[당신의 스마트폰이 위험하다] '이벤트 당첨' 터치했을 뿐인데…내 폰 주소록·사진이 술술~

스마트폰 6대 보안 위협

문자에 적힌 인터넷주소 클릭
나도 모르게 '악성 앱' 깔려
“스마트폰 안에 있는 다양한 개인정보를 이용해 무수한 ‘신종 범죄’가 생겨날 수 있습니다.”

해커 출신으로 보안업체 ‘에스이웍스’를 운영하고 있는 홍민표 대표는 21일 한국경제신문과의 인터뷰에서 “공인인증서를 손에 넣으면 결제에 활용할 수 있고, 주소록과 사진 정보를 얻으면 지인에게 알리겠다고 협박해 금품 갈취를 할 수 있다”며 이같이 말했다. 그는 “공격자들은 스마트폰의 취약점 분석과 공격을 자동화하는 등 지능화된 해킹 수법을 개발하고 있다”며 “이용자들이 쉽게 넘어갈 만큼 사기 수법도 나날이 발전하고 있다”고 설명했다. 홍 대표가 말하는 스마트폰의 5대 보안 위협을 소개한다. (1) “알몸 영상 유포하겠다” 협박

화상채팅을 권하는 문자를 받은 A씨는 첨부된 링크를 통해 모바일 앱을 깔았다. 앱을 켜자 미모의 여성이 등장하고 음란한 대화와 행위가 오고 간다. 며칠 뒤 A씨는 “돈을 입금하지 않으면 지인들에게 알몸 영상을 뿌리겠다”는 협박성 문자를 받는다. 최근 급증하고 있는 ‘꽃뱀 앱’에 걸려든 것이다. 신뢰할 수 없는 앱을 함부로 내려받은 게 문제였다. 이 앱엔 스마트폰에 저장된 개인정보를 빼내는 악성코드가 담겨 있었다. A씨는 화상채팅이 이뤄진 영상은 물론 전화번호부까지 통째로 해킹당한 것이다.

(2) 해킹 전문 ‘사이버 흥신소’도 등장
마이크와 위치센서가 달려 있는 스마트폰은 훌륭한 도청과 추적장치로 변할 수 있다. 미리 악성 앱을 설치해놓고 문자메시지(SMS)를 통해 자유자재로 스마트폰의 마이크를 켰다 끌 수 있다. 예컨대 ‘1588’이란 숫자로 문자메시지가 도착하면 마이크가 켜지고, ‘5555’라는 숫자로 마이크를 꺼지게 할 수 있다. ‘1588-5000 24시간 대리운전’ 같은 문자가 오면 마이크가 켜지고 도청이 시작된다. 위성항법장치(GPS) 같은 위치센서를 동작시켜 위치 정보를 빼내 올 수도 있다. 이 같은 ‘사이버 흥신소’는 이미 미국에 등장해 배우자나 애인을 뒷조사하는 도구로 이용되고 있다. 한국에서도 비슷한 수법이 등장했다가 경찰에 붙잡힌 사례가 있다.

(3) ‘짝퉁 앱’ 통해 개인정보 유출 앱 장터에 정식으로 올라온 모바일 앱을 똑같이 베낀 뒤 악성코드를 심어 다시 장터에 올리는 ‘악성 복제 앱’도 문제가 심각하다. 안드로이드 운영체제(OS)는 공개된 OS이기 때문에 개발 소스코드를 열람하면 어떻게 만들어졌는지 쉽게 알 수 있다. 홍 대표는 “국내 인기 앱 중에는 4시간 만에 디자인을 베낄 수 있는 것도 있다”며 “중국 등에는 거액의 펀딩을 받아 한국 모바일 앱을 그대로 베끼는 회사가 많다”고 말했다. 이처럼 똑같이 생긴 앱에 악성코드가 심어지면 이용자가 정식 앱을 내려받았다고 착각하는 사이 개인정보가 유출된다.

(4) 근접무선통신(NFC) 해킹

스마트폰을 신용카드나 교통카드 대용으로 쓸 수 있는 NFC 기능은 편리한 만큼 해킹에 취약하다. 지난해 말 해외에서 열린 해킹경진대회에서 국내 신형 스마트폰이 해킹을 당한 것도 NFC 기능 때문이었다. 이 기능을 통해 침입한 악성코드가 문서 파일을 읽는 ‘뷰어’ 프로그램의 취약점을 공격한 것. 홍 대표는 “사전 탑재된 이 문서파일 뷰어는 공교롭게도 이메일, 문자메시지, 주소록 등 다양한 정보에 접근할 수 있는 권한이 있었다”며 “NFC를 통한 해킹은 해커들 사이에서 인기를 끌고 있다”고 말했다. (5) ‘OOO님 청첩장이 도착했습니다’ 클릭 위험

음란한 화상채팅에는 관심이 없다고 안심해선 안 된다. 개인정보를 빼내오는 앱은 다양한 형태를 띠고 있다. 모바일 청첩장이 대표적이다. 청첩장이 도착했다는 문자에 적힌 인터넷 주소를 클릭하는 순간 악성 앱이 사용자 모르게 깔릴 수 있다. 투명한 아이콘으로 눈에 보이지 않을 수 있고, 애니팡이나 윈드러너 등 인기 앱의 아이콘으로 위장하기도 한다. 최근에는 피해자의 실명을 거론하며 ‘OOO님 청첩장이 도착했습니다’라는 식으로 지능화하고 있기도 하다. 청첩장 외에도 친구의 이름으로 ‘OOO야 지금 통화 안 되니? 이걸로 대화하자’며 메신저 앱 설치를 유도하거나, ‘데이터 사용량이 초과했다’며 통신사로 위장하기도 한다. 잘못 눌렀다가는 스마트폰에 저장된 통화기록, 문자메시지, 위치정보, 사진 등 개인정보가 모르는 새 새어나갈 수 있다.

(6) 권한상승 악성코드

스마트폰 단말기 자체나 OS의 취약점을 노린 권한상승 악성코드는 백신에 잡히지 않는다. 스마트폰 내부의 모든 정보에 접근할 수 있는 높은 권한을 가진 악성코드는 애플리케이션(앱)인 백신이 인지할 수 없기 때문이다. 사이버전이나 정보전 용도로 활용할 수 있는 이유다. 악성코드를 통해 해커가 ‘최고 권한’을 얻으면 원격으로 스마트폰을 자유롭게 제어할 수 있어 사실상 해커의 스마트폰이 되는 셈이다.

김보영/임근호 기자 wing@hankyung.com 스마트폰 해킹, 이렇게 막자

1. 보안 프로그램을 반드시 활성화해라
2. 출처가 불분명한 앱은 깔리지 않도록 스마트폰을 설정해라
3. ‘공짜’ ‘이벤트 당첨’ 등 문자에 붙어온 앱은 깔지 마라
4. 출처가 확인되지 않은 링크엔 접속하지 마라
5. 스마트폰과 연동되는 PC에도 백신을 설치해라
6. 블루투스 등 무선 인터페이스는 사용할 때만 켜놓아라
7. 소액 결제는 한도를 설정해라