해킹때문에 온 나라가 난리다. 은행 계좌는 꽁꽁 묶였고 방송국은 CD로 음악을 틀고 종이에 글씨로 대본과 큐시트를 만들고 있다.
누가 해킹했느냐도 중요하지만 어떻게 당했는지도 중요하다. 이번 해킹은 대략 셋으로 나뉜다. LG유플러스의 그룹웨어 플랫폼 해킹, 방송국과 은행의 서버 장애, 그리고 이 회사들의 개별PC 공격이다. 이 회사들의 전체 PC는 스스로 부트섹터를 통째로 날리고 윈도우를 종료하다보니 다시 켤 수 없게 된다. 개별 하드디스크 정보까지는 날아가진 않았지만 업무에는 큰 영향을 받고 있다.
▲대표적인 스마트폰 악성코드인 체스트 동작 개요도. 악성코드를 통해 유출한 휴대폰 가입정보와 주민번호로 소액결제를 하는 방식이다.(자료 : 안랩)
어떻게 대규모의 개별 PC들을 단숨에 공격할 수 있을까. 답은 ‘악성코드’다. 악성코드는 PC에 주인 몰래 깔려 해커가 원하는 역할을 해낸다. 해커는 악성코드로 PC를 제어해 데이터를 빼낼 수도 있고, 파일을 삭제하거나, 키보드로 뭘 입력하는지 파악하고, 운영체제를 고장낼 수도 있다. PC에만 적용되는 것은 아니다. 해커들의 다음 목표는 스마트폰이다.
특히 안드로이드 스마트폰은 악성코드에 그대로 노출돼 있다고 해도 과언이 아니다. 애플의 필립 실러 부사장이 트위터로 날려 유명해진 ‘F시큐어’ 보고서에 따르면, 스마트폰 악성코드의 96%가 안드로이드용이고, 전체 안드로이드 스마트폰 중 79%가 악성코드에 위협받고 있다. 나머지 4%의 악성코드는 심비안용이다.
▲요즘 악성코드는 주로 안드로이드를 타깃으로 하고 있다. 비교적 침투가 쉽고 쓰는 이들이 많아서다. 전체 악성코드의 96%가 안드로이드용이다. 나머지 4%는 심비안이다.
최근 이슈가 된 악성코드의 대표적인 악용 사례가 스마트폰 도청 사건이다. 스마트폰에 악성코드 하나만 심어 놓으면 얻을 수 있는 것들이 상당하다. 상대방 스마트폰에 도착한 문자메시지, e메일, 통화 내역을 언제고 받아볼 수 있고 전화통화를 하고 나면 통화 내용이 녹음돼 고스란히 e메일로 전송된다. 현재 어디에 있는지 GPS로 확인하고 원하면 앞뒤로 달린 카메라로 사진을 찍어 보내준다. 실시간 도청이라고 못할 것도 없다. 문제는 이걸 스마트폰 주인은 알 방법이 없다.
요즘 잘 나가는 흥신소들이 이런 서비스를 유료로 제공하고 있기도 하지만, 마음만 먹으면 누구나 특정인을 도청할 수 있는 방법들은 많다. 악성코드가 아니어도 앱 하나만 깔면 되기 때문이다. 일부 앱들은 구글 플레이스토어에도 등록돼 있다. 이 기능들 자체가 꼭 불법이라고 말하긴 어렵다. 사실 도난방지 앱이나 미아방지 앱 등이 이 역할을 일부 하고 있지 않은가. 이게 좋은 의도로 쓰이면 아이들이 위험에 처했을 때 위치를 파악하고 현재 상황을 확인할 수 있다. 잃어버린 스마트폰을 누가 쓰고 있는지 위치와 함께 사진으로 찍어서 보내주는 것도 좋다. 하지만 이런 기능들을 악용하면 도청장치, 몰래카메라가 된다.
믿지 못하겠다면 ‘스파이폰’ 같은 앱을 설치해 직접 써보면 된다. 이 앱은 통화와 메시지 목록, 현재위치, 상대방에게 지금 도청될 수 있다고 메시지를 주기 때문에 실질적으로 큰 문제가 되지 않아 보인다. 하지만 플레이스토어에는 도청 앱이 깔려 있다는 사실까지 완전히 숨기고 통화내용 녹음, 상세한 문자메시지 내용, 주변 녹음, 사진과 동영상 전송 등 스마트폰 내의 거의 모든 내용을 따올 수 있는 앱도 있다.
