말로만 듣던 스마트폰 해킹, 이렇게 악용할 수 있다

사례1
20대 여성 A씨는 한 성인 사이트 게시판에 자신이 옷 갈아입는 모습, 잠자는 모습 등을 몰래 찍은 동영상이 게시된 것을 보고 깜짝 놀랐다. 방에 몰래 카메라가 설치돼있나 샅샅이 살펴봤지만, 찾을 수 없었다. 다시 한번 동영상을 유심히 살펴보니, 평소 거치해 놓던 태블릿PC가 의심스러웠다. 자신도 모르는 사이에 태블릿PC 카메라가 작동해 동영상이 찍혔고, 그것이 유출된 것이다. 서비스 센터에 가져가 확인하니, 태블릿PC에 악성 애플리케이션(이하 앱)이 설치됐다. 서비스 센터 직원이 최근 이상한 QR코드를 찍었거나 문자 메시지에 들어있는 링크를 클릭했는지 물어본다. 그제야 얼마 전 모바일 메신저로 전송된 이상한 URL를 클릭한 일이 생각난다. URL을 클릭한 순간, 태블릿PC에 악성 앱이 설치된 것.

사례2
직장인 B씨는 최근 인사고과에서 나쁜 평가를 받아 승진에 실패했다. 업체 관계자에게 접대 받은 일, 외근 중 사우나에서 놀다 들어온 일 등 자신도 기억 못하는 일을 인사담당자가 알고 있었다. 인사담당자는 익명의 제보가 있었다고 한다. 처음에는 그냥 재수가 없어서 들켰다고 생각했지만, 가만히 보니 이상한 점이 한둘이 아니다. 내가 갔던 장소는 어떻게 알았으며, 업체 관계자와 주고받은 문자 메시지 내용은 어떻게 알았단 말인가. 사실 익명의 제보자는 자신을 못마땅하게 생각하던 부하직원이었다. 그는 B씨의 구글 계정과 비밀번호 등을 해킹해 B씨의 스마트폰에 스파이 앱을 설치했다. 이를 통해 도청은 물론, 위치추적이나 저장된 문자 메시지 등을 확인할 수 있었다.

사례3
포털 사이트 C사의 홈페이지가 하루 종일 마비되는 사건이 발생했다. C사가 디도스(DDoS, 서버나 네트워크에 좀비PC로 과부하를 걸어 마비시킴) 공격을 당한 것. C사는 보안담당자를 모두 투입해 서버 복구에 나섰다. 그런데 시간이 지나도 도저히 복구할 수 없었다. 보안담당자는 "지금까지의 일반적인 디도스 공격과 다르게 더 강력하다"고 말했다. 이는 좀비 스마트폰을 사용한 디도스 공격으로 밝혀졌다. 스마트폰은 PC와 달리 24시간 켜져 있기 때문에, 해커들이 이를 이용해 쉬지 않고 공격을 퍼부을 수 있었다.

실제로 일어날 수 있다

앞서 언급한 사례는 스마트폰 해킹으로 사용자가 입을 피해를 예상한 '가상 시나리오'다. 아직 실제로 일어난 사례는 아니지만, 아예 발생 가능성이 없다고 할 수 없다. 이론적으로 어느 정도 발생할 수 있는 시나리오다.

스마트폰 해킹은 PC기반 해킹과 비슷한 방식으로 이뤄진다. 예를 들어 해커가 유명 앱 업데이트를 사칭해 악성 앱 링크를 문자 메시지로 보낸다. 사용자가 이를 클릭하는 순간 자신도 모르는 사이에 악성 앱이 설치된다. 실제로 얼마 전 카카오톡, 구글 안드로이드 운영체제 업데이트 등을 사칭해 정체를 알 수 없는 앱이 유포된 적도 있다. 이는 PC에서 이메일에 악석코드를 첨부파일로 보내는 방식과 유사하다. 이밖에 지하철, 커피숍 등의 공용 와이파이를 이용해 타인의 스마트폰을 훔쳐보거나 QR코드로 악성코드를 유포할 수도 있다.

해커들은 이를 통해 스마트폰에 저장한 주소록, 문자 메시지, 금융정보 등 개인정보를 빼내 악용할 수 있다. 스마트폰 카메라나 마이크를 작동시켜 사생활을 염탐할 수 있으며, GPS 위치정보를 활용해 사용자 위치를 추적할 수도 있다. 뿐만 아니라 좀비 스마트폰으로 해당 지역 이통사 기지국을 공격해 통신망을 마비시킬 수도 있다.

스마트폰 보안을 위한 최소한의 대처

내 스마트폰을 지킬 수 있는 방법은 무엇이 있을까? 크게 어렵지 않다. 문자 메시지, 카카오톡으로 날라온 의심스러운 URL은 클릭하지 않고, 알 수 없는 파일은 설치하지 않는 것이다. 안드로이드폰의 경우 환경설정에서 '보안' 또는 '응용프로그램' 메뉴로 들어가 '알 수 없는 소스'를 체크해제 하는 것도 좋은 방법이다. 이렇게만 해도 어느 정도 악성 앱 설치를 예방할 수 있다.

보안 업체의 모바일 백신을 최신 버전으로 업데이트해 실시간 감시 기능을 사용하는 것도 좋은 방법이다. 설치한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용하고, 새로 내려받은 애플리케이션도 한번쯤 검사하고 사용하는 것을 권한다.

(다시 한번 강조하지만) 문자 메시지, 카카오톡 등으로 전송된 의심스러운 URL로 악성파일이 배포되는 경우가 많기 때문에 각별히 주의해야 한다. 발신처가 불분명한 이메일 등도 열람을 자제하자. 또한, 의심 가는 사이트를 방문해서는 안되며, 수상한 QR코드도 읽어서는 안 된다.

스마트폰은 항상 비밀번호로 잠그고 사용해야 하며, 블루투스 같은 무선 네트워크는 사용할 때만 켜는 것이 좋다. 중요한 정보는 휴대폰에 저장하지 않아야 하며, 루팅이나 탈옥 등을 하면 보안에 취약해지니 이를 자제해야 한다.

얼마 전 3.20 전산망 마비 사건으로 보안의 중요성이 높아졌다. 물론, 보안을 위한 강력한 백신이나 방화벽 등이 필요하지만 무엇보다 사전 예방이 더 중요하다. 어렵지도 않다. 앞서 소개한 간단한 대처 방법만으로 많은 공격을 막을 수 있다. 최소한의 보안을 생활화해서 자신도 모르게 피해 입는 일이 없도록 하자.

글 / IT동아 이상우(lswoo@itdonga.com)