스마트폰 해킹은 어떻게 이뤄질까?

최근 한 유명 연예인의 부적절한 사생활 대화 내용이 인터넷을 통해 퍼지며 논란이 일고 있다. 해당 연예인은 해킹을 통해 문자 메시지와 사진이 유출됐고, 해커가 이를 빌미로 금품을 요구하는 등 협박했다고 밝혔다.

이처럼 스마트폰에 저장한 주소록은 물론, 사진이나 메시지 등 개인의 사생활이 유출되는 사례는 오늘날 심심치 않게 볼 수 있다. 개인의 실수나 지인의 악의적인 유포도 많지만, 해킹 역시 대표적인 유출 사례 중 하나다. 우리가 매일 사용하는 스마트폰에는 사생활이나 개인 정보, 금융 정보 등 생활에 밀접한 정보가 가득한 만큼, 스마트폰이 해킹 당하면 생각보다 심각한 피해를 일으킬 수 있다.

스마트폰 해킹 사례는 다양하며, 몇 년간 흔히 쓰인 방법은 외부 경로를 통해 개인의 스마트폰에 악성 앱을 설치하는 것이다. 이를 악용한 대표적인 사례가 '몸캠피싱'이다. 해커가 모바일 채팅 앱이나 사이트 등을 통해 사용자에게 접근하고, 음란한 채팅을 할 것처럼 유도한다. 이 때 해커는 소리나 영상이 불안정하다는 등의 핑계를 대며 사용자에게 별도의 앱을 설치할 것을 요구한다. 이를 설치하게 되면 앱을 통해 사용자 스마트폰에 저장된 주소록 등의 정보가 해커에게 전송되며, 해커는 돈을 보내지 않으면 이를 통해 확보한 연락처로 사용자가 음란한 행위를 했다는 사실을 알리겠다며 협박한다.

이처럼 외부 악성 앱을 설치하도록 유도하는 방식 역시 다양하다. 가령 웹 페이지를 통해 유료 앱을 무료로 다운받을 수 있다고 속여 악성 코드가 들어있는 가짜 앱을 설치하도록 유도하는 방법도 있고, 택배 주소 확인을 위해 사이트에 접속해 앱을 내려받거나 개인정보를 입력하라고 유도하는 방식도 있다.

이렇게 설치된 악성 앱은 앞서 언급한 것처럼 주소록이나 각종 계정 정보를 탈취하는 것도 가능하다. 또한, 위치정보나 카메라 같은 하드웨어 기능을 원격에서 실행해 민감한 정보를 취득할 수도 있다. 이러한 형태의 해킹을 예방하기 위해 스마트본 단에서 '출처를 알 수 없는 앱 설치'를 제한하는 기능이나 설치된 앱이 요구하는 접근 권한(주소록, 카메라, 위치정보, 저장소 등)을 사용자가 직접 설정할 수 있는 기능이 있지만, 이를 제대로 활용하지 않을 경우 해킹 위험에 노출될 가능성이 크다.

출처를 알 수 없는 앱과 과도한 권한 요구하는 앱 주의 해야

외부 앱을 사용자 임의로 설치할 수 있는 안드로이드 스마트폰의 경우 구글 플레이, 원스토어, 갤럭시 스토어, LG 스마트월드 등 공식 앱 장터 외에서 제공하는 앱을 설치하지 않는 것이 가장 안전하다. 또, 혹시 모를 설치 가능성에 대비해 알 수 없는 앱 설치 허용 항목을 해제해야 한다. 최근 등장하는 안드로이드 스마트폰이라면 설정 화면에 있는 검색 창에 '알 수 없는 앱'이라는 키워드를 입력해 항목을 쉽게 찾을 수 있으며, 구형 스마트폰의 경우 설정 > 일반 > 보안 > 출처를 알 수 없는 앱 항목에서 이를 찾을 수 있다.

정상적인 경로로 내려받은 앱이라 할지라도 과도한 권한을 요구한다면 주의할 필요가 있다. 안드로이드 6.0 이상의 운영체제는 앱을 설치할 때 사용자가 앱이 어떤 권한을 요구하는지 확인하고 이를 허용하거나 거부할 수 있다. 예를 들어 카메라 앱이라면 사진을 찍기 위해 전면/후면 카메라에 접근하는 권한을, 사진을 저장하기 위해 저장소에 접근하는 권한 등을 요구할 수 있으며, 만약 사용자가 동의하지 않는다면 카메라 앱은 이러한 기능을 사용할 수 없게 된다.

반대로 카메라 앱의 경우 일반적으로 '주소록' 기능에 접근할 필요는 없다. 사진을 촬영하는 과정에서 주소록 정보가 필요한 경우는 거의 없기 때문이다. 때문에 앱 설치 시 단순히 '확인'이나 '동의' 버튼을 연속으로 누르지 말고, 어떤 권한을 요구하는지 확인해, 불필요한 권한을 요구할 경우 설치 시 주의해야 할 필요가 있다.

