보안업체 라온시큐어SK텔레콤에서 개통한 스마트폰 일부 기종에 △위성항법장치(GPS) 위치정보 △주변 무선 네트워크 정보 △스마트폰 모델명 등을 이용자 모르게 제3자가 수집할 수 있는 보안상 취약점이 발견됐다고 14일 발표했다.

SK텔레콤이 통화품질 개선 목적으로 삼성전자 갤럭시 스마트폰과 LG전자 옵티머스G, 팬택 베가 등 국산 스마트폰에 심어놓은 GPS 위치정보파악 모듈이 해킹당할 가능성이 있다는 것이다.

회사 측은 해커가 특정 기능을 수행하도록 명령하는 ‘사일런트 문자메시지(SMS)’를 휴대폰으로 보내면 바로 위치 추적이 가능하다고 설명했다.

사일런트 SMS는 일반 문자메시지와는 달리 소리나 진동, 화면표시 등으로 문자메시지 수신 여부를 알려주지 않는다. SK텔레콤이 심어놓은 GPS 모듈의 취약점을 이용하면 사용자는 해킹당했는지 여부조차 알 수 없다.

사일런트 SMS는 통신사가 휴대폰의 네트워크 환경을 시험하기 위한 목적으로 만들어졌으나 외국에서는 정보기관 등이 사용자 위치정보를 알아내는 용도로 이용돼 논란이 되기도 했다.

해커가 취약점을 공격하는 앱을 만들어 배포하면 예전에 논란이 됐던 위치추적 앱처럼 스토킹 등의 범죄에 악용될 수 있다. 주변에 있는 여러 무선랜 정보도 수집할 수 있기 때문에 건물 안에 있는 사람의 위치 추적도 가능하다.

박찬암 라온시큐어 보안기술연구팀장은 “일정 수준 이상의 해킹 실력을 갖추면 실제로 이 같은 사일런트 SMS를 보내는 프로그램을 제작할 수 있다”며 “이번에 모듈 이름을 밝히지 않은 것은 일반에 공개되면 위험할 수 있기 때문”이라고 말했다.

김보영 기자 wing@hankyung.com