<iframe width="500" height="344" title="YouTube video player" class="youtube-player" src="http://www.youtube.com/embed/YjO_EnOVi2U" frameborder="0" type="text/html" allowfullscreen="true">
▲최근 문제가 된 스파이 앱이다. 한 달에 얼마간의 비용을 내면 상대방의 스마트폰을 내 것처럼 제어할 수 있다. ☞유튜브에서 동영상 보기
악성코드는 그 장치에 절대적인 권한을 갖고 장치를 조작할 수 있는 백도어도 열어주기 때문에 이처럼 도청을 할 수도 있지만 이번 해킹 사태처럼 특정 스마트폰의 정보를 유출하거나 운영체제에 손상을 입힐 수도 있다. 관리자 권한을 열어두는 루팅까지 해 뒀다면 뭐라도 할 수 있을 것이다. 실제로 악성코드에 감염된 좀비 스마트폰들을 통해 스팸 문자를 보내는 경우가 보고되고 있다. 막대한 통신요금이 청구될 수도 있다. 그만큼 스마트폰의 보안은 치명적이다. 항상 유료 서비스에 열려 있고, 스마트폰 자체가 결제 수단도 되기 때문에 피해는 PC보다 더 심각할 수 있다.
막는 방법은 딱 하나뿐이다. 원치않는 프로그램이 설치되지 않도록 하는 것이다. 안드로이드의 설정 화면에서 ‘보안’ 메뉴를 열면 ‘알 수 없는 소스’의 체크를 푸는 것에서 시작한다. 그런데 답답한 것은 안드로이드 환경에서 이걸 풀고 쓰기에는 제약이 너무 많다. 일부 은행 앱도 알 수 없는 소스 제한을 풀어야 설치할 수 있고 홈페이지에서 직접 설치 파일을 내려받아 깔도록 한 앱들도 많다. 매번 이를 잠그고 푸는 것도 번거로운 일이다.
스마트폰 성능에 여유가 있다면 백신도 돌리는 것이 좋다. 현재 국내 스마트폰들은 모두 안랩, 하우리 등의 백신 및 보안 프로그램을 품고 있다. 하지만 이용자가 직접 실행을 해야 작동을 시작한다. 백신이 돌면 아무래도 배터리를 조금이라도 더 쓰고 성능에도 지장을 받을 수 있기에 대부분의 이용자들은 실행하지 않는다. 혹은 PC처럼 백신이 깔려만 있으면 작동하는줄 아는 경우도 많다. 방송통신위원회나 인터넷진흥원이 백신앱이 기본적으로 실행되도록 권고한다는 소식에 많은 이들이 불쾌감을 드러냈지만 요즘같아서는 한번씩 돌려보기라도 해야 할 분위기다. 특히 솔깃한 문자메시지를 통해 오는 단축 URL을 절대 누르면 안된다.
▲스파이앱이 설치되면 위치정보부터 통화내역, 갤러리에 담긴 사진과 영상을 몰래 엿볼 수 있다. 주변 환경 녹음도 된다.
하지만 이번 방송국, 은행 사건처럼 특정 대상을 노린 악성코드는 백신으로서도 미리 잡아내지 못하는 경우가 많다. APT가 무서운 것은 정보가 빠져나가고 피해가 일어난 뒤에서야 알 수 있다. 최대한 뜻하지 않은 앱이 설치되지 않도록 하고 특히 기업의 정보를 다루는 일을 한다면 스마트폰에 복잡한 암호를 걸고 잠시도 스마트폰을 남의 손에 넘겨주지 않는 등 기본적인 보안 의식이 필요하다.
상대적으로 아이폰은 보안 위협이 덜하다. 역설적이게도 시장에서 폐쇄적이라고 불만이 나오는 요소들 때문이다. 앱들이 스마트폰의 개인정보에 접근하지 못하게 하는 샌드박스와 앱스토어 외에서는 응용프로그램을 설치할 수 없도록 만든 것들이 결국 스마트폰을 지켜준다. 안드로이드에서 요긴하게 쓰는 스팸전화 차단이나 문자메시지를 통한 신용카드 이용정보가 아이폰에서 안되는 것은 그 어떤 앱도 전화앱과 문자메시지의 내용에 접근할 수 없어서다.
▲눌러볼 수밖에 없는 URL이 담긴 문자메시지가 흔해졌다. 대체로 누르면 앱을 설치하도록 유도하기 때문에 위험하다.
문자메시지로 받은 URL을 눌러도 아이폰에는 악성코드나 스파이앱을 설치할 수 없다. 이는 구글도, 마이크로소프트도 못하는 일이다. 애플은 여기에 5월1일부터 단말기를 식별할 수 있는 UDID를 수집하지 못하도록 막는다. 앱 개발사들은 어떤 단말기에서 앱이 실행되는지 알 수 없게 된다. 광고 프로그램등에 불리하기 때문에 불만이 나오겠지만 이용자는 그만큼 개인정보를 안전하게 지킬 수 있다.
그렇다고 아이폰이라고 마냥 안심할 수는 없다. 탈옥한 아이폰에는 상황에 따라 충분히 악성코드를 심을 수 있는 여지가 있다. 탈옥툴이 뚫고 들어가는 iOS의 보안 허점은 해커들도 파고들 수 있다.
http://www.bloter.net/archives/147620
