'금융기관 사칭앱'에 4만 명이 당했다··· 국정원이 제안하는 10가지 보안 수칙은?

남시현 sh@itdonga.com

[IT동아 남시현 기자] 국가정보원이 사이버안보센터는 국내 이동통신사에 가입된 스마트폰 중 4만여 대가 해킹됐다는 사실을 공개했다. 특정 해커 그룹이 사용자에게 정교하게 위장된 가짜 인터넷 뱅킹 앱 설치를 유도한 뒤, 해킹 앱을 활용해 스마트폰의 통화기록과 문자, 심지어는 도청과 문서 탈취까지 발생했다고 한다.

국정원은 국내 주요 보안업체와의 공조를 통해 해킹된 악성앱을 탐지하고 예방하는 업데이트를 업데이트했으며, 한국인터넷진흥원과 금융보안원 등 관계기관과의 협조를 통해 향후 피해 확산을 방지하고 있다. 국정원이 이번 해킹 사례를 공개한 이유는 해킹피해가 지금도 이어지고 있기 때문이라면서, 모바일 백신 업데이트 및 최신 스마트폰 업데이트로 해킹을 예방할 수 있다며 빠른 업데이트를 권고했다.

정부가 제안하는 스마트폰 보안수칙 10선

국정원이 공개한 사례는 우리가 꾸준히 들어온 수만 건의 스마트폰 해킹 및 사기 사례 중 극히 일부다. 그만큼 스마트폰을 활용한 사기는 우리 주변에 일상적으로 스며들어 있고, 본인이 잘 인지하고 있더라도 언제든지 피해자가 될 수 있다. 이를 위해 기관 및 보안기업은 꾸준히 보안 업데이트나 보안 권고를 통해 피해 발생을 방지하고 있고, 수칙만 잘 따른다면 웬만한 보안 문제는 발생하지 않는다.

정부기관 합동으로 발표한 스마트폰 보안수칙 10. 출처=한국인터넷진흥원
정부기관 합동으로 발표한 스마트폰 보안수칙 10. 출처=한국인터넷진흥원

스마트폰의 대중화와 관련된 피해 확산이 사회 문제로 대두되는 만큼, 국가정보원과 과학기술정보통신부, 한국인터넷진흥원이 함께 ‘스마트폰 보안수칙 10’을 통해 일상에서 쉽게 따를 수 있는 보안 수칙을 발표했다. 가장 먼저 지켜야 할 수칙은 ‘스마트폰 운영체제와 모바일 백신 최신으로 업데이트’하기다. 안드로이드 스마트폰이나 아이폰을 사용하고 있다면, 종종 안내를 통해 운영체제 및 보안 업데이트 관련 안내가 뜬다. 이 업데이트는 스마트폰 제조사가 새로운 기능이나 안정화 코드를 반영하는 데 쓰이지만, 해킹 방지나 취약점 보완을 위한 보안 대책도 함께 반영돼있다.

구글 안드로이드는 플레이스토어가 아닌 외부 앱을 설치할 수 있는데, 출처가 확인되지 않는다면 위험할 수 있다. 출처=IT동아
구글 안드로이드는 플레이스토어가 아닌 외부 앱을 설치할 수 있는데, 출처가 확인되지 않는다면 위험할 수 있다. 출처=IT동아

두 번째는 공식 앱 마켓이 아닌 다른 출처의 앱 설치를 제한하는 조치다. 앞서 국정원이 공개한 사례 역시 해킹범이 금융기관을 사칭해서 보낸 가짜 앱을 설치해서 벌어진 일이다. 구글 플레이스토어 및 애플 앱스토어에 있는 앱은 해킹 문제가 발생하지 않도록 사전에 검증하므로 안전하다. 이와 함께 문자 또는 SNS, 이메일 등에 포함된 정체불명의 URL(http://, WWW. 등으로 시작하는 링크)를 클릭해선 안 된다. 보통 URL 자체가 해킹앱을 설치하는 경로로 사용되기 때문이다.

