해킹된 스마트폰으로 ‘2시41분 테스트’라고 카카오톡 메시지를 보내자 PC 해킹 프로그램이 해당 내용을 가로챘다. 오른쪽 사진은 해커가 스마트폰 화면을 탈취해 컴퓨터로 전송하고 있는 모습이다.   해킹시범 영상 캡처
해킹된 스마트폰으로 ‘2시41분 테스트’라고 카카오톡 메시지를 보내자 PC 해킹 프로그램이 해당 내용을 가로챘다. 오른쪽 사진은 해커가 스마트폰 화면을 탈취해 컴퓨터로 전송하고 있는 모습이다. 해킹시범 영상 캡처
“안드로이드, 아이폰 기종 불문 해킹 가능합니다. 75만원이면 어떤 스마트폰도 털어 드립니다.”

SNS에서 쉽게 찾아볼 수 있는 ‘해킹 비용 상담’ 관련 게시 글이다. 일정 금액만 내면 목표로 삼은 사람의 스마트폰에 악성 앱을 설치해 정보를 빼주겠다는 것이다. 견적을 의뢰하니 해커는 스마트폰 메시지를 컴퓨터 해킹 프로그램으로 가로채는 장면을 보여줬다. 스마트폰으로 네이버 뉴스페이지에 접속하자 해커의 컴퓨터에도 스마트폰 화면이 실시간 중계됐다. 해커는 “독자 개발한 기술”이라며 “믿고 신뢰할 수 있다”고 했다.

스마트폰이 일상생활의 필수품이 되면서 스마트폰 해킹사건도 빈번하게 일어나고 있다. 유명 배우와 기업인, 정치인, 방송인의 사생활이 해킹을 통해 유출되는 것은 물론 일반인도 방심하는 사이 해킹 위험에 고스란히 노출될 수 있다는 게 전문가들 지적이다.

대상 가리지 않는 스마트폰 해킹 범죄

지난 8일 서울지방경찰청은 배우 주진모 씨의 사생활 관련 허위 내용 유포에 대해 엄정 대응하겠다고 밝히고, 이 같은 내용을 퍼뜨린 해커들을 수사 중이라고 밝혔다. 주씨의 사생활이 온라인으로 퍼진 원인은 한 해커가 주씨의 스마트폰 클라우드 계정 정보를 탈취해서다. 스스로 ‘블랙해커’라고 칭한 이들이 해킹 대상으로 삼은 유명인만 10여 명. 이들은 주씨 등 피해자들에게 최대 10억원에 달하는 금액을 요구한 뒤 이를 수용하지 않으면 나머지 내용을 유포하겠다고 협박한 것으로 전해졌다.

세계 최대 부호인 제프 베이조스 아마존 최고경영자(CEO)의 스마트폰도 해킹 대상이 됐다. 가디언 등 주요 외신은 지난 21일 베이조스 CEO의 불륜 사실은 사우디아라비아의 공작으로 들통난 것이라고 보도했다. 무함마드 빈살만 사우디 왕세자가 보낸 메시지 속 동영상에 해킹용 악성코드가 숨겨져 있어 이를 받아본 베이조스 CEO의 스마트폰 속 정보가 사우디 해커들에 의해 털렸다는 것이다. 가디언은 베이조스 외에도 재러드 쿠슈너 미국 백악관 선임고문, 마이크 펜스 미 부통령, 보리스 존슨 영국 총리, 빌 게이츠 마이크로소프트 설립자 등도 사우디의 해킹 대상이 됐을 수 있다고 언급했다.

유명인뿐만 아니라 일반인도 스마트폰 해킹에 시달리고 있다. 경찰이 지난해 하반기 6개월간 사이버 금융범죄, 정보통신망 침해형 범죄에 대한 특별단속을 벌인 결과 2632명이 검거되고 77명이 구속됐다. 이 중 스마트폰 문자메시지나 메신저를 이용한 스미싱이 682명으로 전체의 35%를 차지했다. 해킹, 악성프로그램 유포 수법으로 돈을 뜯어낸 범죄자가 670명으로 그 뒤를 이었다. ‘경찰청 폴·안티스파이’를 사칭한 앱을 내려받도록 한 뒤 피해자들의 개인 정보를 빼낸 범죄도 있었다.

경찰통계연보에 따르면 정보통신망 침해 범죄 중 해킹 발생 건수는 △2014년 1648건 △2015년 2247건 △2016년 1847건 △2017년 2430건 △2018년 2178건으로 집계됐다. 최근 들어 해마다 2000건 이상이 발생하고 있다.

