 데 있지 않을까 싶다. 또 애플리케이션 개발회사가 따라야 하는 보안 가이드도 부재한 상황이다.
쉽게 생각해보면, 만약 특정 애플리케이션이 사용자 동의 등 적법한 절차를 거치지 않고서 휴대폰 고유정보나 개인정보를 수집했다면 분명 문제다. 그렇다고 너무 획일화된 기준만을 앞세운다면 스마트폰 환경에서 개발될 수 있는 다양한 서비스를 막게 되는 결과를 불러 올 수도 있다. 보안이란 건 너무 과도하면 사용에 큰 불편함을 주고, 너무 간과하다보면 치명적인 보안 사고를 부를 수 있다는 점에서 항상 그 적절한 접점과 균형을 찾는게 쉽지는 않다.
그래서인지 보안전문가들은 스마트폰 애플리케이션의 행위에 따른 악성 여부를 판별할 기준을 정하는 것이 쉬운 문제는 아니라고 입을 모은다. 시간과 노력이 필요하겠지만 스마트폰, 보안과 관련된 각 주체들이 지금까지 나타난 사례 분석을 통해 사회적 합의를 모을만한 기준을 도출할 필요가 있다.
그렇지 않으면 민간 기업들 간에 불필요한 마찰과 함께 특정 회사가 불이익을 경험할 수도 있다. 그 사이에 사용자들은 더 큰 불편함과 혼란을 느낄 수 있다.