사용자 삽입 이미지
안드로이드 권한 오용 문제가 불거졌다. 이번에는 삼성전자 갤럭시 시리즈에 선탑재(preload)되는 애플리케이션 ‘스마트 매니저’가 질타를 받았다. 얼마전 인터넷 커뮤니티에서는 삼성전자 갤럭시 시리즈에 탑재된 ‘스마트 매니저’의 권한을 나열하며 ‘해킹 앱’에 가깝다는 주장이 제기됐다.


‘스마트 매니저’는 삼성전자가 스마트폰 사용에 미숙한 소비자들을 위해 개발한 관리 앱이다. 불필요한 앱이 백그라운드에서 구동되는 것을 막아 배터리를 절약해주고, 임시파일로 인해 용량이 부족해지면 이를 삭제해준다. 또 악성 앱이 설치되는 것을 감시하는 기능 등도 담겼다.

사용자가 문제로 제기한 것은 스마트 매니저가 갖고 있는 권한이다. 이 앱은 ▲디바이스 상태 및 ID 읽기 ▲사진 및 동영상 촬영 ▲오디오 녹음 ▲위치 확인 ▲연락처 확인 ▲SD카드 콘텐츠 읽기 등으로 상당히 많은 권한을 보유하고 있다. 과거 구글은 이런 권한을 간략하게 설명하는 것에 그쳤지만, 안드로이드 4.0(코드명 킷캣) 부터는 해당 권한이 할 수 있는 모든 기능을 서술해두기 시작했다.
사용자 삽입 이미지

너무나도 상세한 설명은 오해를 불러왔다.

‘디바이스 상태 및 ID 읽기’ 권한은 전화걸기, 받기를 담당한다. 해석에 따라 사용자 몰래 전화를 걸거나 오는 전화를 가로챌 수 있다고 생각할 수 있다. 이 기능을 쓰는 대표적인 앱은 당연히 ‘전화’앱이며, 후후나 후스콜과 같은 스팸전화 차단 앱도 쓰고 있다. 이 외에도 이를 쓰는 앱들이 많은데, 주로 ‘푸시 메시지’ 발송을 위해서다.

‘사진 및 동영상 촬영’ 권한은 카메라에 관련된 부분이다. 구글 설명에 따르면 사용자 몰래 사진이나 동영상을 찍을 수 있다고 돼 있다. 카메라 모듈의 기능을 쓰게끔 하는 권한으로 보면 된다. 근데 이 권한은 카메라 앱을 비롯해 ‘플래시’ 앱들도 이를 쓴다. 앱 내부에 사진 촬영 기능이 있어도 이 권한이 필요하다.

‘SD카드 콘텐츠 읽기’ 권한은 내부저장소에 있는 파일들을 살펴볼 수 있다. 파일을 내려받을 수 있는 기능을 갖춘 앱, 파일정리 기능을 갖춘 앱, 사진 편집 앱 등 대부분의 활용 앱들이 이 권한을 보유하고 있다.

‘네트워크 통신’은 모바일 인터넷이 연결돼야 쓸 수 있는 앱들이라면 무조건 획득해야 하는 권한이다.

‘문자메시지 읽기’ 권한은 택배 앱 등 문제메시지를 파싱해서 쓰는 앱들에 쓰인다. 문자로 택배 송장번호가 오면 이 형식을 그대로 긁어가 바로 조회할 수 있도록 하는 것이다.

‘위치 확인’ 권한은 날씨나 지도, 내비게이션 앱이 쓴다. 현재 위치에 맞는 서비스를 제공하기 위해서다. 맞춤광고를 위해 쓰이기도 한다.

이외에도 우리가 쓰는 앱들은 이 외에도 각종 권한을 획득해 기능하고 있다. 물론 악의적인 앱의 경우 권한 획득후 모든 행위를 감행할 수 있다. SD카드 콘텐츠 읽기 권한을 획득하면 내부에 있는 사진이나 문서 등에 접근할 수 있고, ‘네트워크 전송’ 기능 등을 통해 외부로 빼돌릴 수도 있다. 또 통화 중 녹음을 하고, 해당 파일을 빼돌리는 등의 기능도 구현 가능하다. 과거 도감청 앱 등이 이러한 방법으로 성행한 것을 떠올리면 된다.