‘해킹 흥신소’까지 등장

온라인에서는 해킹해 준다는 흥신소가 활개치고 있다. 배우자의 불륜이나 지인의 사생활을 알고 싶으면 의뢰하라는 식으로 일반인을 유인하고 있다. 업체마다 가격은 다르지만 20만~100만원의 사례비를 요구한다. 일반적인 문자메시지나 통화내역은 물론 카카오톡과 같은 메신저, 트위터나 인스타그램 등 SNS도 해킹이 가능하다는 게 업체들 주장이다.

이들은 악성 앱 설치를 유도한 뒤 정보를 빼내오는 수법을 주로 사용한다. 일부 업체는 전화번호와 카카오톡 계정 등의 정보만 있어도 해킹할 수 있다고 주장하고 있다. 기자가 접촉한 한 업체는 “통신사 대리점과 연계해 작업하므로 번호만 있으면 해킹이 가능하다”고 주장했다.

통신사 정보가 해킹돼 흥신소에 넘어간 사례도 있다. 2016년 7월 경찰은 휴대전화 위치 정보를 흥신소 등을 통해 판매한 해커 김모씨 등 8명을 검거했다. 경찰 조사 결과 김씨는 휴대전화(피처폰)의 취약점을 이용해 통신사 위치 정보 서버 주소(URL)를 획득한 뒤 데이터 분석·송수신 프로그램을 사용해 추적한 위치 정보를 브로커에게 건당 30만원에 넘긴 것으로 나타났다.

스마트폰을 노린 해킹 공격은 꾸준히 증가하고 있다. 한국인터넷진흥원(KISA)에 보고돼 분석 절차에 들어간 악성 앱 수는 △2015년 1665건 △2016년 1635건 △2017년 3023건 △2018년 4039건으로 집계됐다. 지난해 1~8월에는 7330건이 적발돼 연간 1만 건을 넘길 전망이다. 안랩에 따르면 지난해 이 회사가 분석한 모바일용 악성코드 샘플 수는 약 236만 건에 달한다.

전문가들은 최근 스마트폰 해킹은 대부분 악성 앱이나 악성코드를 담은 파일을 이용한다고 말한다. 안드로이드 운영체제(OS)를 사용하는 스마트폰의 경우 사용자가 APK 파일을 웹페이지에서 내려받거나 사용자끼리 직접 공유해 앱을 설치할 수 있는데, 이 과정에서 악성 앱들이 주로 퍼진다는 얘기다. 공식 앱 배포처인 구글 플레이스토어에서 배포한 것과 외관과 기능이 비슷하지만 실제로는 악성코드가 은밀히 숨겨져 있다.

이종호 라온시큐어 선임연구원은 “최근에는 안드로이드 기종이나 애플 아이폰의 보안이 크게 강화돼 취약점으로 해킹되는 일은 찾아보기 드물다”며 “대부분은 사용자 부주의나 피싱, 스미싱 등으로 인한 해킹이 다수”라고 설명했다.

“이중 보안 걸어둬야”

전문가들은 이 같은 해킹, 스미싱에 대비하기 위해 의심되는 메시지는 차단하고, 이중 보안을 걸어둘 것을 권고하고 있다. 출처가 불분명한 문자나 메일, 메시지는 바로 열지 말고 발신자를 다시 한 번 확인해야 한다.

이미 개인정보를 빼내가려는 시도가 확인됐다면 2단계 인증을 걸어두는 게 필수다. 2단계 인증이란 아이디, 비밀번호 이외에 일회용 비밀번호(OTP)나 문자메시지 인증코드 등으로 재차 본인임을 인증하는 절차다. 취약점 공격을 방어하기 위해선 앱과 스마트폰 OS를 최신 상태로 꾸준히 업데이트하는 것도 필수다.

한창규 안랩 시큐리티대응센터(ASEC) 센터장은 “반드시 구글 플레이 등 공식 앱 스토어를 이용해 앱을 설치하고, 앱이 어떤 권한을 요구하는지 꼼꼼히 확인해야 한다”며 “출처가 불분명한 URL 접속을 삼가고, 비밀번호가 없는 공용 와이파이를 이용할 때는 가급적 금융거래를 하지 않는 편이 좋다”고 했다.

배태웅/이주현 기자 btu104@hankyung.com