트렌드

“모바일 보안, 안녕들 하십니까”

2013.12.18

“모바일 청첩장이 도착했습니다.”

뭐가 담겼는지 알 수 없는 단축 링크를 품은 문자메시지를 오늘도 받았다. 스미싱 문자일 게 뻔하다. 하지만 알면서도 반가운 친구 이름에 자칫 클릭할 뻔 했다. 링크를 눌렀다면 내 스마트폰에 악성 앱이 깔렸을 게 틀림없다.

스마트폰 해킹은 우리가 늘 겪고 있는 스트레스가 됐다. 올해 10월 미래창조과학부 소속 민주당 장병완 의원이 미래부와 한국인터넷진흥원의 공인인증서 유출에 관한 자료 조사 결과를 밝혔다. 이에 따르면 올해 상반기에만 공인인증서 6933건(9월 기준)이 유출됐다. 지난해 8건이 유출 건수는 1년 새 800배 이상 늘었다. 그 중 90%인 6156건이 스마트폰에서 흘러나갔다. 이쯤되면 공인인증서 유출이 대부분 스마트폰에서 일어난 것과 다를 바 없다고 봐도 무방하다.

Δ최근 3년간 공인인증서 유출 건수(출처 : 미래창조과학부, 인터넷진흥원, 장병완 의원실)

이뿐만이 아니다. 스마트폰을 대상으로 하는 해킹은 공인인증서를 넘어서 단말기 속 사진과 개인 연락처, 메모 등도 빼간다. 이같은 개인정보 및 사생활 유출은 피싱전화처럼 금전적, 심리적 2차 피해를 일으킬 가능성이 있기에 더욱 심각한 문제다.

나보다 나를 더 잘 아는 스마트폰

2012년 방송통신위원회와 한국인터넷진흥원의 정보보호 실태조사 발표 결과, 만 12-59세 국내 개인 인터넷 이용자 중 스마트폰을 이용하고 있는 비중은 78.9%로 나타났다. 지난해에 비해 28.3%나 상승했다. 스마트폰이 PC가 하던 역할을 대체하며 우리 삶에 점점 깊숙히 들어오고 있는 것이다.

그런데 스마트폰은 이전에 쓰던 휴대폰과 전혀 다른 기기다. 사람들은 스마트폰으로 전화 통화를 하고 메시지와 e메일을 주고 받는다. 사진도 찍고 인터넷 검색, 소셜네트워크 서비스(SNS)도 쓴다. 스마트폰으로 이뤄지는 일들이 대부분 개인정보와 관계 있다. 더구나 우리는 GPS가 달린 스마트폰을 항상 끼고 살기에 실시간 위치정보도 기록된다. 스마트폰에 기반한 모바일뱅킹 이용자수도 올해 3천만명을 돌파했다. 스마트폰이 PC대신 나의 모든 것을 기억하고 있다. 나보다 나를 더 잘 아는 게 요즘 스마트폰이다.

스마트폰 해킹 사고, 악성코드 설치에서 시작

그럼 이런 스마트폰 해킹은 어떻게 일어나는 것일까. 안랩에 따르면, 스마트폰 보안사고는 대다수의 경우 악성 앱을 설치하는 것에서 시작한다. 악성 앱이 사용자 기기에 깔리면 스마트폰 속 정보를 훤히 들여다볼 수 있고, 키보드를 어떻게 누르는지부터 전화통화 내용, 문자메시지까지 손에 넣을 수도 있다. 단순히 개인정보만 유출되는 게 아니다. 온갖 비밀번호, 계좌번호를 손에 넣으면 금전 피해로도 이어진다.

