모바일이라 댓글 수정이 어려워서 지웠다가 다시 썼습니다. (죄송;;)

^^ 스마트폰 시장 전체 이익 중에 애플이 94%, 섬상이 7%를 가져간다고 합니다. 섬상이 애플보다 더 많은 전화기를 판다는 사실을 생각해보면.. 현실을 쉽게 볼 수 있죠. 재미있는 것은 합이 이미 100%를 넘었다는 겁니다. ㄷㄷㄷ

맞아요 정문은 잘 잠궈 두었죠. 문제는 정문 이외의 곳이 어떻게 되어있는지 전혀 공개를 하지 않는다는 겁니다. 그러면 뭔가 크게 문제가 있어도 스브적 혼자 고칠 수 있으니까 좋지 않냐 싶지만, 그게 아니라는 것이죠. 실제로, iOS/MacOS가 각종 attack에 취약하다는 것이 핵킹 전문가/대회 들의 공통된 의견이고요.

 문제는 그 정문 이외의 곳을 뚫을만한 곳이 안보인다는 것이죠. 그래서 대부분의 정보기구(국정원 아님!)들이 정보가 많이 공개되어 있고 수정의 여지가 많은 안드로이드를 주 공격 대상으로 삼는다는 거죠. 한국에서 괜히 국정원과 방통위가 애플의 매출증대에 도움을 주었다고 칭찬(?)받는 게 아니랍니다. 정부나 용역 업체들도 시간과 노력이 필요한 애플보다는 만만한 안드로이드를 먼저 때려잡아서 실적을 내자는 생각일 겁니다.

소스코드가 있는 안드로이드가 들여다보고 손보기 좋지요. 당장은 해커들에게도 유리하다고 할 수 있지만, 업데이트를 제대로 한다면 그런 쉬운 구멍들은 재빨리 막혀지는 것이랍니다. 그래서 근본적으로 오픈 시스템이 더 강할 수 밖에 없다는 얘기를 하는 것이고요. 뚫을 만한 곳이 안 보인다는 것은 정문만 보고 있는 사람들 얘기고요. 뒷문이 어디 있는지는 어둠의 세계에 물어보거나 그 경계선 에서 일하는 분들께 물어봐야 하는데 그 분들 얘기는 구멍이 숭숭 뚫려있다고 합니다.

 그런데 왜 국정원은 아이폰은 공격하지 않고 안드로이드폰만 집중적으로 공략했을까요? 대부분의 사람들이 안드로이드폰을 써서일까요? 대다수의 경우는 그렇겠지만, 상대적으로 돈이 많고 여유가 있는 사람일수록 아이폰을 많이 사용하는데, 왜 국정원은 안드로이드폰만 대상으로 했고 아이폰 해킹에 많은 곤란을 겪었을까요? 국정원이 의뢰했던 이탈리아 업체도 이것에 대해서 논의했더라구요. 정보기관들과 일하는 업체들은 주로 최고들이고 돈이라면 물불을 안가리는 사람들일겁니다.

 어둠의 사도들(Dark angels in deep web)이라면 몰라도 일반적인 정부기관이 하는 해킹기술력으로는 아직 아이폰을 뚫지 못했다는 것이 아닐까 싶습니다. 얼마전 회의를 하는데, 2명 빼고는 모두 아이폰을 쓰더군요. 국정원의 제1 해킹 대상이 갤럭시S 시리즈인 것이 알려진 이후로는 아이폰으로 바꾸고 있는 중입니다. 저도 그렇구요.

섬상이랑 국정원은 한 통속이기 때문에, 국내에서는 섬상 전화기 쓰면 어떠한 보안을 하더라도 OS자체가 볼 수 있는 내용은 국정원에 한 카피 바치는 것이랑 똑같을 겁니다. 따라서 섬상 전화기를 쓴다면 사람 사는 세상이 오기 전까지는 국정원에 보여주고 싶은 내용만 전화기에 담아야 겠죠. 당연히 전화기를 통해서는 새누리당을 찬양하는 글만 쓰고요.

