#seworks

モバイルセキュリティ・スタートアップSEWORKS、シリーズAラウンドでSoftbank Venturesなどから約8億円を調達

Image credit: SEWORKS

モバイルセキュリティ専門スタートアップ SEWORKS（에스이웍스）が、82億5,000万ウォン規模（約8億円）のシリーズA投資を受けた。同社は2015年、Softbank Ventures、Qualcom、Qualcom Ventures からの20億ウォン（約1.8億円）を調達。シリーズ A ラウンドとしては、Samsung Ventures Investment（삼성벤처투자로부터）から30億ウォン（約2.9億円）を調達し、今年に入って、Smile Gate Investment（스마일게이트인베스트먼트）、Wonik Investment Partners（원익투자파트너스）などから追加で52.5億ウォン（約5.1億円）の資金を調達し、シリーズAラウンドをクローズした。

2013年に創業した SEWORKS は、同年 Softbank…

IoT (Internet of Things)가 최근 몇년간 실리콘 밸리의 화두가 되어옴에 따라, IoT의 뉴스와 IoT 해킹에 관련된 뉴스도 늘어나고 있다. 최근 VentureBeat는 FBI가 자동차 제조사와 운전자들에게 자동차 해킹위험에 관해 경고한 사실을 보도했고, IoT 기기가 트로이 목마 바이러스 (Trojan Horse)에 이용될 수도 있다고 밝혔다. 불과 몇일전에는, Ring 이라는 스마트 현관벨 회사가 이용자들의 집안 내부를 다른 유저들에게 노출한 사건도 있었다.

해커와 악성 소프트웨어에 익숙한 테크업계 종사자들은 이러한 현상은 새로운 플랫폼의 성장과 더불어 나오게 되는 성장통이라고 얘기한다. 하지만, 일반 이용자들의 입장에서는 디바이스나 개인정보를 넘어, 그들과 가족들의 물리적 안전까지 위협하는 요소이다. 지난 주 구글이 발표한 Home 등 IoT 기기의 종류 및 그에 관련된 보안 취약점이 늘어날 수록, IoT 산업 전체도 위험에 빠지게 되리라 예상된다.

수많은 IoT 해킹 공격이 왜 일어나는지, 그리고 테크업계 종사자들이 이러한 문제를 해결하기 위해서는 무엇을 해야할 지 알아보기 위해, 우리는 현재 일어나는 문제에 대해 자세히 이해할 필요가 있다.

실리콘 밸리 문화가 IoT의 불안정함에 기여하는 점 

모바일 앱으로의 이행 때에도 그랬지만, PC시대의 개발 경험으로 쌓은 지식 및 보안 권장사항등은 IoT개발에서 찾아볼 수 없다. IoT 기기들이 사용하는 코드베이스는 웹사이트, 앱, 또는 PC 소프트웨어를 개발하는 언어들과 크게 다르지 않지만, 지난 수십년간 존재해온 보안취약점들은 여전히 IoT 기기에 존재하고 있다. 예를 들어, 대기업들이 만든 제품이 충분한 보안이 갖춰지지 않은 클라이언트 소프트웨어를 사용하고 있거나, 서버간의 커뮤니케이션은 암호화하지만 기기 단위의 의 인터넷 연결 프로토콜은 보안이 적용되지 않은 사례들이 있다.

이러한 현상의 이유는 IoT가 아직 접근하기 어려운 심오한 기술이라서가 아니라, 보안을 고려한 코딩을 중요하게 여기지 않는 관습 때문이다. 이는 이용자의 안전성과 보안성을 위협하는 보안 취약점으로 직접 이어지고 있다. 최근 일어난 한 사례를 보자면, 해커들은 와이파이로 연결된 유아 모니터를 공격하고 직접 유아에게 말을 거는 등 심각한 피해를 끼쳤다. 하지만, 해커들이 이 공격에 성공할 수 있었던 원인은 대중에게 많이 널려지지 않았다. 이 공격을 가능하게 한 원인은, 기기들이 중요한 개인정보를 포함한 데이터들을 간단한 텍스트 형태로 보내고 저장하고 있었기 때문이다.

