TCG의 모바일 폰 워크 그룹, 모바일 트러스티드 모듈 스팩 초안 발표
블랙베리나 스마트폰의 데이터를 보호하는 기능은 일반적으로 단말기간 표준화의 부족으로 인해 어려움을 겪어왔으며 이로 인해 기업의 휴대용 단말기 전체에 대해 일관된 보안 수단을 적용하는 것을 불가능하게 만들었다. 트러스티드 컴퓨팅 그룹(TCG; Trusted Computing Group)의 모바일 폰 워크 그룹은 지난 9월 모바일 트러스티드 모듈 스펙 초안을 발표하면서 무선 보안 표준 정립을 위한 본격적인 행보에 돌입했다. 이 스펙은 단말기 제조 업체들과 모바일 소프트웨어 제조 업체, 서비스 사업자들을 위한 보안 청사진을 마련하고 있다.
MMT 스팩 올해 말 확정 예정
모토로라에서 분사된 칩 제조 업체이며 TCG의 멤버인 프리스케일 세미컨덕터(Freescale Semiconductor)의 마크 레드먼 수석 엔지니어는 “모바일 분야에서의 보안 문제는 PC 분야만큼 중요하게 인식되지 않았지만 최근 그 중요성이 높아지고 있으며 관심도도 증가하고 있다”고 말했다.
상당수 모바일 단말기들이 PC와 같은 보안 기능이 필요한 분야로의 진입을 가속화하고 있다. 데이터는 암호화되어야 하며 비밀 번호를 통해 보호되어야 한다. 또한 도난 당할 경우 잠금 장치로 모바일 하드 드라이브 역시 보호되어야 한다. 아이길로트리서치(iGillottResearch)의 아이언 길로트 사장은 “노트북의 도난 및 분실 비율은 연간 10%인데 비해 스마트폰의 30% 정도가 해마다 분실되거나 도난 당하고 있다”면서, “어떤 제품의 휴대성이 강화될 경우 도난 및 분실의 위험성도 높아진다”고 말했다.
MTM(Mobile Trusted Module) 스펙이 올해 말경 최종 완료될 경우 더욱 강력한 보안을 비롯해 데이터 프라이버시를 보장하며 멀웨어에 감염된 모바일 단말기가 기업 네트워크를 감염시킬 위험성이 줄어드는 모바일 단말기 개발 방법이 확산될 전망이다. 이러한 보안 기능은 비자와 마스터 카드 등 판매 지점에서 RF 칩을 통해 지불 결제가 가능한 모바일 단말기의 보급을 원하는 업종에서 환영을 받게 될 것이다.
MTM 초안 스펙은 휴대폰이나 PDA에 내장된 보안 빌딩 블록을 제공하는데 필요한 코어 프레임워크와 명령 및 제어 스펙을 제공하도록 개발되었다. 또한 이 초안은 가입자 ID 모듈과 범용 IC 카드 등 기존의 휴대폰 콤포넌트를 비롯해 3GPP, OMA, OMTP, MIPIA 등 업계 표준화 기구의 스펙을 보완하도록 개발되었다.
블랙베리 제조 업체인 리서치인모션(RIM)의 글로벌 보안 그룹 담당 이사인 스콧 토체는 “블랙베리나 휴대폰을 분실한 사람들의 얘기가 많이 들리곤 한다”면서, “이러한 상황을 대비해 모든 데이터에 대한 암호화가 필요하다”고 밝혔다.
RIM은 비록 TCG에 가입해있지는 않지만 상당수 MTM 스펙이 블랙베리 보안 모델에 이미 구현되어 있는 상태이다. RIM은 블랙베리 단말기에 로컬로 저장되어 있는 데이터를 보호하기 위해 컨텐트 프로텍트(Content Protect)를 2년 넘게 제공해오고 있다. 또한 지난 5년 동안, RIM은 분실되거나 도난 당한 단말기를 원격으로 차단할 수 있게 해주는 툴을 관리자에게 제공하고 있다.
