3. 스마트폰 자체의 보안

1. 스마트폰이 초래한 보안 위협

스마트폰이 초래한 보안 위협에 대한 전반적인 내용은 2015년 디지털 보안 가이드의 <휴대전화와 관련된 보안 이슈>를 참고하세요.

2. 안드로이드 보안 설정

안드로이드(Android) 스마트폰은 제조사마다 구체적인 내용이 조금씩 다릅니다. 큰 틀은 Google에서 설계하고 공급하지만 실제 스마트폰에 맞춰서 제조사마다 일부 변형을 가하기 때문입니다. 따라서 아래 내용 중 일부는 스마트폰 제조사에 따라서는 적용하기 어려운 것도 있습니다.

SIM(USIM) 카드 잠금 설정

SIM Swapping(심 스와핑) 등 다른 사람의 휴대전화번호로 전달되었어야 하는 정보를 제3의 기기에 전송받는 보안 위협이 급증하고 있습니다. 이 중에는 남의 휴대폰에서 SIM(USIM)을 몰래 꺼내 다른 스마트폰에 집어넣는 방식도 활개를 치고 있습니다. 이러한 방식에 대응하기 위해서는 SIM 칩 자체에 비밀번호를 설정해야 합니다. 이를 SIM 카드 잠금 설정이라고 합니다. 기본적으로는 설정되어 있지 않고, 설정 이후부터는 휴대전화를 켤 때마다 패턴 등에 더하여 추가로 SIM 비밀번호를 입력해야 하는 불편함이 생기지만 익숙해 질 수 있는 문제이니 필수적으로 설정하세요. 설정 이후에는 누군가 스마트폰에서 몰래 내 SIM(USIM)을 꺼내 다른 스마트폰에 집어넣어도, 전원을 켰을 때 해당 SIM에 설정된 비밀번호(PIN)를 모르면 USIM을 사용할 수 없습니다.

[설정] → [보안 및 개인정보 보호] → [기타 보안 설정] → [SIM 카드 잠금 설정] → [USIM 카드 잠금 설정]에서 설정합니다.

화면 잠금 설정

[설정] → [보안 및 개인정보 보호] → [화면 잠금]에 있는 화면 잠금(Screen Lock)은 아예 설정하지 않으면 위험합니다. 화면 잠금 설정이 되어 있어야 최소한의 안드로이드 보안이 작동한다는 점에 유의하세요. PIN, 패턴, 비밀번호 중 적당한 것으로 설정해야 합니다. 단, 패턴의 경우 최근에는 스마트폰 화면에 남아있는 지문 흔적을 보고 알아내는 사례가 있으므로 주의해야 합니다. 또한 너무 길지 않은 시간으로 화면 자동 잠금 시간도 설정합니다.

보안 폴더 사용

삼성 등 특정 스마트폰 제조사는 ‘보안 폴더’ 등의 형태로 몇 가지 앱이나 폴더에 대해 추가적인 암호화를 지원합니다. 스마트폰의 화면 잠금을 풀어도 개별 앱에 대해서는 추가적인 암호를 입력해야만 접근할 수 있기 때문에, 기기를 분실하거나 기기의 화면 잠금이 풀리더라도 특정 앱, 특정 폴더의 내용은 추가적인 암호를 빼앗기기 전까지는 상대적으로 안전할 수 있습니다.

안드로이드의 경우 스마트폰 제조사마다 이러한 기능의 명칭과 동작 방식이 조금씩 다르기 때문에, 구체적인 사항은 스마트폰 제조사의 공식 매뉴얼을 참고하세요.

네트워크 설정

애플과 마찬가지로 구글에서도 본격적으로 안드로이드 기기의 근처에 있는 다른 기기의 블루투스 정보를 사용하여 분실된 기기의 위치를 찾아주는 기술을 도입하였습니다. 이는 내 기기나 내 주변에 있는 기기들에 대한 블루투스 정보가 구글에 의해 대규모로 수집될 수 있음을 뜻합니다. 이러한 정보가 수집되는 것을 거부하고 정보 수집에 쓰일 만한 기능을 비활성화하고자 한다면, 다음과 같은 절차를 따르세요.