이러한 권한은 사용자가 사후에 변경하는 것도 가능하다. 설정 > 일반 > 앱 등의 항목으로 진입하면 각 앱에 어떤 권한이 허용돼 있는지 확인할 수 있으며 사용자가 이를 직접 변경할 수 있다. 일부 앱 중에는 권한을 해제하면 사용할 수 없는 앱도 있다. 이런 앱의 경우 해당 권한을 요구하는 것이 타당한지 파악한 뒤 권한을 주고, 자신에게 굳이 필요하지 않다면 앱을 사용하지 않는 것도 방법이다.

클라우드 저장소 계정 탈취에도 유의

최근 스마트폰에 저장된 각종 데이터를 클라우드 저장소에 보관하는 경우가 많으며, 구글 포토 처럼 사진을 자동으로 업로드 할 수 있는 기능 역시 제공한다. 뿐만 아니라 클라우드 저장소에 스마트폰 자체를 백업해두고, 이를 이용해 스마트폰을 바꿨을 때도 이전과 동일한 상태로 사용할 수 있게 하는 기능도 존재한다.

이러한 클라우드 저장소 계정과 암호가 노출될 경우 클라우드 저장소에 있는 모든 정보가 유출될 수 있기 때문에 주의해야 한다. 실제로 지난 2014년에는 아이클라우드 계정 해킹을 통해 헐리우드 유명 배우나 가수가 클라우드 저장소에 보관한 사생활 사진이 유출되면서 파장을 일으키기도 했다. 또한, 최근 발생한 국내 유명 연예인의 스마트폰(안드로이드) 해킹 사건 역시 이러한 형태의 보안 사고로 유출된 것으로 보인다.

계정 탈취에 쓰이는 방법 역시 다양하다. 가령 2014년에 있었던 유출 사건은 비밀번호를 무작위로 대입해 비밀번호를 찾아냈다. 또 다른 방법은 피싱 사이트를 이용하는 것이다. 마치 실제 사이트와 유사한 가짜 사이트를 제작하고, 사용자의 로그인을 유도하면 해커는 이를 통해 손쉽게 계정과 비밀번호를 얻을 수 있다. 실제로 지난 2017년에는 아이튠즈 스토어인 것처럼 꾸민 사이트를 통해 애플 계정과 비밀번호를 탈취하려는 시도가 발견되기도 했다. 최근 파장을 일으킨 N번방 사건 역시 이와 유사한 방식으로, 사용자의 소셜 미디어 계정에 피싱 사이트로 접속을 유도하는 메시지를 보내 계정을 탈취한 뒤 소셜 미디어 정보를 악용해 사용자를 협박하는 등의 방식으로 이뤄졌다.

이러한 탈취를 막기 위해서 사용할 수 있는 방법은 우선 복잡한 암호를 생성하는 것이다. 일반적으로 소문자, 대문자, 숫자, 특수문자 등을 섞으면 강력한 암호라고 생각하는 경향이 있지만, 이는 어느 정도만 맞는 말이다. 가령 'Qwerty12#$'이라는 암호를 생각했을 때 기존에 사용하던 'qwerty1234'보다는 조금 더 강력할 수 있다. 하지만, 기존과 비교해 시프트라는 패턴 하나만 추가된 것이기 때문에 결국 경우의 수가 늘어난 것에 불과하다. 정말 강력한 암호는 'qG#g2Ys^V' 처럼 다양한 대/소문자, 숫자, 특수문자를 활용해 무작위로 생성해야 한다. 하지만 이런 암호를 일일이 기억하고 입력하기 어려운 만큼, 노턴 패스워드 매니저 등의 암호 생성/보관 서비스나 구글 계정을 이용한 암호 동기화를 쓰는 것도 좋은 방법이다.

2단계 암호 생성 역시 필요하다. 가령 네이버의 경우 내 정보 > 보안설정에서 2단계 인증 기능을 제공한다. 이 기능을 활성화할 경우 인증 받지 않은 기기에서 내 계정으로 로그인을 시도할 경우 스마트폰 등을 통해 알려주며, 자신의 스마트폰에서 이를 허용해야만 로그인할 수 있는 방식이다.

보안에 왕도는 없지만…

흔히 보안에는 왕도가 없다고 말한다. 어떠한 보안 기술을 개발하고 적용하더라도, 언젠가는 해커가 이를 뚫는 기발한 방법을 생각해낼 수 있다. 하지만, 사용자가 최소한의 보안 조치를 하는 것만으로도 상당수의 공격을 막아낼 수 있는 것이 사실이다.

언제나 강조하는 보안 수칙은 같다. 우선 '알 수 없는 사이트'나 '알 수 없는 파일'을 접근/실행하지 말 것, 비밀번호는 길고 강력하게 설정해 주기적으로 변경할 것, 웹 사이트를 찾을 때는 URL 대신 잘 알려진 포털 사이트를 통해 검색 후 접속할 것, 보안 소프트웨어를 사용할 것, 각종 소프트웨어는 주기적으로 업데이트 할 것 등이다.

글 / IT동아 이상우(lswoo@itdonga.com)