[이슈분석] 애플 아이폰 보안 위협하는 ‘사이드로딩’, 대체 뭐길래?

유럽연합(EU)이 iOS상에서 사이드로딩(Sideloading)을 허용하도록 애플을 압박하면서 아이폰 이용자의 앱 설치 선택권이 생길 가능성이 생겼다. 사이드로딩이란 자체 앱 마켓을 통하지 않고도 외부 소스를 통해 앱을 다운로드할 수 있도록 지원하는 것이다.

현재 애플은 iOS 운영체제에서 앱을 설치할 때 공식 앱스토어를 통해서만 가능하도록 제한하고 있다. 만약 EU의 요구를 애플이 수용할 경우 앞으로는 안드로이드와 마찬가지로 선드파티 앱 마켓 등을 통해서도 앱을 다운로드 받을 수 있게 된다.

그러나 공식 앱 마켓 외의 외부 앱 설치를 지원할 경우 사용자가 유해 앱에 노출될 가능성이 높아지고 이로 인해 앱 신뢰도 하락, 개인정보 침해 위협 증가 등 보안에 심각한 위협이 생길 수 있어 논란이 예상된다.

이와 관련해 한국정보통신기획평가원(IITP)은 주간기술동향 보고서를 통해 EU의 게이트키퍼(Gatekeeper) 사이드로딩 허용에 따른 모바일 플랫폼 보안 영향을 분석했다. 구체적으로 사이드로딩 허용 시 iOS 환경에 발생할 수 있는 보안 위협과 해결 방안을 제시했다

유럽연합의 DMA, 애플 등 빅테크 영향력 저격

지난 7월 EU는 애플을 포함한 빅테크 7개 사를 디지털 시장법(DMA)상 잠재적 게이트키퍼로 선정하며 자진 신고를 접수받았다.

DMA는 디지털 시장 내 상당한 영향력을 가지고 있고 독점 가능성이 존재하는 빅테크 기업을 게이트키퍼로 지정해 시장 지배력을 완화하도록 강한 규제를 적용하는 법안이다. 여기에는 앱 마켓 사이드로딩 허용, 인앱 결제 강제 금지, 자사 선호(Self Preferencing) 금지 등의 내용이 포함됐다.

이 중 애플이 우려하는 것은 사이드로딩 허용이다. 사이드로딩을 허용하게 되면 사용자는 직접 다운로드, 서드파티 스토어 등으로 앱을 설치해 사용할 수 있다. 앱의 안전성 여부는 이용자가 직접 판단해야 한다. 이 과정에서 앱스토어의 보안성 심사 절차를 거치지 않는 앱이 유통되면 이용자는 개인정보 유출 등 보안 위협에 노출될 수도 있다.

애플은 '수백만 개의 앱을 위한 신뢰할 수 있는 에코시스템 구축' 보고서를 통해 iOS 생태계에서 보안과 개인정보 보호를 유지하는 것은 매우 중요하다고 강조한 바 있다.

애플은 직접 다운로드 및 타사 앱 스토어를 통한 사이드로딩을 지원하면 아이폰을 매우 안전하게 만든 개인정보 보호 및 보안 기능이 무력화된다고 주장한다. 이로 인해 사용자가 심각한 보안 위험에 노출될 수 있다는 것이다.

애플이 우려하는 사이드로딩, 보안보다 선택권?

구글은 처음부터 안드로이드의 사이드로딩을 허용하고 있는 상황이다. 안드로이드 개발자 가이드라인에 개인정보 보호 및 보안 권장 사항에 관련 내용을 두고 사용자가 앱 사용 환경을 직접 관리하도록 지원하고 있다.

다만 이에 따른 문제도 발생하고 있다. 보안 기업 맥아피는 광고 클릭을 유도해 데이터 탈취를 노리는 '골도슨' 멀웨어가 포함된 60개 안드로이드 앱을 지난 4월 발견했다고 밝혔다. 이 중에는 엘포인트, 롯데시네마, 라이브 스코어 등 구글 플레이에서 높은 다운로드 수를 기록한 앱도 포함됐다.

보안 취약점이 포함되거나 악성 앱의 발견 사례는 지속적으로 발생하고 있다. 지난 7월에는 파일 관리·복구 앱으로 위장한 앱이 100만 회 이상 다운로드되고 중국으로 데이터를 보낸 정황이 포착되기도 했고, 지난해 10월에는 2000만 회 이상 다운로드된 16개의 악성 앱이 발견된 바 있다.

