사용자 삽입 이미지

아드리안 루드비히(Adrian Ludwig) 구글 안드로이드 보안 총괄 엔지니어는 최근 언론과의 인터뷰를 통해 “안드로이드 사용자의 99%는 안티바이러스(백신)를 사용할 필요가 없다. 보통의 사용자는 우리가 제공하는 보안 기능만으로도 충분하다”고 발언한 바 있다.

그의 발언은 보안업체인 어베스트(Avast)와 에프시큐어(F-Secure)의 보안보고서를 정면으로 반박하고 있다. 먼저 어베스트의 보고서를 살펴보자.

https://blog.avast.com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased-data/

자로미어 호레제아이(JAROMÍR HOREJSI) 어베스트 연구원은 “안드로이드의 공장초기화(factory reset) 기능이 제대로 구현돼 있지 않기 때문에 초기화를 하더라도 약간의 조작만 한다면 과거에 저장된 데이터를 복구할 수 있다”며 “고도의 기술이 아닌 낮은 수준의 기술만으로도 복구가 가능했다”고 지적했다.

실제 어베스트의 포스트에 따르면 디지털포렌식 도구인 ‘FTK Imager’를 사용한 결과 20대의 중고폰(이베이에서 테스트용으로 구매)에서 4만건의 사진, 750개의 이메일과 문자메시지, 250개의 연락처를 복원했다. 이처럼 복원이 쉬운 것은 암호화를 하지 않았기 때문이다.

이번엔 에프시큐어의 보고서를 보자.


http://www.f-secure.com/static/doc/labs_global/Research/Mobile_Threat_Report_Q3_2013.pdf

이 보고서에 따르면 모바일 악성코드의 99%가 안드로이드를 노리고 있다. 이러한 악성코드는 문자메시지 탈취, 금융정보나 개인정보 탈취를 위한 목적으로 만들어져 구글플레이나 서드파티 앱스토어에서 유포되고 있는 상황이다.

이에 대해 루드비히 총괄 엔지니어는 “보안업체들은 발생할 확률이 매우 낮은 문제를 확대해 사람들에게 전파한다. 걸어다니다가 총에 맞을 수 있지만 그렇다고 일상에서 방탄복을 입고 다니는 사람은 없다. 안드로이드 백신도 이와 같다”며 “일반적인 사용자는 악성코드를 내려받을 가능성이 매우 낮으며, 악성코드를 예방하기 위해 설치하는 백신도 그 역할을 제대로 하지 못한다”고 지적했다.

하지만 루드비히 총괄 엔지니어의 발언에 동의하긴 힘들다. 그가 우리나라의 상황을 인지하고 있다면 자신의 발언이 실언이었음을 인정할 것이다.

우리나라 경찰청 통계에 따르면 지난해 스미싱 피해는 신고된 것만 2만8469건, 피해액은 약 54억원에 달하고 있다. 사용자 대비 피해자 비율을 따져보면 0.1%에 불과하지만 앞으로 더 늘어날 가능성도 배제할 수 없다.

특히 금전적인 피해를 입은 사용자가 이정도에 달하는데 집계되지 않는 단순한 스파이 앱등으로 인한 개인정보유출까지 고려한다면 그 수치는 더 높아질 수 있다.

모바일 운영체제가 안전하다면 구글의 말처럼 백신은 필요없을 수 있다. 하지만 오픈플랫폼을 주창하는 구글이 아무런 조치를 취하지 않고 ‘안전하다’고 주장하는 것은 오만이다.
2014/07/16 16:47 2014/07/16 16:47

트랙백 주소 :: http://kiku.delighit.net/trackback/196