“앱이 연락처 요구”…구글도 주목한 모바일 보안 새 판 짜기

모바일 앱이 실제 기능과 무관하게 연락처, 사진 등 과도한 접근 권한을 요구하는 구조적 문제와 함께, 인공지능(AI) 악용 공격이 확산되면서 모바일 보안 위협이 급격히 커지고 있다. 5일 국회에서 열린 ‘차세대 모바일 보안 강화 및 스팸방지 정책 세미나’에서는 구글 등 글로벌 IT기업과 학계가 최신 보안 트렌드와 글로벌 전략을 집중 조명했다. 업계는 “모바일 의존도가 높아지며 해킹 대상과 수준이 빠르게 확대된 지금, 전방위 생태계 차원의 방어 체계가 절실하다”는 데 의견을 모았다.

이날 세미나에서 곽진 아주대 혁신융합원장은 “국내 성인 스마트폰 이용률이 98%에 이를 정도로 ‘모바일 퍼스트’가 심화되는 만큼, 보안 위협도 커졌다”며 “AI 기반 공격 고도화, 사회공학적 해킹, 정상 앱스토어 위장 등 새로운 위협이 잇따라 출현하고 있다”고 분석했다. 특히 여러 앱이 불필요한 접근 권한을 요구하거나 공인 경로 외 앱 설치(사이드로딩)를 유도하는 사례가 증가하며 공격 면이 넓어진다고 강조했다. 단편적 보안 솔루션 남용과 반복되는 경고 알림에 사용자가 무감각해지는 ‘보안 피로’ 현상도 치명적 약점으로 지목됐다. 곽 원장은 “모바일 보안은 기기·OS·네트워크가 얽힌 복합 생태계로, AI와 사용자 자체를 방어 축으로 삼아야 한다”고 말했다.

모바일 운영체제(OS) 세계 1위인 구글 역시 보안 투자를 빠르게 확대하고 있다. 안드로이드 OS 글로벌 보안을 책임지는 데이브 클라이더마허 부사장은 “OS 핵심인 메모리 안전성·신뢰 실행 환경(TEE) 강화를 통해 해킹 비용을 1500만달러 수준까지 끌어올렸고, 메모리 오류 비율도 5년 전 80%에서 현재 20% 미만까지 감소시켰다”고 밝혔다. 그럼에도 최근 공격자들은 직접 시스템을 뚫기보다 사용자 대상 사회공학적 사기, 피싱 시도 등으로 전략을 바꾸고 있다고 설명했다. 실제로 한국은 1인당 온라인 사기 피해가 세계 4위권에 이를 정도로 심각하다.

이 같은 위협 변화에 대응해 구글은 AI를 활용한 방어 체제를 적극 도입하고 있다. 대표적으로 ‘구글플레이 프로텍트’는 악성 앱을 사전 탐지·차단하고, 앱 행동·정보제공 주체까지 분석해 위협 요인을 포착한다. 아울러 각국 정부와의 협업을 강화, 사이드로딩 앱 차단 등 ‘강력 사기 방지 보호(EFP)’ 프로그램 확산에도 힘을 쏟는다. EFP는 공인 앱스토어 외 경로로 유입되는 앱과 권한 요구를 원천적으로 차단해, 싱가포르 최초 도입 후 관련 피해가 거의 0으로 줄었다는 평가를 받는다. 한국에서도 과기정통부와 구글이 협력해 EFP 적용 확대를 추진한다.

향후 과제로는 앱·기기 보안 품질을 식품성분표처럼 투명하게 공개해 소비자가 안전 수준을 직접 확인할 수 있는 체계도 논의되고 있다. 구글은 이를 통해 개발사·제조사의 보안성 강화 인센티브를 높이고 전 생태계 신뢰도를 한층 올릴 수 있기를 기대하고 있다.

전문가들은 “모바일 보안 환경이 AI, 사이드로딩, 사회공학 등 복합 이슈에 더 취약해졌다”며 “민관 협력·기술 투명성 확보가 글로벌 표준이 될 전망”이라고 밝혔다. 산업계는 이번 기술·정책 변화가 실제 시장과 이용자 경험에 안착할지 주목하고 있다.