 Δ2011~2013년 월별 스마트폰 악성코드 발견 건수 (출처 : 안랩)


Δ2012년-2013년 스미싱 악성코드 현황 (출처 : 안랩)

그렇다면 악성 앱은 어떻게 우리 스마트폰 안으로 들어올까. 이스트소프트 김진욱 대리는 악성 앱이 깔리는 경로가 크게 두 가지라고 설명한다. 하나는 소셜네트워크 서비스(SNS)나 문자메시지에 포함된 웹주소를 눌러 악성 앱을 내려받게 되는 경우이고, 두 번째는 구글플레이와 같은 공인된 앱 장터 대신 불법복제나 다른 경로로 감염된 앱을 내려받는 것이다. 둘 다 악성코드가 담긴 설치파일이 깔리는 경로가 된다.

특히 합법적인 앱으로 위장한 리패키징 앱들은 기존 앱에 악성코드를 심어서 다시 설치 패키지로 만든 뒤 불특정 다수에게 배포하는 방식을 띠고 있다. 예를 들어 최근 악성 앱이 ‘캔디 크러시 사가’와 같은 인기 모바일게임을 가장해 내려기를 유도하는 식이다. 이런 앱들은 아이콘 모양 뿐 아니라 기능도 똑같아 앱을 깔고 매일 써도 진짜인지 가짜인지 구별하기 어렵다.

하지만 이런 방식이 딱히 새롭다거나 고도화된 건 아니다. PC를 사용할 때부터 있었던 방식이다. 그게 그대로 모바일로 넘어온 것 뿐이다. 지금도 네이버에서 ‘알약’을 검색하면 공식 웹사이트가 아니라 블로그 등에서도 내려받을 수 있는, 악성코드를 품은 파일이 여럿 올라와 있다. 무심코 받았다가는 PC를 덥석 집어삼킬 프로그램들이다. 누르고 싶어지는 웹 주소, 공짜로 내려받는 불법복제 프로그램으로 스마트폰을 유혹하는 것과 쏙 빼닮았다.

 

 Δ 알약을 정식으로 내려받는 방식

 Δ네이버에서 ‘알약 다운로드’ 검색 결과

왜 안드로이드만?

이같은 악성 앱의 모바일 유포는 안드로이드 운영체제(OS) 기반의 스마트 기기 중심으로 이뤄진다. 장병완 의원이 조사·발표한 공인인증서가 유출된 스마트폰도 모두 안드로이드OS였다. 왜 안드로이드가 유독 보안 위협에 노출돼 있을까.

이스트소프트 김진욱 대리는 “안드로이드는 앱 장터가 개방돼 있어서 보안에 취약한 부분이 많다”라며 “안드로이드는 앱 설치파일(APK)만 내려받으면 루팅이나 탈옥 없이도 스마트폰에 앱을 설치할 수 있기 때문”이라고 말했다. 안전이 검증되지 않은 앱이 언제든 스마트폰에 깔릴 수 있다는 얘기다.

스마트폰 보안 문제는 나아지기보다는 반복되며 진화하고 있다. 이동통신사는 대부분 스마트폰 백신 앱과 구제를 위한 상담센터를 운영한다.

LG유플러스는 모바일 고객센터 ‘유플러스 고객센터 2.0’ 앱을 제공하고 있다. 이 앱은 휴대폰 소액결제 사기로 인한 피해를 예방하기 위해 소액결제 기능을 모바일에서 실시간 차단할 수 있다. 스미싱 사기 피해를 당한 고객이 보상을 요청할 경우 자체 검증 절차를 거쳐 스미싱 피해로 확인되면 다음달 청구되는 휴대폰 요금에서 피해 금액에 대해서는 청구하지 않고 있다.

SK텔레콤은 악성코드와 스파이웨어, 스미싱 여부 등을 검사해주는 ‘T가드’ 앱을 제공하고 있다. 또한 통신사를 사칭하는 스미싱 문자를 구분할 수 있도록 SK텔레콤이 고객에게 보내는 문자에는 위조가 불가능한 ‘안심메시지’ 마크를 붙여서 발송하고 있다.

KT는 ‘올레 스미싱 차단’ 앱으로 사칭문자 유포를 집중 감시해 다운로드하는 고객에게 예방과 조치 방법을 문자로 발송하고 있다. 소비자 피해구제센터 상담센터에선 사고 수습을 돕도록 했다.