IoT가 안전하지 않은 주 이유는 코드를 짜는 개발자가 아니라 개발 문화라고 본다. 실리콘밸리는 항상 최신 플랫폼을 강조하며, 시장을 먼저 점유하는 데에만 집중하여 보안은 뒷전으로 밀려난다. 이는 새로운 플랫폼이 나올 때마다 계속 되풀이 되는 현상이기도 하다. 모바일 생태계에서도 흡사한 트렌드를 찾아볼 수 있다. 경험이 많지 않은 팀이 앱을 시장에 빨리 내놓기에만 급급하여 스스로를 해킹위협에 처하게 하는 패턴은 반복되고 있다. 그와 더불어 하드웨어 관련 경험 및 하드웨어, 미들웨어, 소프트웨어의 상호작용에 대해 이해를 가지고 있지 않은 사람들이 많은 IoT 기기들을 만들고 있다.

악성 소프트웨어가 흥하는 인터넷 시장

이러한 문화적 단점들이 커넥티드 기기의 빠른 성장과 함께 커지고 있다. IDG는 2020년에 IoT시장이 1.7조 달러 규모로 성장할 것이라고 예견했다. 동시에, Gartner는 IoT 암시장의 규모가 5백만 달러를 넘을것이라고 추정했다. IoT기기의 말웨어는 벌써 빠르게 커지고 있는 산업으로, 하루가 다르게 기술이 발전하고 있고, 심지어 무료로 배포되기도 한다. 네트워크에 연결될 수 있는 모든 기기들은 말웨어에 감염될 수 있는 가능성을 가지고 있다. 즉, 일회성 감염이 커넥티드 기기 모두에게 영향을 끼칠 수 있다. 또한, 시스템이 다양한 층을 가지고 있어, 어떤 문제가 어디에서 시작되는지 알아내기도 쉽지 않다.

IoT 보안성을 강화시킬 수 있는 방법

위에 소개된 이유들에서 볼 수 있듯이, 테크 회사들의 개발팀 내부에서부터 개혁을 일으키는 건 쉽지 않다. 이는 회사를 이끄는 경영진 및 투자자들의 몫이라고 생각되고, 그들이 변화를 시작하는 것은 가능하다고 본다.

보다 자세한 감사 과정을  요구하라: AT&T가 발표한 IoT 리포트에 따르면, 기기를 만드는 회사 중 절반 이하가 보안 로그 및 알림을 하루에 한번씩 분석한다. 이 속도는 리스크가 커질수록 더 빨라져야 할 것이다. 또한, 이 회사들 중 14%만이 개발하는 기기가 안전한지 알아보는 공식적 감사 과정을 가지고 있다. 그리고, 설문에 응답한 회사들의 17%만 이사진이 IoT 보안에 관련된 결정권에 관여하고 있다.

지속적이고 자동화된 보안 프로세스를 요구하라: 회사들은 그들의 제품이 어떻게 작동하는지에 대한 자세한 가시성을 가지고 있어야 한다. 예를 들어, 모든 디바이스의 활동을 기록하고, 의심스러운 행위는 바로 분류 및 차단해놓아야 한다. IoT 기기들이 생산하는 데이터 양과 연결된 엔드포인트들이 빠르게 증가함에 따라, 데이터 관찰, 위협 탐지, 그리고 보안이 자동화되야 할 것이다.

앱 개발자들을 위한 강력한 모바일 보안 솔루션, AppSolid.

AppSolid는 바이너리 레벨의 보안을 간단하게 적용하는 SaaS형태의 보안 솔루션입니다.

지금 회원가입하시면, 6주간 무료로 AppSolid의 모든 기능을 사용해보실 수 있습니다. 

http://bit.ly/AppSolid_Signup

맛집 검색 서비스 '망고플레이트' 모바일 앱 보안 전문 '에스이웍스' 업무용 메신저 잔디 개발사 '토스랩'

소프트뱅크 벤처스, 퀄컴 벤처스가 투자한 Hot 스타트업 3사가 인재를 채용합니다! 남들과 다른 커리어 경험을 찾고 계신 분들이 놓치면 안될 기회! 지금 아래 정보를 확인하고 구글 캠퍼스 서울에서 열릴 인재 채용 이벤트에 참여하세요!

사전 지원자 중 선정된 인원을 대상으로 행사 오후에 개별 인터뷰를 진행하오니 아래 링크를 통해 신청서를 제출해주시기 바랍니다. 신청서 작성 순으로 검토되오니 빠른 지원 부탁드립니다.