와이파이, 블루투스 등은 사용하지 않을 때에는 꺼 두세요. 또한 ‘테더링 및 휴대용 핫스팟’도 사용하지 않을 때에는 꺼 두세요. 대체로 [설정] → [무선 및 네트워크] → [더 보기] → [테더링 및 휴대용 핫스팟]에서 비활성화할 수 있습니다.

위치 설정

안드로이드에는 구글에서 위치 정보를 지속적으로 수집하여 동선을 기록할 수 있도록 하는 Timeline이라는 기능이 내장되어 있습니다. 이러한 기능을 활성화하면 나의 동선을 기록한다는 것을 빌미로 나의 위치 정보가 그대로 Google 등의 회사로 지속적으로 전달되어 위치 추적의 위험을 늘리게 됩니다. GPS와의 통신 때문에 배터리 소모 또한 늘어납니다. 따라서 위치 추적 등의 위협을 피해야만 하는 상황에서는 반드시 GPS를 끄도록 합니다.

대체로 [위치 서비스] → [무선 및 GPS 위치], 혹은 [설정] → [개인 설정] → [위치] → [모바일 데이터]에서 비활성화할 수 있습니다.

소프트웨어 업데이트

스마트폰의 운영체제와 스마트폰에 설치된 앱들은 지속적으로 공격 대상이 되며, 따라서 새로운 보안 취약점이 발견될 때 이에 대한 업데이트가 이뤄지기 마련입니다. 따라서 스마트폰 운영체제 자체의 업데이트, 설치된 앱의 업데이트가 있다면 안전성을 확인하고 설치하도록 합니다.

디지털 보안을 위한 안드로이드 앱

아래 목록은 2015 디지털 보안 가이드북의 안드로이드 앱 중 일부를 발췌한 것입니다.

  • Orbot : 토르(Tor) 네트워크를 사용하여 스마트폰 내의 네트워크 활동의 익명성을 증가시키도록 설계된 앱입니다.
  • Tor Browser for Android: 토르(Tor) 네트워크를 사용하는 웹 브라우저입니다. 스마트폰의 모든 네트워크 활동이 아닌 웹 브라우저 활동만을 토르 네트워크를 통하고자 할 때 유용합니다. Orweb → Orfox → Tor Browser 로 계승되었습니다.
  • Firefox / : Firefox Focus: 모바일용 파이어폭스 브라우저입니다.

‘최대 제한’ 설정

삼성 갤럭시 안드로이드 스마트폰을 사용하는 경우, 안드로이드 버전 14부터 ‘최대 제한’ 기능을 사용할 수 있습니다. 스미싱 공격 집중 등 복잡한 디지털 보안 공격을 받고 있는 상황에서는 ‘최대 제한’ 설정을 통해 스마트폰의 보안성을 높여보세요. [설정]→ [보안 및 개인정보 보호] → [보안 위험 자동 차단] → [최대 제한]의 순서로 찾아서 활성화할 수 있습니다.

3. 아이폰 보안 설정

아이폰(iPhone)이나 아이패드(iPad)를 비롯해 애플(Apple)에서 만든 스마트폰, 스마트기기를 사용할 경우 필요한 보안 설정들을 살펴봅시다. 애플의 개인정보 보호 페이지도 살펴보세요.

‘암호’를 복잡한 비밀번호로 설정하기

아이폰에 저장되는 모든 정보는 아이폰에 설정하는 비밀번호, 즉 ‘암호’에 의해 암호화됩니다. 생체 인증 뿐만 아니라 ‘암호’를 꼭 설정해야 하는 이유입니다. 아주 오래된 구형 아이폰(iOS 8 이전)에서는 4자리 숫자, iOS 9 이후 버전에서는 6자리 숫자로 설정할 수 있지만, 좀더 높은 보안을 위해서는 <비밀번호와 인증>에서 살펴본 것처럼 조금 더 복잡한 형태로 설정하는 것을 권장합니다. 다만 아이폰의 ‘암호’는 아이폰을 껐다 켤 때 매번 입력해야 한다는 점을 잊지 마세요.

