국정원 RCS해킹 사건, 기억하시나요? RCS라는 해킹툴은 PC부터 이동통신 단말기까지 올인원 해킹 시스템이다. 지난 7월 웹사이트 ‘위키리크스’가 이탈리아 소프트웨어 기업 ‘해킹팀’과 전 세계 각국 정부가 주고받은 해킹 소프트웨어 거래 자료를 폭로하면서 우리나라의 해킹프로그램 매입 사실이 드러났다. 날이 갈수록 발달하는 해킹 프로그램. 이 프로그램 사용의 옳고 그름을 떠나, 앞으로 해킹 위험을 견제해야 한다는 것은 명확한 사실이다.

  우리는 얼마나 많은 정보를 스마트폰에 담고 사는가?
  우리는 다양한 기능을 가진 ‘앱’을 사용하기 위해 정보에 관한 특정 ‘권한’을 앱에 부여한다. 평소 자주 이용하는 무료 와이파이 역시 스마트폰에 접근 가능한 경로를 제공한다. 스마트폰은 우리의 모든 정보를 담고 그것을 기억한다는 것을 자각해야 한다. 또한 자신의 통제 범위를 벗어나지 않도록 주의할 필요가 있다.
지난 16일 KBS <소비자 리포트>에서는 우리 학교 정보보안동아리 ‘ARGOS’와 함께 실제 해킹프로그램을 만들어 스마트폰 사용자의 정보를 빼내는 실험을 진행했다. ‘ARGOS’ 회장 이현호(컴퓨터공학, 26) 학우는 “이번 실험을 통해 스파이 앱을 처음 만들어 봤다. 생각보다 스파이 앱을 만드는 것은 어렵지 않았다. 일반 사용자들은 무심하게 어플을 다운받고 사용하고 있는데 앱 개발자가 악의를 가지고 쉽게 악용할 수 있다는 것을 느꼈다”고 말했다.

  우리의 정보를 위협하는 검은 그림자
  현재 모바일 기기를 대상으로 한 공격 중 가장 많은 형태는 앱 스토어를 통해 악성 앱을 배포하는 형태이다. 이를 ‘스파이 앱’이라고 하는데 앞서 언급한 RCS도 스파이 앱의 종류 중 하나다. 우리 학교 학우들도 다수 사용해 봤을 법한 손전등 앱은 플래시를 켤 때마다 위치와 개인 정보를 수집하여 유출한 스파이 앱 사례로 꼽을 수 있다.
  이에 <DFRWS Forensic Challenge >연구자 부분 우승자 우리 학교 컴퓨터 공학과 박사과정 4년차 김동우 대학원생은 “사용자는 앱을 사용하고 싶은 마음에 앱에 부여되는 권한이 얼마나 오용되고 남용되는지를 생각하지 않고 쉽게 설치한다”고 말했다. 최근 구글 마켓에서는 앱이 판매되기 전, 검사를 거치고 있지만 설치된 후 업데이트를 통해 폰에 침투하는 것이 어렵지 않아 이에 대한 실효성을 거두기 어려운 실정이다.
무료 와이파이 환경이 잘 갖춰진 커피전문점에서 일을 하거나 공부를 하는 이른바 ‘코피스족’을 노린 신종 파밍도 등장했다. 무료 와이파이는 해커들에게 스마트폰 접속 경로를 제공한다. 해커들은 어떤 방법으로 스마트폰을 공격할까? 가장 많이 이뤄지는 와이파이 형태의 해킹사례는 Rogue AP(Evil twin)이다. 이는 통신사별로 무료로 이용할 수 있는 AP를 사칭한, 이름만 같은 와이파이다. 김동우 대학원생은 “먼저 공격자는 사람이 많은 곳에 신호를 세게 틀어 와이파이 검색 시 가장 상단에 위치할 수 있도록 한다. 패스워드를 걸지 않으면 사용자는 자신의 통신사 와이파이로 인식하며 연결을 시도한다. 그러면 공격자는 와이파이를 통해 사용자의 휴대폰에 침투할 수 있게 된다”고 말했다.
  이어 그는 “공격자 본인의 와이파이가 아니더라도 AP 보안설정이 부실한 비암호 와이파이는 공격자가 관리자로서 권한을 행세하며 데이터를 유출시킬 수 있다”고 말했다.
  최근 중고폰, 폐 휴대폰을 매입하는 사람들이 많아졌다. 그러나 휴대폰을 팔기 전 주의할 점이 있다. 우선 유심카드와 마이크로SD카드를 제거하고 휴대폰을 초기화해야 한다. 하지만 특정한 룰을 이용하면 삭제된 정보를 복원시킬 수 있어 휴대폰에 영상 및 다른 파일로 용량을 가득 채우고 초기화시켜야 한다. 이 작업을 3번 정도 반복하면 웬만해서 복원시키기 어렵다.
  링크가 걸린 택배, 청첩장 문자를 받아 본적이 있는가? 최근 이와 같은 형태의 스미싱 범죄가 늘고 있다. 스미싱이란 기존 보이스 피싱(voice+fishing)과 같이 SMS와 fishing이 결합된 합성어다. 김동우 대학원생은 “스미싱은 고질적인 범죄다. 그 피해건수가 어마어마하다. 개인정보를 빼내 소액결제를 신청하는 방법으로 중국에서 많이 노리고 있는 범죄유형”이라며 “최근 들어 이 같은 문제를 예방하기 위해 소액결제 인증단계를 늘리고 접근을 불편하게 만들고 있다”고 언급했다.
  하지만 올해 모바일 보안계 큰 이슈는 따로 있다. 김동우 대학원생은 “전세계 최대 해킹 컨퍼런스 ‘블랙켓’은 번호만 있으면 휴대폰에 침투가 가능한 안드로이드 스마트폰의 취약점을 발표했다. 타겟에 MMS를 보내기만 하면 사용자가 확인하지 않아도 정보를 유출할 수 있다는 것”이라고 말했다.
  현재 전 세계 안드로이드 폰의 95%가 이런 취약점을 가지고 있다. 물론 최근 출시되는 신형 스마트폰은 보안이 가능하지만 오래된 휴대폰의 경우는 회사에서 업데이트를 해야 할 의무가 없기 때문에 개인정보 유출 위험에 노출될 수 있다. 김동우 대학원생은 “핸드폰에 이와 관련된 보안기능이 없다고 판단되면 MMS 기능을 꺼서 범죄로부터 완전히 벗어날 수 있다. 하지만 장문의 문자를 받지 못하는 불편을 감수해야 한다”고 말했다.