*본 글은 벤처스퀘어에 연재되었습니다; http://www.venturesquare.net/713348

2016/01/08

글 김호, 에스이웍스 연구원

3. 게임 앱 개발자들을 위한 대비책

지난 화에서는 일반 앱 개발자들이 보안에 관련된 구조적 문제들을 알아보고 어떻게 해결하는지에 대해 알아보았다. 이번 컬럼은 게임 앱 개발자들에게는 생소한 보안 문제점들을 파악하고 해결하는 방법을 탐구해 볼 것이다.

먼저 게임 앱과 일반 앱의 차이점에 대해 알아보자. 영화 티켓 예매와 같은 일반 앱은 기본적으로 이용자가 사용하지 않으면 앱의 응답이 없는 것이 보편적이지만, 대다수의 게임 앱은 사용자의 이용 여부와 상관 없이 실시간 작동이 가능하다. 현재 대다수의 게임 앱들이 이러한 실시간 처리 방식을 채택하고 있는데, 이를 위한 보안은 일반 앱의 수동적 입/출력 방식의 보안 방식보다 훨씬 더 까다롭다.

게임 앱을 개발하는 방식은 크게 두 가지로 나눌 수 있는데, 자바를 중심으로 개발하는 방식과, 다양한 게임 엔진들을 활용해서 개발하는 방식이 그것이다. 스마트폰 게임 시장은 개발 속도와 호환성이 성공의 중요한 요소로 불리는 만큼, iOS와 안드로이드를 동시에 지원하면서 여러 개발언어(C#, 자바스크립트, Boo)들을 지원하는 게임 엔진을 활용하는 게임 앱이 점차 많아지고 있는 추세다.

그렇다면 게임 앱에서는 어떠한 보안 문제점들이 존재할까? 게임 앱을 위협하는 악의적인 해커들과의 전쟁에서 지피지기 백전불태(知彼知己 百戰不殆) 하기 위해서는 그들이 어떠한 방법으로 게임 앱을 위변조하고 조작하는지에 대해 미리 숙지하는 것이 가장 중요하다. 일반적으로 게임을 크래킹할 때, 앱을 리패키징(Re-packaging)하여 내부에 작동되는 코드들을 수정하는 경우가 있고, 또한 메모리 해킹 앱을 이용해서 메모리 주소에 있는 값을 비정상적으로 조작하는 방법이 있다.

안드로이드에서 게임 앱 보안이 어려운 이유는 게임의 작동 흐름을 감지하는데 있어서 유지 비용이 굉장히 크기 때문이다. 일반적으로 게임 앱은 사용자의 입력, 상황 처리, 그리고 렌더링이 연속적으로 실행되기 때문에 이에 대한 보안을 실시간으로 검증하는 기능을 추가해야 한다. 하지만 이런 보안 대책을 수립하기에는 여러가지 성능 문제나 호환성의 문제가 있을 수 있다. 예를 들어, 실시간 상황으로 처리되는 부분마다 보안 기능을 일일이 추가하게 된다면, 게임 속도와 효율성이 저하될 뿐만 아니라 사용자의 게임 플레이 자체에도 영향을 끼칠 수 있다.

물론 이러한 문제들은 앱의 네트워크 통신 의존도에 따라 달라질 수 있다. 예를 들어, 온라인 게임 앱이 수시로 네트워크랑 통신 하는 경우, 서버 측에서는 비정상적인 값을 패턴화시키거나 판별하여 서버에서는 클라이언트의 패킷을 충분히 검증 하도록 설계하는 것이 좋다. 이 경우에, 클라이언트는 서버 통신의 무결성 검사와 서버에서 리턴 되는 값들을 검증하고 구분화 시키는 기능만 추가하면 되기 때문에 클라이언트가 비교적 보안을 통한 속도의 부담을 줄일 수 있다. 반면, 앱이 온라인 통신을 하지 않는 경우에는 앱 내부에서 모든 입출력에 관한 보안 기능을 쓰레드 혹은 유사한 기능으로 구현을 해야 하므로 클라이언트의 부담이 커질 수 밖에 없다.

또 다른 문제점은, 일반 앱과 마찬가지로 게임 앱도 앱 리패키징(Re-packaging)과 소스 디컴파일(Decompile)을 피해갈 수 없다는 점이다. 지난 화에서도 설명했지만 자바 코드는 디컴파일이 가능하며 다른 개발자들이 보기 쉽게 구현 되어있다. 이와 함께 게임 앱 개발시 이 부분을 한번 더 확인 해야하는 이유 중 하나가 유니티 엔진으로 개발된 코드들이 닷넷(.NET)을 활용하여 크로스 플랫폼으로 운영되고 개발되기 때문이다.