소비자들이 우려하는 것도 바로 이부분이다. 각각의 권한이 할 수 있는 기능이 워낙 많다보니 ’이 권한은 필요없을 것 같은데?’라고 생각할 수 있다. 그러다보니 이번처럼 오해가 발생한 것이다.
사용자 삽입 이미지

이러한 상황을 벗어나기 위해서는 개발사가 스스로 ‘애플리케이션 권한 설명’과 같은 설명서를 제공하는 것이 옳다. 해당 권한을 왜, 어떻게 사용하고 있는지를 명확히 명시해야 사용자가 믿고 쓸 수 있다. 다만 법제화하는 것은 아직 이르다. 소비자 보호도 중요하지만 앱 개발환경 자체를 나쁘게 만들 공산이 있어서다.

다행히도 안드로이드 6.0(마시멜로)부터는 앱 권한을 8개 항목으로 줄이고 이를 사용자가 관리할 수 있도록 했다. 자기정보관리를 스스로 할 수 있게 했다는 점에서 긍정적이라 본다. 물론 이 경우에도 권한 설명을 첨부한다면 더욱 좋을 것이다.
2015/11/18 12:00 2015/11/18 12:00
사용자 삽입 이미지
마이크로소프트 인터넷익스플로러의 액티브X(Active-X), 구글 크롬의 NPAPI(넷츠케이프 플러그인 API)의 이슈가 채 끝나기 전에 인터넷뱅킹에 또 다시 시련이 닥칠 것으로 예상된다. 이 문제를 6개월 안에 해결하지 못하면 또 다시 소비자들이 불편을 겪게된다.


마이크로소프트(MS)는 내년 6월부터 SHA-1을 지원하지 않겠다고 최근 발표했다. 이는 당초 2017년 1월로 예정됐던 SHA1 폐기 시점을 6개월 더 앞당긴 것이다. 이는 암호해독 국제 전문가팀이 지난달 8일 SHA1의 폐기 시기를 현재의 계획보다도 앞당길 필요가 있다고 권고한 것에 기인한다.

모질라 역시 내년 7월부터 SHA-1을 지원하지 않을 계획이며, 구글도 내년 1월부터 SHA-1을 쓰는 웹사이트에 접근할 경우 ‘안전하지 않은 웹사이트’라는 경고 문구를 노출할 예정이다.

관련 포스트
구글 :https://googleonlinesecurity.blogspot.kr/2014/09/gradually-sunsetting-sha-1.html

MS : http://blogs.windows.com/msedgedev/2015/11/04/sha-1-deprecation-update/

모질라 : https://blog.mozilla.org/security/2015/10/20/continuing-to-phase-out-sha-1-certificates/


설명에 앞서 SHA-1이 무엇인지 알아보자. 우선 SHA는 ‘Secure Hash Algorithm’이라고 불리는 함수다.  미국 국가안보국(NSA)이 1993년에 처음으로 설계했으며 미국 표준이기도 하다. 해시 알고리즘의 일종이며 SHA에서 변형된 SHA-1 함수가 현재의 TLS, SSL, SSH 등과 같은 보안 프로토콜 암호화에 사용되고 있다.
사용자 삽입 이미지

해시 알고리즘은 원본 데이터를 특정 법칙에 따라 데이터를 짧게 변형시키게 된다. 해시된 데이터는 역산하기가 매우 어렵다. 흔히 쓰이는 SSL/TSL 방식을 예로 들어보면 서버 인증서의 서명키와 개인키를 각각 암호화(해시값은 같다)하고, 통신할때마다 이를 맞춰보는 형태로 쓸 수 있다.

그런데 문제는 SHA-1 인증서 서명키와 개인키의 해시값이 동일하다는데 있다. 인증서 서명키와 개인키를 입수한 경우 원본 데이터를 모르더라도 인증서 서명키의 해시값을 위조해 개인키의 원본 데이터를 훔쳐낼 수 있다. 이를 악용한 공격을 ‘충돌공격(collision attack)’이라고 부른다.

이같은 이유로 암호전문가들은 SHA-1을 서서히 걷어내야 한다고 지적한다. 암호전문가인 브루스 슈나이어는 최근 12만달러면 특정 웹서비스의 SHA-1 체계를 무너뜨리는 충돌공격이 가능하다고 말했다. 도구는 아마존웹서비스를 비롯해 여러가지가 될 수 있을 것이다.

현재 국내 인터넷뱅킹 업체들은 서버 EV SSL 인증서 알고리즘으로 SHA-1을 쓰고 있다. 보안성도 떨어질 뿐더러 당장 내년 하반기부터는 접속이 불가능해진다.
사용자 삽입 이미지

따라서 은행들은 적어도 SHA-2로 업그레이드를 진행해야 한다. 가령 우리은행에서는 시만텍의 인증서를 사용하고 있는데, 이미 시만텍은 SHA-1 고객들에게 SHA-2 마이그레이션을 권고하고 있다.