한 플래시 앱은 플래시를 켜는데 카메라와 위치 정보, 네트워크 접근까지 요구한다. 캠스캐너는 사용자가 촬영한 정보가 탈취될 위험이 있어 미국에서 퇴출 행정명령을 받았다. 출처=IT동아
한 플래시 앱은 플래시를 켜는데 카메라와 위치 정보, 네트워크 접근까지 요구한다. 캠스캐너는 사용자가 촬영한 정보가 탈취될 위험이 있어 미국에서 퇴출 행정명령을 받았다. 출처=IT동아

아울러 스마트폰 앱 설치시 과도한 권한을 요구하는 앱을 설치해서도 안 된다. 모든 앱은 앱 실행에 필요한 권한을 요청한다. 내비게이션이라면 GPS나 위치 서비스, 사진 앱이면 카메라 및 파일 접근 권한 등이다. 하지만 플래시 라이트 앱이 음성 녹음 권한을 요구한다거나, 팩스 앱이 통화기록 및 위치 정보, 파일 및 사진 접근 권한 요구, 날씨 앱이 시스템 백업 및 복구 권한이나 보안시스템 설정을 요구할 때도 있는데, 십중팔구는 일반 앱으로 위장한 해킹 앱이다.

제공자가 불분명한 인터넷 공유기도 이용해선 안 된다. 흔히 데이터 소모를 막기 위해 와이파이를 연결하지만, 해당 공유기가 악성 코드를 전송하기 위한 경로로 사용되고 있다면 연결된 것만으로 가짜 사이트나 해킹 프로그램이 설치될 수 있다. 이와 함께 스마트폰의 비밀번호 및 화면 패턴을 활용한 보안 설정, 스마트폰 및 SNS 계정 로그인의 2단계 인증 설정하기도 중요하다. 스마트폰을 분실했거나, 1차 비밀번호가 해킹되었더라도 이 부분만 잘 챙겨놓는다면 훨씬 안전하다.

루팅, 탈옥 등을 통한 스마트폰 플랫폼을 임의로 변경해선 안 된다. 삼성 스마트폰의 경우 ‘녹스’라는 보안 플랫폼으로 외부 공격 등을 방지하는데, 스마트폰의 권한을 강제로 부술 경우 이 녹스 체계가 해제돼 삼성의 보안 체계 밖으로 벗어나게 된다. 당연히 이렇게 된 이용자는 해커의 표적이 되기 십상이다.

스마트폰에 중요 정보를 저장해서도 안된다. 여기서 중요 정보란, 공인인증서 비밀번호나 보안 카드, OTP 정보, 2차 비밀번호 등의 금융 데이터나 인감 관련 사진이나 개인정보, 각종 증명서 등의 개인정보를 뜻한다. 실제로 앱을 통해 해킹될 경우 사진 및 파일도 해커가 들여다볼 수 있게 되는데, 이 과정에서 은행 보안카드나 비밀번호 등을 확인한다면 피해가 걷잡을 수 없게 된다. 마지막으로 스마트폰 교체 시 모든 계정을 로그아웃하고, 스마트폰을 완전히 초기화해야 한다.

간단한 수칙만 지킨다면 큰 걱정 없어

이메일을 통해 해킹 도구의 일종인 랜섬웨어를 배포한 사례, 코로나 19 이후 이런 사례는 더욱 고도화되고 있다. 출처=이스트소프트
이메일을 통해 해킹 도구의 일종인 랜섬웨어를 배포한 사례, 코로나 19 이후 이런 사례는 더욱 고도화되고 있다. 출처=이스트소프트

보안전문기업 파이어아이는 2021년 보안예측 보고서를 통해 코로나 19로 인해 해커들의 수법도 한 단계 진화했다는 내용을 담고 있다. 이전까지만 하더라도 해커들은 금전적인 수단을 노린 범죄가 많았지만, 코로나 19로 인한 사회적 거리두기로 재택근무 및 원격근무의 비중이 높아지면서 양상이 변했다는 것이다. 이제 해커들은 단기적인 수익보다 영구적인 수익 창출을 원하며, 조직적으로 비즈니스를 중단하거나 데이터를 손상시키고, 평판을 하락시켜 금전적인 손실을 기반으로 수익을 낼 것이라고 한다.

랜섬웨어 등을 통해 단기적으로 협박하는 시대를 지나, 온라인 기반으로 업무를 추진하는 기업 활동이나 개인의 삶에 밀접하게 접근해 꾸준히 공격하며 수익을 낼 가능성이 크다는 것이다. 이를 미연에 방지하기 위해서라도 처음부터 해커에게 걸리지 않는 게 좋다. 지금이라도 스마트폰 보안수칙 10선을 생활화하여 사이버 공격으로 인한 문제를 예방하도록 하자.

글 / IT동아 남시현 (sh@itdonga.com)

IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.