설정 → Face ID 및 암호, 혹은 설정 → Touch ID 및 암호, 혹은 설정 → 암호 메뉴로 가서 암호를 설정합니다. 이때 ‘옵션’으로 들어가서 ‘사용자 지정 숫자 코드’를 써서 더 긴 자릿수의 숫자로 설정하거나, 아니면 ‘사용자 지정 알파벳 숫자 코드’를 써서 숫자와 알파벳을 섞어서 설정하세요.


암호를 설정했으면 ‘암호 필요’ 항목을 ‘즉시’로 설정하세요.

이제 암호 메뉴로 돌아가서 스크롤을 맨 밑까지 내리면, “데이터 보호가 활성화되었습니다”라는 메시지가 보입니다. 기기에 있는 대부분의 데이터에 접근하기 위해 암호가 필요하도록 암호화가 잘 이뤄졌습니다. 누군가 전원이 꺼진 당신의 아이폰을 입수하더라도 복잡한 비밀번호를 입력해내지 못하면 기기에 저장된 데이터를 꺼내기 어려워졌음을 뜻합니다.
다만, 방심은 금물입니다. 유능한 공격자라면 당신의 아이폰과 함께 당신의 비밀번호도 가져갈 수 있으니까요.

데이터 지우기 옵션 활성화


암호를 모르더라도 암호를 알아내기 위해 가능한 모든 경우의 수를 시도해 보는 집념 앞에서는 아이폰의 암호화 만으로는 충분하지 않을 수도 있습니다. 집회나 시위에 참석했다 혹시 아이폰을 잃어버릴 가능성이 있고, 데이터가 유출되는 것보다 차라리 삭제되는 것이 낫다면, 암호 메뉴에서 ‘데이터 지우기’ 옵션을 활성화하세요. 암호를 10번 틀리면 아이폰에 저장된 모든 데이터를 삭제합니다.

잠금 화면에서 할 수 있는 작업 제한


아이폰의 [잠금 화면]에서 [알림 센터]를 통해 다양한 정보가 노출될 수 있습니다. 편리성을 위해 메신저에 온 메시지의 내용이 [알림 센터]에 표시되는 등 개별 앱마다 잠금 화면에 노출시킬 수 있는 정보가 생각보다 광범위할 수 있습니다. 잠금 화면에서 할 수 있는 작업은 꼭 필요한 것만 허용하세요.

생체 인증으로 할 수 있는 작업 제한


집회나 시위 현장에 참석할 때는 생체 인증을 사용하여도 아이폰 잠금을 해제할 수 없도록 설정하는 것이 안전할 수 있습니다. 평소에는 편리하게 아이폰 잠금을 해제하기 위해 지문 인식을 사용하더라도, 집회나 시위 현장에 참석할 때는 안전을 위해 비활성화하는 걸 고려하세요.

아이클라우드(iCloud) 보안 설정

아이폰 내에는 데이터가 암호화되어 저장되어 있어도 아이폰과 아이클라우드를 연동하여 데이터가 자동으로 백업되고 있다면, 그리고 아이클라우드의 비밀번호가 매우 단순하다면, 공격자는 아이폰 대신 아이클라우드 쪽을 노려서 아이폰에 저장된 데이터를 확보할 수도 있습니다. 아이클라우드 계정의 비밀번호 또한 충분히 안전하게 유지하세요.

차단 모드(LockDown 모드) 설정

집회나 시위 현장에 참석할 때, iOS 16 이상의 버전을 사용중인 경우 차단 모드(LockDown) 설정을 고려할 수 있습니다. 차단 모드(LockDown)에서는 iMessage의 링크 미리보기 기능을 비롯해 잠재적인 보안 위험을 가져올 수 있는 기능들이 차단되며, 다른 사람에게 사진을 공유할 때 위치 정보를 자동으로 제거합니다. 차단 모드는 통상적인 악성코드에 기반한 보안 위험들에 대한 대응책입니다. 따라서 집회나 시위 현장에 참석할 때 다른 보안 대책과 함께 활성화하고, 집에 안전히 귀가한 뒤 비활성화하는 것을 고민해 보세요. [차단 모드] 활성화는 설정 → 개인정보 보호 및 보안 → 차단 모드에서 설정할 수 있습니다.

차단 모드에 대한 더 자세한 정보는 다음의 자료들을 참고하세요.