안드로이드 앱이 iOS 보다 안전하다는 소리에 대한 반박

하도 어이가 없어서 따로 소개하지는 않으려 했으나, 일부 수준 떨어지는 곳에서 이 내용을 다루면서 '그렇다 카더라.' 상당히 무책임하면서도 무식한 소리로 일방적인 주장을 일방적으로 전달하여 따로 다루기로 한다. 이런식의 글은 매우 잘못된 것이다.

기억으로는 신뢰도와 퀄리티가 매우 떨어지며 온갖 잡 소식을 다 전하는 'phonearena'에서 'CSO Online' 을 인용, 'Checkmark'와 AppSec Labs(iOS 보안에 있어서 비주류다.)의 공동 레포트를 받아적었다. 결론부터 말하자면 '미필적고의에 의거한 말 같지도 않은 소리'다. 내용을 정리하면 아래와 같다.

. iOS 앱이 안드로이드 앱 보다 보안에 더 취약하다.

. 공격자가 어플리케이션 기반으로 공격을 할 경우 더 큰 문제가 발생할 수 있다.[1]

. iOS ~ Android 앱들은 평균적으로 9개의 보안 취약점을 갖는다. iOS는 40%, Android는 36%다.

. 생산성 앱, 게임, 쇼핑, 금융 앱, 보안 앱 등 다양한 카테고리의 앱을 수백개 테스트하여 금융 앱을 포함한 주요 앱에서 인증 오류(취약점) 및 데이터 유출을 확인했다.

. 금융 앱의 보안성은 다른 앱 보다 안전하지 않았다. 일반 앱과 비슷한 수준의 보안을 제공한다.

. Chekmark와 AppSec Labs의 주장에 따르면 개인정보 유출이 27%, 인증 및 권한이 23%, 시스템 제어(관리자 권한 획득)가 16% 순으로 문제가 집계됐다.

이같은 문제에 관하여 애플은 앱 개발자(사)들에게 샌드박스를 강제하여 개발자(사)들이 보안 취약점에 대비 할 수 없도록 제한하기 때문이라 설명했다. 아울러, 애플이 사전검열을 하기 때문에 오히려 개발자들이 보안에 관하여 '신경을 쓰지 않는 것'이 이유라 전했다.[2]

우선, 4% 차이를 두고 iOS 앱이 안드로이드 앱 보다 보안상 더 취약하다는 것은 논외로 두기로 하자. 그러나, 이는 분명 미필적고의다.

Chekmark와 AppSec Labs은 '사전검열이 없는 구글 플레이의 단점'을 장점으로 뒤집어 놨다. 현재 구글 플레이에 등록된 앱은 '그냥 셀 수도 없다.' 사전검열이 없음으로 누구든지 자유롭게 앱을 등록할 수 있다. (그렇기에, iOS 탈옥에 Cydia라는 마켓이 따로 있는 반면에 Android 루팅에는 루팅 마켓이 따로 없이 구글 플레이로 통합되어 있다.)

그 셀 수도 없는 앱 중에서 굳이 '수백개'만을 선택적으로 골라낸 제한적 조사는 매우 비논리적이고 비과학적이며 보편성이 결여된 조사 방법이다. [2]iOS 개발자들이 '보안에 신경을 쓰지 않는다.' 또한 Chekmark와 AppSec Labs의 어림 짐작일 뿐 추측에 불과하다.(지인 중 국내 중소기업 개발팀장의 언질을 인용하면 말 같지도 않은 소리다.)

Chekmark와 AppSec Labs는 '이통사, 제조사'가 직접 보안패치를 배포하기에 더 안전하다?는 이상한 논리를 내세웠는데, 이런식은 iOS 또한 개발사(자)가 직접 업데이트를 하면 그 뿐이다. 팩트를 말하자면 이통사, 제조사가 배포한 보안 패치는 안드로이드 보안에 큰 도움이 되질 못한다. 가장 최근의 예를 들자면 Stagefright가 있다. Stagefright v1.0도 해결되지 않고 v2.0까지 나온 마당에, 일부 앱을 근거로 마치 Android가 iOS 보다 더 안전하다는 일부 비주류의 주장을 일방적으로 전달한 것이다.

