[올스마트] 개인정보 통째로 빼가는 ‘모바일 해킹’… 안전지대는?

#대기업 인사팀에 근무하는 B씨는 최근 자신이 관리하던 사내 임직원들의 자료가 공개되는 당혹스러운 경험을 했다. 스마트폰을 해킹당했기 때문이다. 스마트폰을 이용해 이메일을 확인한 것이 전부인 데도 해킹으로 회사 기밀 정보가 고스란히 유출된 것이다. B씨의 스마트폰을 해킹한 해커가 이를 모 대기업 정보라며 공개 게시판에 게재하면서 파장은 일파만파 번졌고, B씨는 회사 내에서 심각한 책임 문제에 직면하게 됐다.

#어떻게 내 보안카드 번호를 알았을까? 최근 대학생 C씨는 무심코 내려받은 앱 하나 때문에 보안카드를 해커에게 도둑 맞았다. 평소 스마트폰 뱅킹을 자주 이용하는 C씨는 카드를 휴대하기가 번거로워 보안카드를 스마트폰 카메라로 촬영, 저장해 필요할 때마다 사용했다. 그런데 악성 앱에 감염, 사진첩을 해킹당해 보안카드 정보가 모두 새어 나간 것이다. 학생이라 큰돈을 갖고 있지는 않았지만 이달 용돈을 고스란히 해커에게 빼앗기고 말았다.

손 안의 PC라 불리는 스마트폰. 국내 스마트폰 이용자는 지난 1월 말 3329만명, 보급률은 67%에 달한다.

세계 1위 스마트폰 보급률을 자랑하는 만큼 이를 노린 피싱, 스미싱, 파밍 등 모바일 스미싱 금융사기 범죄가 날로 기승을 부리고 있다.

올 상반기 발생한 스미싱 악성코드 발생건수가 지난해 같은 기간에 비해 크게 늘어나 스마트폰 사용자들의 주의가 요구되고 있다.

스미싱이란 문자메시지(SMS)와 피싱(Phishing)의 합성어. 스마트폰 이용자가 인터넷 주소를 클릭하면 악성코드가 설치되며, 이를 보낸 해커가 결제정보 등 개인정보를 빼돌리는 신종 사기 수법이다.

안랩에 따르면 지난 2012년 12월까지 스미싱 악성코드가 매월 각 1~10개 이내로 발견됐으나 지난 1월에는 68개로 증가한 후 2월 174개, 3월 262개로 늘어났으며 5월 들어 345개를 기록했다. 300개를 넘어선 이후 8월 들어서는 725개로 전월 대비 2배 이상 증가했다.

PC에 퍼진 악성코드로 분산서비스거부(DDoS) 같은 사태가 발생, 해킹으로 인한 방송·금융 전산망 마비로 나라 전체가 혼란에 휩싸인 사건이 발생하기도 했다.

그런 악성코드가 스마트폰에까지 침투한 것이다. 금전적 피해도 심각하지만 악성코드가 설치되면 스마트폰을 통해 개인 사생활이 낱낱이 드러나는 등 개인정보 유출이 심각한 사회문제로 떠오르고 있다.

전문가들은 ICT분야에 관한 한 세계 최강으로 성장한 한국의 IT 및 정보통신 인프라와 선진적 금융시스템이 역설적으로 범죄자들이 마음껏 최고의 해킹 기술을 구사할 수 있는 매력적 활동무대가 됐다고 분석한다.

스마트폰 해킹은 PC 기반 해킹과 비슷한 방식으로 이뤄진다.

예를 들어 해커가 유명 앱 업데이트를 사칭해 악성 앱 링크를 문자메시지로 보내는 경우가 많다. 사용자가 이를 클릭하는 순간 자신도 모르는 사이에 악성 앱이 설치돼 이른바 ‘좀비폰’이 된다. 이는 PC에서 이메일에 악성코드를 첨부파일로 보내는 방식과 유사하다.

지하철, 커피숍 등의 공용 와이파이를 이용해 타인의 스마트폰을 훔쳐 보거나 QR코드로 악성코드를 유포할 수도 있다.

현재까지는 특히 안드로이드 운영체제(OS) 기반 스마트폰이 이 같은 해킹 위험에 더 많이 노출된 것으로 파악된다.

세계적 보안솔루션업체인 트렌드마이크로에 따르면 지난 2분기 고위험 악성 안드로이드 앱이 전 세계적으로 71만8000개(누적 기준)에 이른 것으로 집계됐다.

지난해 말 35만 개에서 100% 이상 증가한 수치다. 올 상반기에만 벌써 36만8000개의 신규 악성 앱이 등장했다.

안드로이드 스마트폰의 경우 출처가 불분명한 앱도 설치될 수 있기 때문이다.

올해 들어 가장 많이 사용되고 있는 악성코드 배포 문자, 스미싱 문자의 특징은 스마트폰 이용자들의 심리를 교묘하게 노리는 게 특징이다.

‘인간 관계’, ‘이익’, ‘위협’ 3가지 키워드로 나눌 수 있다.

최근 가장 많이 배포되고 있는 악성 코드는 모바일 청첩장 문자다. 스마트폰에서 결혼식장이나 웨딩사진을 바로 확인하고자 하는 사람들의 심리를 이용해 클릭을 유도한다. 실제로 이 문자를 클릭하면 악성 코드앱 다운로드 및 설치가 바로 진행된다.

돌잔치, 동창회 심지어 부고를 가장한 장례식장 알림까지, 경조사의 모든 형태를 가장, 클릭을 안 하고는 못 배기게 만드는 것이다.

고려대 정보대학원 임종인 교수는 “MS 윈도의 경우 운영체제(OS)가 공개되지 않았음에도 보안 문제점을 갖고 있다”면서 “하물며 안드로이드는 공개된 OS이기 때문에 기술적으로 악성코드를 만드는 것을 막는 건 사실상 불가능 하다”고 지적했다.

임 교수는 “정부가 모바일 백신 분야에 충분한 투자를 해 전문 인력을 양성하는 것이 중요하다”고 강조했다.

스마트폰 해킹은 우선적으로 사용자의 주의가 필요하다. 한국인터넷진흥원(KISA)은 ‘스마트폰 이용자 10대 안전 수칙’을 제공하고 있다.