관련 포스트
SSL 및 Code Signing 인증서를 위한 SHA-1 해시 알고리즘 마이그레이션 

인터넷뱅킹의 위기가 윈도10 엣지 브라우저와 크롬 NPAPI에 그칠 수 있길 기원한다.
2015/11/13 06:00 2015/11/13 06:00
사용자 삽입 이미지
지난 10일 서울미술관에서 마이크로소프트(MS)의 2in1 태블릿 ‘서피스프로4’ 론칭 행사가 열렸다. 이날 행사는 서피스프로4의 사양과 성능을 직접 체험해볼 수 있는 시간으로 진행됐다.


조금 일찍 도착한 탓에 서피스프로4를 조금 더 오랫동안 만져볼 수 있었다. 서피스프로4는 전작 서피스프로3와 유사한 모습을 지녔다. 차이가 있다면 전원버튼과 볼륨버튼이 상단으로 이동했고, 서피스펜이 좌측에 자석을 통해 붙는다는 것. 화면도 12.1인치에서 12.3인치로 아주 소폭 커졌다. 물론 체감하긴 힘들었다.
사용자 삽입 이미지

부착식 키보드인 ‘타입커버(Type Cover)’는 전작대비 상당히 좋아진 느낌이 들었다. 우선 키 간격이 생겼다. 서피스프로3용 타입커버는 키가 다닥다닥 붙어있어서 보기엔 이뻤을지 몰라도 실제 사용하기엔 불편하기 짝이 없었다. 개인적으로 흐르는 듯한 타이핑을 즐기는데, 키가 모두 붙어있다보니 키 위치가 헷갈려서 빠른 타이핑이 힘들었다. 신제품은 키 간격을 넓게 둬서 위치가 헷갈리는 불편함은 없었다.

키감도 향상됐다. MS에서는 이를 두고 ‘랩탑에 준하는 키보드’, ‘기계식 키보드’라고 지칭했는데 사실은 펜타그래프 방식의 키보드다. 키압이 적당히 높아 쫀득한 느낌이 일품이다. 지문인식 모듈이 적용된 타입커버도 있는데, 현재 북미에서만 판매중이다.

트랙패드는 전작대비 40% 확대됐는데, 그럼에도 불구하고 맥북 에어보다는 작은 느낌이다. 최대 다섯손가락 입력을 지원하는데, 맥북처럼 다양한 제스처를 설정해 사용할 수 있다고 한다. 근데 트랙패드의 세로 길이가 좀 짧아서 4~5손가락 제스처는 좀 불편할지도 모르겠다.
사용자 삽입 이미지

서피스펜은 편리했다. 적당한 굵기를 갖춰 잡기 편했고, 펜 앞에 달린 팁은 적당한 마찰력을 가지고 있어 쓱쓱 쉽게 필기가 가능했다. 참고로 별매되는 서피스펜을 구입하면 팁을 교체할 수도 있다. 또 서피스펜은 1024 레벨의 압력을 감지한다고 한다. 테스트해보니 힘을 더주고 덜주고에 따라 굵기가 달라짐을 확인할 수 있었다.
사용자 삽입 이미지

서피스펜 후면은 버튼식이다. 한번 누르면 원노트, 연속으로 두 번 누르면 클리핑(스크린샷), 꾹 누르면 코타나가 작동한다. 원노트에서는 지우개로도 쓸 수 있다(단, 픽셀이 아니라 획 단위로 지워진다)

윈도10에 탑재된 안면인식 기능 ‘윈도 헬로’도 적용됐다. 다만 인텔 리얼센스 3D 카메라가 아니라고 한다. 향후 서드파티 3D 카메라로도 윈도 헬로를 쓸 수 있다는 얘기가 된다.

서피스프로4의 구성품은 단촐하다. 서피스프로4 본체, 서피스펜, 어댑터, 사용설명서. 타입커버는 별매다.
확대

서피스프로4의 성능을 체험하기엔 애플리케이션을 동작해볼 수 없었고, 시간도 짧아 상세히 서술하긴 힘들지만 노트북을 대체하기엔 충분할 것으로 보인다. 물론 그만큼 비싸다.
사용자 삽입 이미지


















사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지

2015/11/11 06:00 2015/11/11 06:00
사용자 삽입 이미지
“에어리어(면) 방식의 지문인식, 정말 빠르네”

“낮잠(doze) 기능, 배터리 소모 감소를 체감하긴 아직”
“USB-C 단자, 빠르고 편하긴 한데 범용성은 글쎄…”


2주 동안 구글 넥서스5X를 사용해보며 느낀점을 간략하게 정리하면 이 정도로 말할 수 있다. 지문인식이나 도즈(doze), USB-C 등이 새롭긴 하지만 혁신적이진 않다. 물론 구글 참고용 스마트폰(레퍼런스폰)의 특징이다.