[1]OS레벨과 어플리케이션 레벨의 보안 차이는 인정한다. 다만, OS레벨이라는 근본적인 문제가 어플리케이션 레벨에 영향을 줄 수 있다. 공격자는 OS레벨로 공격하여 어플리케이션 레벨의 모든 보안을 무력화 시킬 수 있다. 이것도 가장 최근의 대표적인 예를 들면 국정원이 뿌렸다는 의혹의 이탈리아 해킹팀의 갈릴레오로 부터 구매한 RCS 멜웨어다.(현재까지 iOS는 RCS 해킹이 불가하다. 탈옥 후 Cylay 등의 트윅을 써야 한다. 아울러 이런 RCS류의 트윅들은 애플의 패치에 의거 현재 iOS 9에서 호환되질 않는다.)

애플의 아이폰 점유율이 크게 늘어나면서 iOS의 보안도 이제 예전 같지 않다. ← 이것도 팩트다. 당장, 어제 소개한 InstaAgent는 인스타그램 계정 아이디와 패스워드를 의심스러운 서버로 전송했다. 중국에서는 개발자(사)들이 Xcode 다운로드 속도가 느리다는 이유로 바이두를 통해 다운로드 받아 Mach-O object 파일이 패키징되어 iOS와 OS X로 배포된 적이 있다.(이후 애플은 세계 최대 이통시장 미국에 이은 2번째 시장인 중국을 위해 따로 서버를 증설 했다.)

굳이 이런 최근 내용이 아니고라도, 예전부터 'iOS는 보안상 완벽하지 않았다.' '앱 스토어 앱 보다 (인증된)시디아 앱과 트윅이 더 안전하다.' 'iOS도 하이젝킹과 같은 해킹 피해를 입을 수 있다.' '그 어떤 OS도 보안상 완벽할 수는 없다.' 그래서, 과거에도 현재에도 앞으로도 탈옥이 순정보다 잘 알고 쓴다는 전제에서 보안상 더 안정하다 주장해왔다.

안드로이드 또한 '6.0 마쉬멜로우' 부터 보안이 대폭 상향됐다. iOS의 탈옥이 배포되기 까지 꽤 오래 걸리는 반면 루팅의 경우 배포와 동시에 나오고는 했으나, 넥서스5X의 루팅도 꽤 오랜 시간과 복잡한 프로세싱이 필요하고 넥서스6P는 아직 'Bootloader Unlock' 까지다. (다른 마쉬멜로우 지원 넥서스 기기들은 루팅이 가능하다.) 아울러, 안드로이드도 '잘 알고 쓴다는 전제'에서 마냥 보안이 취약한 것도 아니다.

다만, 사실 관계는 명확하게 하자는 것이다. 이 내용은 Chekmark와 AppSec Labs이 일부 앱을 임의로 선정하여 '짜집기'한 데이터라는 인상이 강하다. 또한 OS레벨의 보안과 어플리케이션 레벨의 보안을 규정하지 않았다. 이는 독자로 하여금 잘못된 믿음과 착각을 불러 일으킬 수 있도록 한 미필적고의다. 게다가 애플과 MS가 하지만 구글만 하지 않는 '사전검열'을 오히려 장점으로 뒤집어놨다. 이거야 말로 '개콘' 같은 소리다. 만약, 구글이 멜웨어에 관한 사전 검열만 실시해도 안드로이드 악성 멜웨어가 대폭 줄어들 것이다.

▲ T.B의 SNS 이야기 블로그의 모든 글은 저작권법의 보호를 받습니다. 어떠한 상업적인 이용도 허가하지 않으며, 이용(불펌)허락을 하지 않습니다.

▲ 사전협의 없이 본 콘텐츠(기사, 이미지)의 무단 도용, 전재 및 복제, 배포를 금합니다. 이를 어길 시 민, 형사상 책임을 질 수 있습니다.

▲ 비영리 SNS(트위터, 페이스북 등), 온라인 커뮤니티, 카페 게시판에서는 자유롭게 공유 가능합니다.

T.B의 SNS이야기 소식은 T.B를 팔로윙(@ph_TB) 하시면 실시간으로 트위터를 통해서 제공 받을 수 있습니다.