[김광현의 IT 집중분석] 스마트폰 '공짜 앱' 통해 개인정보 줄줄 샌다

해커대회'블랙햇' '데프콘'서 180만원짜리 장비로 감청 시연
"스마트폰 해킹은 공공연한 비밀"

지난달 28일부터 1일까지 미국 라스베이거스에서는 블랙햇(Black Hat)과 데프콘(Defcon)이라는 해커 콘퍼런스가 잇따라 열렸다. 해커 콘퍼런스로는 세계적으로 가장 권위를 인정받는 행사다. 콘퍼런스에서는 스마트폰 보안의 취약점이 낱낱이 밝혀져 주목을 받았다. 스마트폰 공짜 애플리케이션(앱 · 응용 프로그램)이 개인정보를 빼가는 스파이웨어로 돌변할 수 있다는 사실도 밝혀졌다.

룩아웃이라는 미국 모바일 보안업체는 약 30만개의 앱을 분석한 '앱 게놈 프로젝트'의 중간결과를 발표했다. 핵심은 아이폰이든 안드로이드폰이든 앱을 통해 과도한 개인정보가 빠져나갈 수 있다는 사실이다. 룩아웃이 분석한 결과 아이폰 공짜 앱의 14%와 안드로이드폰 공짜 앱의 8%가 사용자 동의를 받지 않고 전화번호,이메일 주소 등 컨택트 데이터를 수집하는 것으로 밝혀졌다.

컨택트 데이터뿐 아니다. 룩아웃은 공짜 아이폰 앱의 33%와 공짜 안드로이드폰 앱의 29%가 사용자 위치정보를 가져갈 수 있다고 밝혔다. '서드 파티'로 불리는 파트너 개발사들이 앱을 개발할 때 사용자 분석용이나 광고용 코드를 심을 수 있는데 그 비율이 안드로이드 공짜 앱은 47%,아이폰 공짜 앱은 23%나 됐다.

룩아웃은 안드로이드폰 월페이퍼(배경화면) 앱이 악용됐다고 폭로하기도 했다. 공짜 앱이라서 수백만명이 내려받았는데 폰 사용자의 텍스트 문자,인터넷 서핑 내역 등을 빼갔다는 것이다. 구글은 이 앱 거래를 정지시키고 실태를 조사하겠다고 밝혔다. 미국 스파이더랩스는 안드로이드폰 사용자의 이메일이나 텍스트 메시지를 훔쳐 볼 수 있는 툴을 공개하고 버그를 잡으라고 촉구했다.

블랙햇 콘퍼런스에서는 '휴대폰 한 통화에 9만달러(1억여원)를 낼 수도 있다'는 발표도 있었다. 핀란드 F-시큐어의 보안 전문가는 러시아 해커가 테러리스트를 잡는 슈팅게임에 해킹 바이러스를 심어 통화요금을 조작하는 걸 추적했다고 발표했다. 바이러스에 감염된 게임을 가짜 사이트에 올려놓고 공짜로 내려받게 한 다음,통화가 시작되면 프리미엄 요금이 적용되게 했다고 밝혔다.

데프콘에서는 1500달러(180만원)짜리 장비만 있으면 휴대폰 통화를 엿들을 수 있다는 사실도 밝혀졌다. 크리스 패짓이라는 연구원은 인터셉터 장비로 휴대폰 주파수를 가로채 15명의 통화를 감청했다. 패짓은 네트워크에는 감청 흔적이 남지 않으며,감청지역을 넓힐 수도 있다고 설명했다.

스마트폰 해킹은 보안업계에서는 공공연한 비밀이다. 모비스텔스나 플렛시스파이 등의 사이트에서는 각종 스마트폰 통화내역,폰 주변 감청,폰 사용자 위치추적,텍스트 메시지 모니터링 등을 상업적으로 서비스하고 있다. 돈만 주면 특정 스마트폰 사용자의 위치를 추적할 수도 있고,언제 누구와 통화했는지 확인할 수도 있다. 스마트폰 주변에서 흘러나오는 소리를 엿들을 수도 있다.

이성근 안철수연구소 책임연구원은 "이미 1년쯤 전에 상업적 스파이웨어 서비스가 나왔다"며 "나쁜 마음을 먹으면 이것을 앱으로 만들 수 있을 것"이라고 말했다. 또 "앱을 통해 어떤 정보를 빼가느냐가 중요하다"며 "모바일 서비스에 필요한 정보만 수집한다면 문제가 없겠지만 아이디 패스워드 등 필요 이상의 정보까지 가져간다면 문제가 있다"고 덧붙였다.

스마트폰 해킹으로 피해를 당하지 않으려면 사용자 본인이 조심해야 한다. 정체가 불분명한 공짜 앱을 함부로 깔지 않는 것은 기본이다. 또 PC와 마찬가지로 스마트폰에서도 보안 프로그램 사용을 생활화해야 한다. 국내에서 시판되는 안드로이드폰에는 대부분 V3 모바일이 깔려 있다. 이 프로그램을 활성화해야 한다. 아이폰의 경우 OS(운영체제)를 개조하면 해킹에 노출된다는 점을 감안해야 한다.

IT전문기자 khkim@hankyung.com