과일 회사 전화기에서 가장 흔한 보안 문제는 앱을 통하거나 웹사이트를 통한 공격입니다. 말씀드린 것처럼 앞문은 잘 막혀있으니까요. 이 쪽은 사용자 측에서 막을 방법이란게, 앱을 하나도 깔지 말고 웹사이트도 방문하지 않아야 합니다. 멀쩡해 보이는 웹사이트 만으로 문제가 생기는 것이 현실이니까요. 즉 과일사 전화기를 일반 피처폰처럼 쓰라는 얘기인데.. 아햏햏 하죠. 안드로이드 폰은 괜찮으냐.. 제조사 나름이겠죠.

음... 제 생각은 좀 다른데요.

어차피 뒤에서 뚫리는 건 어느 OS건, 어떤 아키텍처건 다 있습니다. 버그거든요.

일전에 이슈가 되었던 해킹팀의 공격도구에서도 그 동안 공개되지 않았던 iOS 취약점이 몇개 나왔죠.

요즘의 추세는 뚫릴 수 있는걸 감안하고, 대신에 뚫어봐야 아무것도 할 수 없도록 만드는겁니다.

iOS는 상당히 예전부터 앱 레벨에서 뚫려봐야 아무것도 할 수 없는 구조로 만들어왔고,

안드로이드는 그런 경우에 대한 대비가 미약하다가, 4.3에서 SELinux 기반의 SE for Android를 탑재하면서 앱 차원에서 뚫어봐야 아무것도 할 수 없는 것의 초석을 다졌죠.

이것도 rule을 잘 셋팅해서 넣어야 하는데, 문제는 그것도 메이저급 회사들이나 신경쓰지, 잔챙이들은 그런거 신경 쓸 여력이 없다는겁니다...;; 삼성정도 되면, 그 rule 셋팅만 전담하는 사람들이 따로 있지만요.

오픈소스는 누구나 내부를 볼 수 있기 때문에 더 안전하다...는 것도 이미 회의론이 돈지 오래죠.

Linux 커널만 해도 "아니, 왜 이게 이제야 발견된거지???"라고 하는 security flaw가 종종 발견되고,

몇년전의 OpenSSL Heartbleed 사건은 여기에 결정적인 한방을 날렸죠. 리포팅 된지 3년이나 된 문제점이 안 고쳐지고 있더라는...

모바일 디바이스를 뚫는데 있어서 가장 큰 장벽이 되는 secure boot,

iOS 디바이스는 이를 무조건 강제하고 있고 우회하기가 아주 어렵죠.

iOS 버전이 올라갈 수록 탈옥툴이 나오기까지의 기간이 크게 늘어나고 있는 것이 이를 잘 설명해주고 있구요.

반면에 안드로이드 디바이스들은 이를 강제하고 있지 않지요.

bootloader만 잠궈버려도 가능한데, 자율성을 준다는 이유 하나로 다 열어놓고 있는거죠.

iOS의 security가 무조건 완벽하다!고는 아무도 말 못하고, 무조건 안전하다고는 말할 수 없지만,

현존 스마트폰 제품들 중에서는 가장 잘 만들어진 security architecture를 갖고 있는건 사실이며,

잘 만들고 잘 유지되고 있는 안드로이드 디바이스들이 아주 잘 해야 iOS 디바이스랑 비슷한 수준의 security를 갖춘다는 면에서 그나마 현재까지는 iOS 디바이스들이 제일 안전한 편이라고 생각합니다.

결국은 도찐개찐이 맞고, OS가 해주는거 믿지 말자는게 정답입니다. ^^

사과폰을 쓰면서 난데없이 아무때나 툭툭 튀어나오는 광고창 (아직은 남 부끄러운 광고는 못 보았습니다만)을 겪어보신다면 얘기가 좀 달라지실 겁니다. 남의 사과폰 뒷문 들락거리는 것들 생각외로 많습니다.

그동안, 사과사의 유혹을 견디기 힘드셨을텐데 대단합니다 ^^;; 

사과사의 아이폰이 나올때는 Palm OS기기를 썼으니 그러려니였고 그전에야 뭐 IBM으로 통일 안드로이드 나올떄는 그냥 타블렛으로 모든걸 통일해 버렸으니까요. ^^;

맞습니다. 제가 좀 너무 나간듯 합니다. ㅠㅜ

컴퓨터/넷트웍 보안 교과서에서 가르치는 가장 중요한 것 중 하나가,

"Obscurity isn't a security"

입니다. 제 글의 근거는 그 회사가 이 가장 중요한 기본을 하지 않기 때문에 그 회사의 '보안성' 자체를 신뢰하는 것은 무리가 있고 따라서, 그 회사가 가장 보안이 좋다고 믿는 것이 맞지 않다는 것입니다. 이건 구글만 해보시면 금방 알 수 있고, 관심이 있으시면 책을 보시면 됩니다.