애플은 상술한 보고서를 통해 2021년 기준 4년간 안드로이드 기기는 iOS에 비해 15~47배 더 많은 멀웨어에 감염된 것으로 나타났으며 그 이유로 안드로이드의 사이드로딩 허용을 꼽기도 했다.

애플 앱스토어는 제3자의 무단 사용, 공개 및 접근을 방지하는 등 앱 안전성과 보안성을 중심으로 보안 조치를 시행하고 있다. 그러나 사이드로딩을 허용하면 마이크와 카메라, GPS 정보 등 개인 데이터를 획득해 보안 위협 노출도가 높아질 가능성이 있다.

또한 애플은 보안상의 이유로 NFC, 시스템 정보, 메모리 등 하드웨어 요소에 접근을 제한하고 있다. 이에 IITP는 'On-device 플랫폼 보안 약화'가 될 수 있다고 분석했다. IITP에 따르면 사이드로딩 허용에 따라 하드웨어 요소 및 공개되지 않은 운영체제 기능의 전체 접근 권한까지 제공할 경우 플랫폼 보안 기능은 약해지게 된다. 또한 악성 앱이 다른 앱의 데이터를 훔치거나 수정하고 위치 데이터, 마이크 또는 카메라에 접근하는 것을 방지할 수 없다.

보안 체계 구축으로 악성 앱 막을 수 있을까

구글도 플레이스토어 정책을 업데이트하면서 멀웨어 확산을 막는 데 집중하는 모양새다. 안드로이드14 버전의 경우 핵심 구글 앱의 업데이트를 사이드로딩할 경우 운영체제에서 경고를 표시하고 보안성 강화를 위해 하위 버전 APK 파일의 앱 설치도 원천 차단할 것으로 알려졌다.

관련 업계에서는 사이드로딩 허용 등 이용자의 선택권이 다양화될수록 보안 위협 역시 커질 수밖에 없다고 지적한다. 이런 문제 해결을 위해 엔드포인트(Endpoint) 검증 단계 추가, 코드 사이닝이 포함된 앱만의 설치, iOS 전용 보안 앱 설치 등의 방법을 제시했다. 특히 기업·기관의 정책 방향 수립과 지속적인 보안 인식 제고가 필요하다고 강조했다.

엔드포인트 보안이란 사용자 디바이스를 악성 소프트웨어로부터 보호하기 위한 방법이다. 데스크톱, 노트북, 컴퓨팅 디바이스 등 네트워크로 통신하는 디바이스들이 많아지면서 외부와 내부를 연결하는 엔드포인트 보안의 중요성도 대두되고 있다.

마켓의 검증 시스템에서 탐지하지 못했거나 혹은 마켓 검증을 우회한 악성 앱이 있다면 엔드포인트 단말에서 다시 한번 검증 과정을 통해 탐지할 수 있도록 보안 기능을 강화해야 한다.

또한 애플은 앱 등록 및 배포, 테스트하는 과정에 코드사이닝 절차를 도입하고 있다. 코드사이닝이란 코드 사인 인증서를 통해 제3자에 의해 해당 프로그램이 변경되지 않았으며 안전하게 배포되는 프로그램임을 보장하는 것이다.

애플에서 발급한 인증서가 포함되거나 별도의 보안 인증 절차를 걸친 앱만 설치하도록 하여 프로그램의 신뢰성과 보안을 강화할 수 있다. 그럼에도 불구하고 불가피하게 멀웨어의 침입을 허용할 수도 있다. 이러한 상황에서는 iOS 보안 업데이트나 전용 안티바이러스 앱 등을 통해 신속히 조치해야 한다.

EU의 DMA는 9월 규제 대상을 확정하고 약 6개월간의 유예 기간을 거쳐 내년 3월부터 규제 시행을 앞두고 있다. DMA를 준수하지 않을 경우 해당 기업의 연간 총 매출액의 최대 10%, 반복적인 경우 20%까지 벌금이 부과된다. DMA 규제가 확정될 경우 애플의 향후 대책에 관심이 쏠리고 있다.

한편, 애플 앱스토어의 지난해 개발자 매출 및 판매 실적은 1조 1000억 달러(1430조 1000억 원)로 알려졌다. 현재 애플은 앱스토어에 입점한 개발사에 판매 금액의 30%의 수수료를 받는다. DMA 규제가 본격적으로 시행돼 외부 앱 마켓이 본격적으로 활성화되면 애플이 앱 수수료로 벌어들이는 수익에도 타격이 있을 것으로 예상된다.