MMT 탐재 단말기 2008년 초 등장 전망
TCG의 TPM 스펙을 토대로 한 보안 애플리케이션을 제공하고 있는 웨이브 시스템즈(Wave Systems)의 사업 개발 총괄 부사장인 라크 앨런은 무선 단말기 제조 업체 모두가 자체 보안 접근 방법을 갖고 있으며 표준화되지 못하고 있다고 지적했다. 그는 “이는 무선 서비스 사업자들이 단말기에 따라 서로 다른 보안 인프라를 지원해야 한다는 것을 의미한다”고 말했다.
무선 단말기가 전화 통화를 하거나 이메일을 교환하는 등 단순한 영역에서 벗어나 포괄적인 데이터 서비스 분야에서 사용되고 있는 상황임을 감안해볼 때 이러한 표준 미비는 이상적인 상황과 거리가 멀다. 앨런은 “휴대폰은 통신 수단에서 벗어나 웹 검색 등 개방형 플랫폼으로 진화하고 있다”고 말했다. 이러한 단말기들이 보다 다양한 분야로 진출함에 따라 보호되어야 하는 정보도 많아지고 있다. 웹 검색 등의 기능은 다양한 멀웨어나 네트워크 기반의 공격에 취약점을 드러내고 있는 것이다.
절도범들은 훔친 단말기의 ID를 바꿀 수 있는데, 모든 단말기의 고유 번호이며 배터리 뒤편에 적혀있는 IMEI(International Mobile Equipment Identity)에 연결된 보안이 취약한 편이기 때문이다. 이러한 번호는 사용자가 도난 당한 모바일 기기의 사용 중단을 원할 때 사업자들에게 전송된다. MTM의 목표 중의 하나는 절도범들이 도난 단말기에 새로운 번호를 할당하지 못하도록 하는 것이다.
TCG는 보안의 최적 구현 방안은 TPM 스펙에서 규정한 바와 같이 하드웨어 레벨에서 이루어져 모바일 하드웨어와 소프트웨어에 대한 표준을 구현해야 한다고 주장하고 있다. 델이나 HP 등 PC 제조 업체들은 PC의 하드 드라이브 밖에서 데이터를 안전하게 저장하는데 사용되는 마이크로컨트롤러를 포함해 TPM 스펙을 지원하고 있다.
길로트는 “MTM 스펙의 등장으로 표준화가 한층 가속화 단계에 접어들었지만 기업들이 모바일 보안 정책을 보유하지 않거나 수립하지 않는다면 아무 소용이 없다”면서, “스마트폰 사용자들을 위한 모바일 VPN도 있으며 이메일 확인을 위해 트레오(Treo)를 사용할 경우 모바일 VPN을 통해 접속할 수도 있다”고 지적했다.
MTM 스펙의 강점 중의 하나는 단말기 업체의 대표 주자인 모토로라와 노키아, 삼성 등이 참여하고 있으며 프로세스 분야에서는 인텔이 합류하고 있다는 것이다. 길로트는 “이러한 업체들의 지원에 따라 다른 벤더들 역시 속속 합류할 것으로 전망된다”고 밝혔다. MTM이 탑재된 단말기가 내년 말이나 2008년 초에는 등장하기 시작할 것으로 전망됨에 따라 단말기 교체 주기를 15개월로 볼 경우 두 번째 교체 주기에서는 MTM 단말기를 사용자들이 구매하게 될 것이다.
아이길로트리서치는 지난해 출시된 스마트폰이 5,100만대에 이르는 것으로 추산하고 있는데, 전체 휴대 단말기 중 차지하고 있는 비중이 6%에 불과하지만 2010년에 이르면 전체 모바일 단말기 출시 대수의 21%를 차지할 것으로 전망된다.
이러한 단말기가 기업에서 사용될 경우 해당 단말기의 보안 기능은 더욱 향상되어 있음을 알게 될 것이다.
InformationWeek Larry Greenemeier
무선 보안의 필요성
단말기의 보안과 관련된 이슈
1. 분실되기 싶다.
2. 웹으로의 액세스가 허용됨에 따라 멀웨어의 감염 가능성이 높다
3. 다양한 플랫폼을 토대로 한 다양한 운영 체제로 인해 단말기 보안을 중앙에서 관리하기가 어렵다
4. 사용자에 대한 무선 단말기 보안 정책을 수립해놓은 기업들이 별로 없다
5. 안전한 모바일 VPN을 통해 원격으로 접속하라는 등의 무선 단말기 보안 정책을 집행하고 있는 곳이 드물다