더구나 그 회사가 알려진 보안 문제를 해결하는 방법에도 문제가 많습니다. 예를 들면 그 회사 제품을 사용하다 보면 이상한 팝업 광고가 마구 뜨는 경우가 있는데, 당연히 보안 문제에서 발생하는 것이고, 어딘가가 뚫렸는데, 해결책은 다음 OS업그레이드 할때까지 기다려야 합니다. 공초를 하면 해결이 될까요 ?

"내가 싫다".. 좋은 지적입니다. 저는 개인적으로 과일사 제품을 싫어하지는 않습니다. 엔지니어링 측면에서 상당히 잘 만든 제품들이라 배울게 참 많은 회사입니다. 그렇지만 그 회사 제품을 근거없이 찬양하는 것을 극히 싫어합니다. 물론 개인적인 견해입니다.

어느쪽이 강하다고 단언은 할 수 없습니다. 많은 분들이 지적하신 바와 같이 안드로이드 계열에도 심각한 문제가 많고요, 또 대부분의 안드로이드 전화기 제조사쪽이 과일사만큼 돈이 없는 관계로 그만큼 인력을 쏟아부을 수 있는 처지도 아닌 것도 사실입니다. 또 제가 말씀드린 것처럼 제조사의 '도덕성'이 제일 중요한데, 사실 수많은 안드로이드 제조사의 도덕성이 과일사 발끝도 못 따라가는 것도 사실입니다. (과일사의 도덕성 역시 지하로 파고드는 만큼 도찐개찐이라고 할 수는 있지만 그 깊이가 수킬로미터냐 수십킬로미터냐도 따져볼 수 있죠)

FBI가 애플에게 마스터키를 요청하지는 않은 것으로 압니다. (최근에 요청을 바꾸었나요 ? 사실 FBI가 처음에 요구한 것만 애플이 들어준다면 마스터키 없이도 해킹이 가능하니까요 -- 그 전화기에 한해서 말입니다)

그나저나 저는 중소업체 (예, LG)를 지지하는 글이 올라오는 것에 대해서 개인적으로는 감정이 전혀 없습니다. 그들의 제품에 약점이 있더라도, 그들은 과일사만한 돈이 없거든요. G사는 충분한 돈이 있는데 그만한 투자를 않고 있다 라는 욕을 먹을 수 있습니다만, 보안 이란게, 한군데만 뚫리면 뚫리는 것이라 OS가 잘하면 도움은 크게 되지만, 그게 전부는 아니죠. (이 말은 iOS에도 그대로 적용이 되고, 말씀드린 것처럼 앞문은 iOS도 잘 막아두었고 어쩌면 기존 최신 OS를 비교하면 제일 나을 수도 있습니다. 그렇지만 보안은 언제나 앞문이 문제가 되는게 아니라 뒷문이 문제가 되죠. 앞문도 없는 경우엔 말할 필요도 없습니다만)

과일사 전화기를 탈옥하는데, OS버전이 높아질 수록 힘들어지는 것이 물론 보안 패치때문이기는 하겠습니다만, 그게 정말 전반적인 보안 레벨을 높여서인지 아니면 알려진 탈옥 방법만 달랑 막고 넘어가는 것인지는 알 방법이 없습니다. 말씀드린 것처럼 모든게 밀실이거든요. 과일사의 보안패치는 언제나 OS 자체를 업그레이드 하는 것이라, 수많은 다른 것들이 따라오는 경우가 보통이고, 그 '부작용'때문에 많은 사람들이 실제로 핵킹이 되어서 문제가 생긴 기기를 그냥 사용하는 경우도 많습니다. 심각하죠.

그 심각한 문제인 OS 업그레이드도 안 내놓는 제조사도 많지 않냐. 맞습니다. 그렇지만 그들은 태반이 못 내놓는 겁니다. 과일사는 못 내놓는다는 핑계를 내기가 매우 궁색한 회사고요.