지난달 20일, 잘쓰고 있던 LG G2를 팔아버리고 넥서스5X를 구매했다. 구글 레퍼런스 기기는 벌써 네번째다.  HTC의 넥서스원, LG전자 넥서스4, 에이수스 넥서스7(2013), 그리고 LG전자의 넥서스5X. 사용자들이 레퍼런스 기기를 사는 이유는 여러가지가 있겠지만 내 경우에는 통신사 선탑재(preload) 애플리케이션이 없고, 취향대로 마음껏 커스텀이 가능하다는 점이 가장 컸다. 최신 사양이 아니라는 점은 오히려 강점이다. 그만큼 저렴한 가격 책정이 가능하니까.

넥서스5X는 전작 넥서스5의 뒤를 잇는 구글의 핵심 레퍼런스폰이다. 핵심 레퍼런스인 이유는 넥서스 시리즈의 아이덴티티가 담긴 ‘X’가 붙어있기 때문이다. 실제 넥서스 시리즈의 박스를 살펴보면 X’가 형상화돼 있다.
사용자 삽입 이미지

이 제품의 사양을 살펴보면 우선 애플리케이션프로세서(AP)로 퀄컴 스냅드래곤 808 MSM8992를 채택했다. ARM Cortex-A57 듀얼코어 CPU, ARM Cortex-A53 쿼드코어 CPU에 빅리틀(big.LITTLE)을 적용한 헥사코어 프로세서다. 여기에 그래픽은 퀄컴 아드레노 418, 램은 LPDDR3 2GB가 들어갔다. 내장메모리는 16GB와 32GB로 나뉜다.

디스플레이는 5.2인치 고화질(풀HD, 1080*1920) 액정표시장치(LCD)를 탑재했다.  후면카메라는 1200만 화소를 지닌 소니의 엑스모어 이미지센서(1/2.3인치)가 쓰였다. 앞서 언급한것처럼 에어리어 방식의 지문인식 모듈이 탑재됐다. 입출력 단자로는 USB-C를 채택했다.
사용자 삽입 이미지

◆LG G4와 비슷한 사양, 그런데도 왜 이렇게 느릴까?

넥서스5X의 사양만 본다면 최신 스마트폰과 견주어도 크게 뒤지지 않는다. 성능평가(벤치마크) 애플리케이션 ‘긱벤치3(GeekBench3)’로 측정한 넥서스5X의 싱글코어 점수는 1220, 멀티코어는 3400 정도로 나타났다.

그럼에도 불구하고 실제 사용시에는 이전에 쓰던 LG G2보다 느리다는 느낌을 버릴 수가 없었다. 일각에서는 마시멜로부터 무조건 적용된 암호화(encryption)때문이라는 추측도 내놨으나, 암호화를 해제한 뒤에도 버벅거리는 느낌은 지울수가 없었다. 특히 일부 개발사에서 만든 앱들은 제대로 사용이 불가능할 정도로 느린 구동을 보여줬다. 이는 안드로이드 마시멜로를 제대로 지원하지 않기 때문이라 추정을 해본다.
사용자 삽입 이미지

이러한 불편함은 사진 촬영에서 극대화된다. 어두운 곳에서 사진을 찍을 때 셔터를 눌러도 사진이 바로 찍히지 않는다. 광학식 손떨림방지(OIS)가 없다보니 소프트웨어로 이를 처리하는 과정에서 이미지 프로세서에 과부하가 걸린 것으로 보인다. 여기다 HDR+를 적용하면 저장되는 시간은 더 오래 걸린다. 이미지센서가 커져도 이미지 프로세서가 이를 받쳐주지 못하는 안타까운 사례다.

◆훌륭한 지문인식

넥서스5X에서 빼놓을 수 없는 신기능은 바로 지문인식이다. ‘넥서스 임프린트(Nexus Imprint)’라는 기능으로 탑재된 지문인식 모듈은 에어리어 방식을 채택해 엄청난 인식속도를 자랑한다. 다만 지문인식 모듈의 위치가 스마트폰 후면에 있어 사용자들 사이에선 호불호가 갈리고 있다. 애플과 삼성전자의 경우 전면 홈버튼에 지문인식 모듈을 넣었기 때문이다.

