구글 "北위협 韓특수성 공감…클라우드·IoT 전체 보호해야"

유진 리더만 구글 모바일 보안 전략 담당 이사, 안드로이드 이용자 보호 핵심 전략 브리핑

유진 리더만 구글 모바일 보안 전략 담당 이사 [사진=구글코리아]

스마트폰과 IP카메라를 비롯한 디지털 기기 수백억개가 인터넷에 연결되는 사물인터넷(IoT) 시대가 도래했다. 이제 전 세계 개인·기업 이용자를 사이버 위협에서 지키려면 모바일 기기를 넘어 모든 IoT 기기와 이에 연결되는 클라우드 서비스 환경을 함께 보호해야 한다. 스마트폰 운영체제(OS) 시장 점유율 1위 ‘안드로이드’의 보안을 책임지는 구글 전문가의 조언이다.

유진 리더만 구글 모바일 보안 전략 담당 이사는 22일 서울 역삼 구글코리아 사무실에서 아주경제와 인터뷰하면서 안드로이드 생태계 전반의 보안 수준을 강화하기 위한 방안을 제시했다. 그는 “안드로이드 폰이 있고, 여기에 설치되는 앱이 있고, 배포된 앱으로 IoT 서비스를 제공하는 클라우드가 있다”며 “이렇게 안드로이드를 인터넷에 연결된 기기(connected device) 관점으로 바라보고 (특정 기기 보안을 넘어서) 전체 이용 환경 기반을 충실하게 보호하는 것이 중요하다”고 설명했다.

전 세계 범죄자들이 구글의 안드로이드 OS와 이에 연결된 다양한 온라인 서비스를 공격하거나 디지털 기기 이용자에게 직접 악성 링크와 파일 실행을 유도하는 이메일, 악성 문자메시지(SMS)를 보내고 있다. 사이버 보안에 깊게 주의하지 못하는 대다수 이용자는 자칫 방심하면 해커가 보낸 메시지에서 악성코드를 내려받고 자신도 모르는 사이 물질적·정신적 피해를 입게 된다. 러시아나 북한과 같은 국가의 지원을 받고 활동하는 해커 집단에 우크라이나나 한국의 공무원·민간인이 기밀 유출 또는 사이버 침입 공격의 통로가 될 수도 있다.

한국 안드로이드 이용자를 보호하기 위해 추가로 고려하는 요소가 있느냐고 묻자, 리더만 이사는 “(상시 북한 해커의 위협에 놓여 있는) 한국에 대해 구체적인 사항까지 밝히기는 어렵지만, 제가 (러시아 침공을 받고 전쟁에 휘말린) 우크라이나 태생이어서 개인적으로 한국의 특수한 상황에 대해 공감할 수 있다”고 말했다. 그는 “구글은 우크라이나 정부와 파트너십을 통해 러시아의 미사일 공격 등이 전개되거나 할 때 직접 안드로이드 기기로 경보를 보내는 등 이용자가 좀 더 안전하게 보호받을 수 있도록 하고 있다”고 언급했다.

리더만 이사는 “안드로이드 이용자들이 어떤 기기를 쓰든 강력한 보안을 제공하는 것이 우리의 목적”이라며 “우리 전략은 △하드웨어부터 OS, 네트워크, 앱과 서비스까지 여러 층에 걸쳐 이용자 보호 수단과 정보보안 기술을 중첩하는 ‘계층적 보안’ 방법론 △새로운 기능과 분기별 투명성 보고서 발표, 연구 기관과 협업 등 사이버 보안 커뮤니티 활동과 ‘투명성·개방성’ 원칙 △구글 제품 보안취약점 악용 행위를 막는 ‘남용방지기술(Counter-Abuse Technology)팀’이나 인공지능(AI)·머신러닝을 다루는 부서 등 여러 사내 전문가, 외부 파트너와 생태계 강화를 위해 협력하고 있다”고 설명했다.

그는 이처럼 세 가지 축으로 이뤄진 구글의 안드로이드 이용자 보호 전략에 더해 PC와 모바일용 크롬 브라우저로 안전한 웹서핑을 돕는 ‘향상된 보호(enhanced protection)’ 기능과 안드로이드 기기에 플레이스토어 외의 앱 설치 차단 등 부가 보안 정책을 적용하는 ‘고급 보호 프로그램(advanced protection program)’ 등을 통해 안드로이드 이용자 보호 수준을 강화할 수 있다고 덧붙였다. 예를 들어 구글 계정의 ‘이중요소인증(2FA)’을 필수로 적용하는 등 기본 보안 설정에 ‘잠금’을 걸고 이용자 모르게 스스로 보안 수준을 낮추는 일을 막을 수 있다.

많은 사이버 공격이 생산된지 오래 됐거나 이용자가 관리하지 않아 보안 수준이 떨어지는 IoT 기기를 거쳐 실행되고 있다. 현실에선 제조사가 최신 보안 기술을 탑재한 IoT 제품을 만들고 이용자가 적극적으로 기기 보안을 관리하게 할 동기가 부족한 실정이다. 이에 대해 리더만 이사는 “47개국이 보안 업데이트를 일정기간 보장하고 이용자가 이를 쉽게 적용하도록 만드는 IoT 사이버보안 관련 규제를 마련해 제도화하고 있는데, 세부 요구사항이 나라마다 달라 제조사에게 부담이 있는 것이 사실”이라며 “국가간 이해 관계를 조율해 글로벌 표준을 정립하는 게 바람직하다고 본다”고 말했다.

그는 “이용자 스스로도 지속가능성을 중시한다면 보안 업데이트를 오래 받을 수 있는 기기를 오랫동안 쓰고, 아니면 (기기 교체 주기가 짧다면) 좀 더 최신 보안 기술을 제공하는 기기를 선택하는 게 좋겠다”고 권했다. 그는 또 “구글 차원에서는 이용자가 최대한 쉽게 보안 업데이트를 적용할 수 있도록 ‘시큐리티 불레틴’ 보안 공지를 통해 정보를 제공하고 퍼스트 파티 제품 보안 업데이트를 몇 년 이상 보장하고 있으며 IoT 보안을 위한 산업 표준을 준수하고 있다”고 강조했다.
 

유진 리더만 구글 모바일 보안 전략 담당 이사 [사진=구글코리아]