닷넷은 자바 가상머신과 똑같은 코드 실행 기반을 가지고 있으며, MSIL라는 언어로 컴파일이 된다. 아무래도 자바 가상머신과 같은 코드 실행 방식을 채택하고 있다 보니 디컴파일 또한 매우 쉽다는 문제점이 존재한다. 이 또한 지난 화에서 언급한 것과 마찬가지로 Proguard와 같은 난독화 솔루션이 닷넷에도 존재하지만 이를 해커 입장에서 봤을 때는 그다지 큰 장애물이 되지 않는다는 점이다. 결국 유니티 앱 또한 닷넷 기반 코드로 구성된 만큼 일반적인 디컴파일 프로그램을 통해 소스 코드를 확인할 수 있으며, MSIL 에 대한 어느 정도의 이해도만 있으면 유니티로 구현한 코드의 실행 흐름 또한 변조하여 리패키징 할 수 있다.

유니티와 같은 상용 게임 엔진들도 아직 완벽한 것이 아닌 것도 문제점이다. 유니티는 닷넷을 오픈소스로 구현한 Mono 엔진을 기반으로 작동이 되는데, 현재 유니티가 지원하는 Mono 버전은 현재 출시된 닷넷의 버전과는 차이가 나기 때문에 닷넷 개발 환경에 익숙한 개발자는 불편함을 느낄 수 있다. 이는 개발 과정 중 실수를 유발하게 할 수도 있을 뿐 아니라 버그와 취약점을 만들어내는데 한 몫을 할 수 있다. 따라서, 게임 엔진을 사용하여 개발 시, 많은 주의를 요하지 않으면 보안 위협이 늘어날 수 있다.

개발자이자 보안 연구원으로써 권유하고 싶은 제안으로는 보안 기능을 추가할 때 서버 측의 의존성을 높이고 게임 내 커뮤니티 활성화를 유도하는 것이다. 게임 내 커뮤니티를 활성화 시키면 해킹시도를 하는 사용자를 잡는데 큰 도움이 될 뿐만 아니라 게임 유저들과 함께 소통 하면서 기존에 발생하던 버그나 문제점을 개발자가 더 빠르게 이해하고 대처할 수 있도록 만드는 장점도 있다.

*본 글은 벤처스퀘어에 연재되었습니다; http://www.venturesquare.net/710211

2015/12/09

글 김호, 에스이웍스 연구원

2. 일반 앱 개발자들을 위한 대비책

스마트폰 운영체제 시장에서 가장 큰 비중을 차지하는 안드로이드는, 앱 개발자의 입장에서는 개발시 직면하는 문제점이 많은 편이다. 이번 화에서는 일반 앱 개발자들이 안드로이드 운영체제 및 다양한 구조적 문제를 어떻게 파악하고 해결해야 할 지를 깊이 알아볼 것이다.

안드로이드 운영체제의 가장 큰 문제점 중 하나는 시스템 불안정성을 꼽을 수 있다. 안드로이드의 특징인 오픈소스 플랫폼은 커스터마이징이 가능하다는 장점이 있지만 이때문에 버그가 많고 불안정한 구조를 가지고 있다는 단점도 있다. 운영체제가 안정하지 못하다보니, 이를 개선하기 위해 OS 업데이트 주기가 매우 빠른 편이지만 앱 개발자들에게는 그에 적합한 업데이트를 신속하게 출시하기에 부담을 느낄 수 있다. 뿐만 아니라, 스마트폰 제조사별로 여러 안드로이드 OS 버전과 호환성이 다르다보니, 사용자와 앱 개발자 모두에게 혼란을 야기한다. 예를 들면,사용자 입장에서는 스마트폰 제조사가 안드로이드의 업데이트버전을 배포하지 않으면 보안 취약점을 가진 구버전을 계속 사용해야 하는 불편함이 있다. 앱 개발자의 입장에서는 이에 맞춰 제조사별로 시장에 나온 모든 기기를 구해 개발한 앱이 잘 실행되는지를 알아봐야 하는데, 이 과정은 개발자들에게 경제적 및 시간적 부담을 안겨주기 마련이다.

