기존 앱 개발시 T스토어 등록 전에만 이뤄졌던 보안 검증이 ‘개발’→’사전검증’→’배포/사용’의 앱 라이프 사이클 모든 단계로 확대돼 스마트폰 이용 환경이 크게 개선될 전망이다.

SK텔레콤(대표이사 정만원 www.sktelecom.com)은 스마트폰 악성코드와 해킹, 정보 유출 등의 보안 위협에 대응해 고객이 안심하고 모바일 컨텐츠와 서비스를 사용할 수 있도록 T스토어의 ‘모바일 보안점검 통합관리시스템’을 11월10일부터 운영한다고 밝혔다.

‘모바일 보안점검 통합관리시스템’은 모바일 애플리케이션(이하 ‘앱’)과 서비스의 라이프 사이클(Life Cycle)에 따라 개발자가 앱을 개발하는 단계에서부터 이용자가 T스토어의 앱을 사용 하기까지 모든 과정에서 보안을 강화했다.

기존 보안 검증 프로세스는 개발자가T스토어에 업로드를 요청해 등록되기 전 사전 검증단계에 집중돼 있었으나 이제는 ▲앱 개발 ▲사전검증 ▲배포/사용 등 3단계 전 과정에 보안 검증을 진행한다.

이는 세계 최고 수준의 보안 관리로서 애플 앱스토어나 구글 안드로이드 마켓 등 타 앱스토어에 비해 T스토어의 보안 안정성을 크게 강화한 것이다. 

SK텔레콤은 T 스토어 개발자들에게 안드로이드와 윈도우즈 모바일 등 모바일 플랫폼 별 앱 개발 보안가이드라인을 연내 제공할 계획이다. 이 가이드라인에는 안전한 앱 개발을 위한 구조적 설계 방법, 보안 취약점을 보완한 앱을 개발할 수 있는 방법 등이 포함될 예정이다.

또 내년에는 개발자 스스로 사전에 보안 점검을 할 수 있도록 소스코드(Source Code, 앱 개발 코드) 보안검증 툴을 개발자에게 제공할 계획이다.

사전 검증 단계에서의 보안 검증 역시 강화됐다. 기존에는 앱이 구동되는 해당 단일 플랫폼 내에서만 동작하는 악성 코드 등이 검증됐으나 이제는 PC Sync시 PC를 감염시키거나 여러 종류의 플랫폼에서 동작 가능한 악성코드도 탐지할 수 있게 됐다.

또 악성 동작 패턴을 탐지하는 점검 시스템도 구축했다. 악성 동작 패턴이란 잠재적 위험요소가 있는 앱 기능으로 과도한 개인정보 수집 및 활용 등이 이에 해당된다.

예를 들어 모바일SNS서비스 같은 경우 휴대폰 주소록 등 개인 정보 등을 활용할 수 있지만 개인정보 활용이 불필요한 앱이 휴대폰 주소록 등을 추출한다면 이는 향후 스팸문자 발송 등에 악용될 수 있는 잠재적인 위험 요인이 있어 악성 행위로 분류 할 수 있다.

따라서 점검 당시에 명백한 악성 코드가 아니더라도 이후 정밀 분석을 통해 악성 행위로 판단되는 경우 백신업체와 연계해 이를 악성 패턴으로 업데이트 하는 등 보다 심도 있는 점검을 진행할 방침이다.

T 스토어에 업로드 돼 배포/사용되는 모든 앱에 대해서도 최신 바이러스 정보, 신규 악성행위 패턴 등을 지속적으로 업데이트 해 주기적으로보안검증을 진행한다.

또 업로드 된 앱 파일이 변경됐는지 여부를 지속적으로 확인한다. 이를 통해 사전 검증이 통과된 앱들이라 하더라도 실시간 보안 위협에 대응할 수 있도록 감시(모니터링)하고 문제가 있는 앱이 발견되면 해당 앱 다운로드를 차단하고 이미 앱을 구매한 이용자들에게SMS로 해당 사실을 공지하는 등 피해 확산을 최소화 한다.

T스토어를 통해 유통되는 앱 이외에도 단말기에 기본 탑재되거나 SK텔레콤에서 B2B로 제공하는 모바일 오피스 앱 등도 단말출시 전 보안 검증을 시행하고 단말 출시 후에도 지속적으로 감시한다.

SK텔레콤 권혁상 CSO(Chief Security Officer, 정보보안총괄)는 “이번 T스토어 보안 강화로 고객이 보다 안심하고 스마트폰을 이용할 수 있는 환경이 구축됐다”며 ”점차로 증가하는 보안 위협에 효과적으로 대응할 수 있는 종합 시스템 구축을 위해 지속적으로 노력하고 있다”고 밝혔다.