"어? 전 남친 청첩장이…" 카톡 메시지 누르는 순간 도청·도촬이 시작된다

커버스토리 - 당신의 스마트폰, 누군가 들여다보고 있다

해킹툴 15만원만 주면 구입…30만원이면 실시간 위치 추적
모바일 청첩장·초대권 할인 등 악성코드 숨은 '미끼 문자' 보내
30분이면 감쪽같이 해킹…스마트폰에 담긴 모든 것 털려

“김 대리, 기획안 아직 덜 됐나?”

“거의 다 됐습니다. 마무리만 하면 됩니다.”

부산에 사는 직장인 김모씨(29)의 스마트폰이 ‘도청장치’로 둔갑한 것은 순식간이었다. 노트북 컴퓨터에 내려받은 해킹 프로그램의 빨간색 녹음 버튼을 누르자 김씨의 업무상 통화 내용이 실시간으로 들려왔다. 스마트폰 주변에서 발생하는 소리까지 놓치지 않았다.

화이트 해커 박재일 씨가 29일 경기 성남시 운중동의 한 카페에서 부산에 사는 직장인 김모씨의 스마트폰 해킹을 시연하고 있다.

한국경제신문은 29일 경기 성남시 운중동의 한 카페에서 화이트 해커(white hacker: 악의적인 해킹을 방어해 보안시스템을 지키는 전문가) 박재일 씨(19)의 도움을 받아 김씨의 스마트폰에 해킹을 시도했다. 박씨는 2014년부터 스마트폰 해킹을 비롯한 정보기술(IT) 테러에 대한 보안 기술을 연구하는 해커들의 모임인 ‘락다운’에서 부팀장을 맡고 있다. 이날 해킹 실험은 사전에 김씨의 동의를 구한 뒤 이뤄졌다. 경찰청의 조언 아래 스마트폰 해킹을 모의 실험하는 방식으로 불법 소지를 피했다.

중·고등학생도 쉽게 조작

김씨의 스마트폰을 해킹하는 데는 30분도 채 걸리지 않았다. 해킹 프로그램은 중·고등학생도 쉽게 조작할 수 있게 짜여 있었다.

먼저 해킹 프로그램에서 클릭 한 번으로 김씨의 스마트폰을 감염시킬 악성코드를 제작했다. 이 악성코드가 김씨의 스마트폰에 설치되는 순간 해킹이 시작된다.

관건은 ‘미끼를 물게 하는 방법’이었다. 김씨의 스마트폰을 몰래 가져와 직접 악성코드를 설치할 수도 있지만 그가 부산에 있었기 때문에 이 방법은 불가능했다. 그래서 광고 문자를 보내는 방법을 택했다.

페이스북을 통해 김씨가 가수 다이나믹듀오를 좋아한다는 사실을 알아낸 뒤 ‘다이나믹듀오 콘서트 초대권 할인’이란 제목으로 홍보 문구를 만들어 문자를 전송했다. 홍보 문구를 누르면 자동으로 악성코드가 설치되는 인터넷 연결주소(링크)로 접속된다. 박 부팀장은 “블랙 해커(black hacker: 타인의 컴퓨터나 스마트폰 등에 침입해 정보를 빼가거나 시스템을 마비시키는 해커)들은 링크를 누를 확률을 높이기 위해 상대방이 관심을 보일 만한 내용을 문자나 카카오톡 메시지로 보낸다”며 “지인을 가장해 모바일 청첩장을 보내는 것도 흔히 쓰는 방법 중 하나”라고 설명했다.

타인 스마트폰 원격조종 가능

잠시 뒤 해킹 프로그램 창에 김씨의 스마트폰 기종, 설치된 운영체제, 인터넷 주소(IP) 등 관련 정보가 떴다. 김씨가 메시지에 표시된 문제의 링크를 누른 것이다. 이때부터 김씨의 스마트폰을 컴퓨터로 원격조종할 수 있었다.

해킹 프로그램의 기능은 강력했다. 녹음 버튼을 누르면 도청이 되고, 카메라 버튼을 누르면 ‘도촬(몰래 촬영하는 것)’이 됐다. 카메라 기능을 작동해 보니 부산 지하철 내에서 스마트폰을 들여다보고 있는 김씨의 얼굴이 보였다. 스마트폰에 저장된 파일이나 사진, 문자, 통화 내역도 확인할 수 있었다. 위치 추적이나 앱(응용프로그램) 설치·제거 등도 원격으로 가능했다.

30여분간 실험을 마치고 김씨에게 전화를 걸어 해킹 사실을 알리자 그는 “기다리고 있었는데도 전혀 눈치채지 못했다”고 깜짝 놀랐다. 원격으로 카메라를 켜거나 녹음을 해도 김씨의 스마트폰 화면에는 아무런 변화가 없기 때문이다. 김씨는 “누군가 스마트폰으로 내 일거수일투족을 들여다볼 수 있다고 생각하니 섬뜩하다”고 했다.

맞춤형 해킹 프로그램 판매

해킹 프로그램은 인터넷에서 쉽게 구할 수 있었다. 구글에 ‘스마트폰 해킹툴 구매’ ‘스마트폰 해킹 의뢰’ 등으로 검색하면 해킹 프로그램을 판매한다거나 해킹을 해주겠다는 홍보 문구가 나타난다. 홍보 문구에 적힌 소셜네트워크서비스(SNS) 아이디로 프로그램 구매를 문의하자 20여분 뒤 판매자로부터 답장이 왔다. 그는 “판매는 사이버상품권을 통한 선결제로 이뤄지며 무엇이든 궁금한 사항이 있으면 물어보라”며 해킹 프로그램 리스트를 공개했다.

스마트폰 해킹 프로그램은 15만원이었다. 해킹 기법을 담은 초보자용 패키지는 안드로이드폰용이 55만원, 아이폰용은 70만원에 팔았다. 해킹 서비스도 제공했다. 해킹 의뢰는 건당 65만원, 실시간 위치추적 의뢰는 30만~50만원 수준이었다. 박 부팀장은 “블랙 해커들이 돈벌이를 위해 고객 맞춤형 해킹 프로그램을 제작해 판매하거나 해킹 의뢰를 받고 있는 것으로 알고 있다”고 전했다.

박상용/황정환 기자 yourpencil@hankyung.com