후면에 지문인식 모듈이 있다보니 스마트폰을 책상 등에 놓아뒀을 때 사용하기가 불편하다. 무조건 스마트폰을 들어서 확인해야 한다. 다만 지문인식 모듈에 갖다대기만 하면 화면이 켜지고 잠금이 해제되는 방식이라 그나마 편리하다.
사용자 삽입 이미지

◆USB-C, 고속충전은 가능해졌지만…

넥서스5X를 구입한 대부분의 사람들은 제품을 개봉하면서 깜짝 놀랬을 것이다. 너무나 단촐한 구성은 둘째치고, USB 케이블이 USB-C to USB-C이기 때문일 것이다. 현재 USB-C 단자를 채용한 PC는 거의 없기 때문에 PC와 넥서스5X를 연결하기 위해서는 반드시 별도의 A-C 케이블이나, 어댑터가 필요한 상황.

하지만 USB-C를 채용해 좋은 부분도 있다. 방향에 상관없이 꽂을 수 있다는 점은 기본이고, 고속충전이 가능해졌다. 넥서스5X와 함께 제공되는 충전기는 15W의 출력을 갖췄는데, 이를 사용하면 고속충전이 된다. USB-C 단자의 전력을 측정할 수 있는 멀티미터가 없어 정확히 측정해보진 못했으나, 일반충전 속도의 약 2배 정도로 보인다. 주문한 멀티미터가 오면 C-C, A-C에 대한 충전량에 대해 다시 한번 기사를 작성할 계획이다.
사용자 삽입 이미지

◆낮잠(doze) 기능의 효용은

낮잠 기능은 안드로이드 마시멜로부터 탑재된 배터리 최적화 기술이다. 일정 시간 반응이 없을 경우 스마트폰이 낮잠을 자게 된다. 낮잠 기능이 활성화되면 네트워크 차단, 백그라운드 작업 차단, 무선랜 검색 차단 등 대부분의 네트워크 작업이 중단된다.

알람이나 음악 등은 낮잠 모드에 들어가더라도 정상적으로 작동되며, 구글 GCM(Google Cloud Message)을 사용하는 앱의 경우 푸시를 받을 경우에만 네트워크가 다시 붙게 된다. GCM 푸시를 받으면 네트워크를 사용하는 모든 앱들이 상태를 갱신하고 사용자에게 알려준다. 과거와 달리 스마트폰을 깨우는 빈도가 줄어들게 되므로 그만큼 배터리를 절약할 수 있다.

다만, 앞서 언급한 것처럼 ‘일정 시간 반응이 없을 경우’는 말그대로 가만히 두는 것을 뜻한다. 스마트폰을 움직이면 낮잠 모드는 해제된다. 즉, 대기전력을 줄이는 기능으로 이해하는 것이 옳다.
2015/11/09 06:00 2015/11/09 06:00
한국후지필름은 지난달 23일 즉석카메라 신제품 ‘인스탁스 미니70’을 23일 출시했다.

신제품은 옐로, 블루, 화이트 등 3가지 컬러로 출시된다. 전작 대비 크기와 무게를 줄였으며, 셀피(셀프카메라)모드와 자동노출조절 모드 등 새로운 촬영 기능을 담았다.

‘인스탁스 미니70’의 대표적인 기능은 셀피 모드가 대표적이다. 적절한 밝기와 촬영 거리를 자동으로 설정해 인물과 배경을 동시에 잡아낸다. 가격은 15만9000원이다.

제품사양은 다은과 같다. ▲초점거리 : 0.3m~무한대 ▲셔터스피드 : 1/3~1/400초 ▲플래시 : 0.3m~2.7m 발광이 가능한 내장식 플래시 ▲배터리 : 리튬 배터리(CR2) 2개 ▲크기 및 무게 : 113.4*99.2*53.2mm, 281g(필름과 배터리, 스트랩 포함)

보다 자세한 내용과 제품 이미지는 아래 동영상과 사진을 참고하길 바란다.


사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지
사용자 삽입 이미지


11월부터 '딜라이트닷넷 - 이민형 기자의 인터넷 일상다반사'를 통해 정보기술(IT) 신제품에 대한 개봉기(언박싱) 영상을 수시로 제공할 계획입니다. 많은 성원 바랍니다. 개봉기를 보고 싶은 제품은 신청해주세요. (이민형 기자 kiku@ddaily.co.kr)

2015/11/03 06:00 2015/11/03 06:00