  보안앱을 활용한 보안 방법
  해킹위협으로부터 우리의 스마트폰을 지켜줄 다양한 앱과 방법들이 있다. 보안 앱이라고 다 같은 기능을 가진 것이 아닌데 이를 세 개로 나누어 살펴보면, 모바일 통합 보안, 모바일 백신, 스미싱 차단이 있다. 모바인 통합 부분에는 미래부와 한국인터넷진흥원(KISA)에서 개발된 ‘폰키퍼’와 ESTSOFT의 ‘알약 안드로이드’가 있다. ‘폰키퍼’는 스마트폰 보안 자가점검앱이며 ‘알약 안드로이드’는 백신 기능을 통한 악성파일 검사, 백신 프로그램이다. 모바일 백신에는 안랩의 ‘V3’, 하우리의 ‘바이로봇’이 있는데 이는 악성코드의 실시간 검사 및 차단의 기능을 가지고 있다. 스미싱 차단어플인 SEWORKS의 S-GUARD는 스미싱 문제를 실시간 탐지하고 신고 및 탐지 목록을 제공한다.
  안드로이드의 경우에는 ‘안전모드’ 기능이 있는데, 안전모드란 최소한의 드라이버와 시스템 구성만으로 부팅하는 것을 말한다. 자동으로 실행되는 프로그램에 문제가 생긴 경우 안전모드 부팅 시 자동으로 실행되지 않기 때문에 문제가 해결될 수 있다. 이는 PC 윈도우 OS와 같은 원리이다.
  이 밖에도 한국인터넷진흥원이 운영하는 사이트 ‘보호나라’에 접속하면 다양한 보안 법칙을 알 수 있다.

  개인정보보호 정책의 움직임
  미국 캘리포니아 주는 스마트폰 개인정보 침해에 대한 우려의 목소리가 커짐에 따라 개인정보 보호를 위한 균형점을 찾기 위한 노력을 시도했다. 미 법무부는 아마존, 애플, 구글 HP, MS, FIM, 페이스북과 같은 주요 앱 플랫폼 회사에 개인정보 보호를 위한 업계 차원의 참여를 유도했다. 그러나 개인정보 보호 강화 움직임에 따른 모바일 시장 수축을 우려하는 목소리도 나온다. IDC 존 잭슨 애널리스트는 “사생활 보호를 위한 개인정보 강화 정책은 모바일 광고 시장에 직접적인 타격이 될 것이며, 모바일 시장 전체에 큰 후퇴를 불러올 것”이라고 말한바 있다.
  한국소비자원 조사결과, 국내 스마트폰 앱 이용자의 70% 이상이 자신도 모르게 개인정보가 수집·이용될 수도 있다는 불안감을 가지고 있는 것으로 나타났다. 올바른 스마트폰 앱 이용 문화 확산을 위해 최소한의 접근권한 설정 및 개인정보 수집 최소화를 위한 목소리가 커지고 있다. 이에 따라 우리나라도 스마트폰 개인정보보호 정책의 움직임을 보이고 있는데, 방송통신위원회는 지난 8월 ‘스마트폰 앱 개인정보보호 가이드라인’은 발표했다.

  이제는 컴퓨터 세대에서 스마트폰 세대가 됐다. 컴퓨터 백신 점검처럼 스마트폰에 대한 많은 관리 노력 역시 필요하다. 김동우 대학원생은 “현재 개인정보 유출 관련 사례는 인터넷보다 스마트폰이 많아지고 있다. 노트북, 휴대폰에 장착된 카메라조차 사용자가 모르는 사이에 자신을 들여다볼 수 있다”고 말했다. 우리는 어디선가 불쑥 찾아올지 모르는 위협에 항시 긴장하고 준비해야 한다. 위험성과 안전 방법을 알고 우리의 소중한 개인 정보를 지키는 진정한 스마트인이 되자.

박윤희 기자 uni65@cnu.ac.kr