ΔKT 소비자 피해구제센터 

이용자, 기업? 누가 더 조심해야 할까

그런데 대부분은 문제가 일어난 뒤 이를 수습하는 방식이다. 그럼 사건이 일어나기 전에 막으려는 노력은 없을까. KT 이정호 매니저는 이동통신사들은 대량으로 들어오는 문자메시지 중에서 ‘대출’처럼 스미싱에 단골로 등장하는 단어의 사용 패턴을 분석해, 문제가 있어 보이는 사항은 주시하다 문제로 밝혀지면 바로 차단하는 식으로 대비하고 있다고 전했다.

하지만 스마트폰 해킹 수법은 계속 진화하고 있다. 스마트폰 이용도 어려워하는 사람들이 스스로 보안사고를 100% 막기는 어렵다. 제조사와 통신사, 서비스 업체들은 다양한 예방과 구제 방법을 제시하고 있지만, 사고는 계속 늘어난다. 스마트폰 보안 문제가 지적될 때마다 업계에서는 “스마트폰은 보안 위협에 노출되기 쉬우니 백신을 이용하고 안전하게 스마트폰을 쓰는 습관이 필요하다”는 이야기를 입버릇처럼 하곤 한다. 이용자들이 조심해야 한다는 얘기다. 스마트폰 보급률이 늘어난다고 이용자의 스마트폰 보안 의식 수준도 덩달아 올라갈까. 제조사, 통신사, 서비스 업체 등도 개인들이 스마트폰을 안전하게 쓸 수 있도록 도와야 할 책임이 있다.

업체들은 한결같이 말한다. ‘보안이란 창과 방패 같아서, 완전히 막는 건 불가능하다’고. 나름 노력은 하고 있지만 사용자가 조심하는 게 중요하다는 얘기도 빼놓지 않는다. 물론, 보안에 100%는 없다. 하지만 과연 보안이라는 게 어쩔 수 없어서 어쩔 수 없는 것인지, 아니면 충분히 노력했는데 어쩔 수 없다는 얘기로 덮으려는 건지 판단이 쉽지 않다.

보안의 책임이 개인에게만 있는 것은 아니지만 내 정보가 가득 담긴 스마트폰의 보안에 대해 스스로가 경각심을 가지고 주의해야 할 필요성은 있다. 피해를 줄이기 위한 예방법 몇 가지를 알아보자.

① SNS나 문자메시지의 확인되지 않은 웹주소는 절대 클릭하면 안 된다.

Δ정체가 숨겨진 단축 URL을 누를 때는 주의해야 한다.

② 모바일 백신 앱을 설치하고 스마트폰을 주기적으로 검사하는 것이 좋다. 스미싱 탐지 전용 앱 설치도 필요하다. 무료로 제공하는 통신사별 스미싱 알림 서비스를 가입하는 것도 좋은 방법이다.

③ ‘알 수 없는 출처(소스)의 허용’을 풀 떄는 신중해야 한다. ‘단말기 환경 설정→보안’에서 체크 표시를 해제했는지 확인한다. 또한 통신사 고객센터와 통화해 소액결제 서비스를 차단하거나 결제 한도를 소액으로 제한해야 한다.

Δ스마트폰 환경설정에서 보안에 들어가서 체크. 

④ 개인정보가 유출됐을 때는 경찰에 신고부터.

실제 스미싱으로 인한 피해를 입으면 어떻게 해야 할까. 바로 112에 전화하자. 112에 신고하고 경찰에서 ‘사건사고 사실확인원’을 발급받은 후, 이동통신업체에 제출해야 한다. 피해 사실이 확인되면 피해금을 환급받을 수 있다.

hyeming@bloter.net

기술을 아는 기자, 언론을 아는 기술자가 되고 싶습니다. e메일 : hyeming@bloter.net