안드로이드의 빠른 변화에 맞추기 위해서는 개발자들은 항상 급하게 개발을 마무리해야 하는 상황이 종종 일어난다. 이런 상황이 지속된다면, 앱 소스코드에 버그가 발생할 가능성이 높아지며 이는 자연스레 많은 해킹위협에 앱을 노출시킨다.해킹이란 것 자체가 버그를 악용하는 행위인데, 안드로이드 앱과 같이 주기적으로 앱을 업데이트하고 기능을 개선하는 상황에서는 당연히 많은 해킹위협에 노출될 수 밖에 없는 것이다. 이러한 위험을 줄이기 위해서는 앱을 시장에 출시하기 전에, 충분한 테스트를 완료하고 버그를 미리 해결해놓아야 한다.

안드로이드의 구조적 문제의 또다른 큰 이유는 안드로이드가 선택한 개발 언어인 자바 (Java) 이다. 자바로 개발된 코드는 또다른 프로그래밍 언어인 C처럼 바이너리를 만드는 것이 아닌 클래스 (class) 파일을 생성한다. 이 파일은 자바 VM이 존재하는 시스템에서는 언제든지 실행이 가능하게 설계되어 있기때문에 C언어로 만들어진 바이너리 코드와는 달리 디컴파일 (Decompile)이 손쉽게 된다는 문제점이 있다.

이러한 배경을 바탕으로 보면,  자바 언어로 개발되는 안드로이드 앱 또한 어렵지 않게 디컴파일할 수 있다. 이는 앱의 코드를 노출시키고 개발자의 허가 없이 코드를 재사용 할 수 있는 문제점이 있다. 물론 이와 같은 문제점을 어느정도 보완하기 위해 프로가드 (ProGuard) 같은 소스코드 난독화 툴이 있지만 해커의 관점에서는 이러한 기본적인 보안기능은 큰 장애물이 되지 않는다. 따라서, 앱 개발자들이 이와 같은 위협을 최소화 하기 위해서는 먼저 하드코딩된 데이터들을 암호화하거나, 타인이 아예 볼 수 없도록 구현하는것이 최우선이다. 예를 들어, 앱 관리자 기능이 단순한 제어문으로 설계되어 있거나, 관리자의 계정 정보가 소스코드에 그대로 저장되어 있는 경우, 큰 보안 위협을 초래할 수 있다. 이를 방지하기 위해서는, 해당 정보들을 암호화하거나, 서버와 연동을 하여 해커에게 노출되지 않도록 각별한 주의를 기울여야 한다. 게다가, 위에 언급된 것처럼, 신속한 업데이트중 생길 수 있는 개발자의 실수들도 디컴파일로 확인 가능하기 때문에, 개발자들은 반드시 앱 출시전에 보안 점검을 위한 철저한 테스트를 진행해야 한다.

안타깝게도 앱 소스코드의 난독화 및 암호화만이 앱을 완벽하게 지켜주는 것은 아니다. 앱이 웹 서버와 통신하는 경우에는 HTTPSURLConnection과 같은 기능을 사용하여 통신되는 모든 데이터가 가로채어지지 않게 방지해야 한다. 또한, 스마트폰이 불안정한 와이파이에 연결되는 경우도 종종 있는데, 이는 이용자의 데이터가 해커에게 노출되거나 해거에 의해 조작될 수 있는 위험에 노출한다. 예를 들자면, 결제 관련 데이터가 암호화되지 않은 서버로 전송되며 서버가 참이나 거짓으로 구성된 값을 반환하는 경우, 서버와 이용자 사이에서 해커가 이용자의 정보를 손쉽게 유출하거나, 임의적으로 참/거짓 값을 조작할 수 있어 앱 실행에 치명적인 영향을 끼칠 수 있다. “중간자 공격”이라고 불리는 이 방식의 해킹을 막기 위해서 앱 개발자는 소스코드 보안 외에 네트워크 서버 통신관련 부분도 필수적으로 신경을 써야한다.

다음화에는 일반앱 외에 게임앱 개발자들의 관점에서 안드로이드 해킹 위협과 대처 방법을 살펴보도록 하겠다.

*본 글은 벤처스퀘어에 연재되었습니다; http://www.venturesquare.net/708479

2015/11/24

글 김호, 에스이웍스 연구원

1.안드로이드 이용자를 위한 대비책

IDC (International Data Corporation)에 따르면, 현재 전세계 스마트폰 이용자들 중 약 80% 이상이 안드로이드 운영체제를 사용하고 있다. 이용자들이 많은 만큼 안드로이드상에서 일어나는 해킹 빈도도 잦아지는 추세이다. 이러한 모바일 해킹위협에서 앱 이용자와 개발자들은 어떻게 대비해야 하는 것일까? 앞으로 3주간 연재될 이 컬럼에서는 모바일 보안의 중요성에 대해 이용자, 일반 앱 개발자, 그리고 게임 앱 개발자의 관점에서 짚어볼 예정이다.

안드로이드의 사용자들을 타겟으로 삼은 제로데이 (zero-day, 현재까지 알려지지 않은 취약점) 는 점점 많아지고 있으며, 이를 통한 피해도 늘어나고 있다. 새로이 발견된 보안취약점의 한 예로는, 올 여름에 발견된 스테이지프라이트 (Stagefright)가 있다.스테이지프라이트는 안드로이드에서 동영상의 정보를 불러오는 내부 소프트웨어로써 이용자가 악성코드가 담긴 동영상을 열어볼 때 악성코드를 활성시켜 스마트폰을 감염시킬 수 있다. 여기에서 주목할 점은 동영상을 실행하지 않아도 수신되었을때 바로 악성코드가 활성될 수 있다는 점이다. 이처럼 아직 알려지지 않은 보안 취약점이 계속 발견되고 있기 때문에 안드로이드 이용자들은 이 점을 염두에 두고 조심해야 한다.

새롭게 발견되는 안드로이드의 보안 취약점 외에도 이미 알려진 보안위협들도 무시할 수 없다. 공식 앱을 위조 혹은 변조하여 이용자들에게 혼란을 주는 앱들도 많으며 이렇게 위변조된 앱들은 대부분 악성코드를 가지고 있기 마련이다. 혹은 앱을 다운받을 때 사용자가 앱에게 루팅권한을 부여하도록 유도하여 앱이 스마트폰에 담긴 개인정보에 접근할 수 있도록 하는 경우도 종종 있다. 이러한 상황을 방지하기 위해서 안드로이드 이용자들은 지속적으로 개인의 스마트폰 보안에 신경 쓰는것이 좋다.

일반 사용자들이 악성코드에 감염이 되면 스마트폰에 저장되어 있는 사진, 통화기록, 문자 내역 등 사생활 정보가 노출될 수 있으며, 최악의 경우에는 공인인증서 비밀번호나 은행 거래내역 등 민감한 정보도 유출될 수 있다. 뿐만 아니라 스마트폰이 이용자가 모르는 새에 해커의 ‘노예’가 되어 해커의 조종에 따라 다양한 웹사이트를 공격하는데 이용될 수 있는 상황이 발생할 수 있다.예를 들어, 해커가 특정 웹사이트를 다운시키고자 한다면, 악성코드를 미리 심어놓은 스마트폰을 조종하여 수만대가 동시에 접속하게 하여 웹사이트의 서버를 다운시키는 경우가 있다. 또한, 사용자가 루팅된 기기를 사용하고 있다면, 악성코드 감염 시 더욱 더 큰 피해를 입을 수 있다. 스마트폰이 루팅되었을 때는, 획득된 최고 사용자 권한을 통해 스마트폰 내의 깊은 영역에까지 악성코드가 감염될 가능성이 있다. 또한, 루팅된 기기의 특성상 루팅이 되지 않은 기기보다 더 넓은 폭의 정보가 노출될 수 있다.

다양한 방법의 해킹위협들이 있는건 사실이지만, 사용자들이 대처할 수 있는 법도 여러가지가 있다. 안드로이드의 취약점이 새로이 발견된 후에는 구글 및 삼성, LG등 스마트폰 제조사에서 이를 보완한 업그레이드 버전을 출시한다. 따라서 안드로이드 소프트웨어를 꾸준히 업데이트 하는 것은 보안 취약점으로부터 이용자를 보호해준다. 앱을 다운받을 시에는 항상 공식 앱스토어를 이용해야 하며, 앱 다운 이전에 앱 퍼블리셔를 한번 더 확인하는 습관을 들이면, 위변조된 가짜 앱이나 악성코드가 포함된 앱을 피할 수 있다. 또한 스미싱 위험에도 주의를 기울여 모르는 사람이 보낸 링크나 동영상은 클릭하지 말고 바로 지우는 것이 좋다.이러한 점에 지속적으로 주의를 기울인다면, 보안전문가가 아닌 일반 이용자들도 안드로이드 기기가 내포하고 있는 위험성을 어느정도는 미연에 방지할 수 있다.