스마트폰 잃어버렸더니? 내 정보·기밀이…

[2012u클린] <2>분실·해킹 등 스마트폰 보안 위협 증가…분실폰 96% 접속시도

[편집자주] 국내 스마트폰 가입자가 3000만을 향해 간다. 스마트폰은 마니아층이 쓰는 IT기기가 아니라 일상을 좌우하는 대중적 생활기기가 됐다. 언제 어디서나 인터넷을 사용하게 되면서 사이버상에서 시공을 초월한 정보 접근이 가능하고 SNS(소셜네트워크서비스)의 성장은 소통의 장벽을 무너뜨렸다. 하지만 스마트폰 대중화에 따른 역기능도 커지고 있다. 악성댓글이나 유언비어로 인한 명예훼손, 사생활 침해, 보안 위협 등 문제는 심각해지는 반면 역기능 방지책은 여전히 구시대 수준에 머물러 있다. 계층간 정보격차 우려도 크다. 장애인이나 노년층 등 소외 계층의 정보접근 능력이 떨어진다는 것이다. 올해 8회째를 맞은 [u클린] 캠페인은 '함께 만드는 스마트세상'을 주제로 새로운 윤리의식과 기초질서를 정립하는 데 역점을 두고, 모두 함께 만들어가는 스마트문화를 제시할 계획이다. 총 11회에 걸쳐 '스마트 안전망 구축'과 '함께 만드는 스마티켓'에 대해 집중 조명함으로써 스마트시대 생활상의 긍정적인 변화를 짚어볼 예정이다. 또, 소통과 나눔을 토대로 각계 전문가와 청소년들이 함께 스마트문화를 고민하고 정립할 수 있는 장(場)으로 진화해나갈 계획이다.

보안전문업체 시만텍은 지난해 '스마트폰 하니스틱'이라는 실험을 진행하고 최근에 결과를 발표했다. 스마트폰 50대를 택시, 음식점, 화장실, 길가 등에 일부러 분실하고 습득자가 어떤 행동을 하는지 관찰하는 실험이었다.

실험 결과, 습득자의 96%는 주운 스마트폰에 접속을 시도했다. 습득자의 72%가 스마트폰에 저장된 사진을 보려 했고 모바일 뱅킹에 접속을 시도하려는 습득자도 43%에 달했다. 45%는 회사 메일에 접속하려고 시도하는 등 83%가 회사 관련 앱이나 데이터에 접근하려고 했다.

스마트폰에 자유롭게 접근할 수 있다면 더 이상 자신만의 비밀스러운 사진은 없고 은행 잔액도 내 돈이 아닌 셈이다. 회사 이메일에도 접근할 수 있다면 회사 기밀을 지키지 못했다.

시만텍은 "잃어버린 스마트폰은 다시 사면되지만 스마트폰에 있는 정보는 사용자가 주의하지 않으면 여전히 유출될 위협에 놓여 있다"고 전했다.

분실만 스마트폰의 보안위협이 되는 것은 아니다. 인터넷에 떠도는 애플리케이션 실행파일, 예컨대 안드로이드폰의 경우 apk파일을 잘못 다운로드 받으면 내가 가지고 있는 정보를 나도 모르게 다른 사람에게 전송될 수 있다.

심지어 구글플레이(옛 안드로이드 마켓) 등 공식적인 앱 유통경로를 통해서도 이상한 앱을 다운로드 받으면 개인정보가 유출될 수 있다. 실제로 보안업체 주니퍼네트웍스에 따르면 지난해 6월 안드로이드 OS(운영체제)에서 악성코드가 포함된 프로그램은 전체 샘플 중 400개에 불과했으나 그해 12월에는 1만3302개로 3225%나 급증했다.

한 모바일앱 개발자는 "구글플레이는 승인 절차가 거의 없기 때문에 악성코드를 심어놓은 앱이 쉽게 유통될 수 있다"며 "개발자가 마음만 먹으면 사용자 모르게 사용자 위치나 휴대폰 통화내역 등 개인정보 등을 빼낼 수 있다"고 설명했다.

스마트폰이 우리 생활에 없어서는 안될 필수품이 되고 있지만 그와 함께 보안 위협도 커지고 있다. 특히 스마트폰에는 다양한 개인정보는 물론 각종 회사정보가 가득 차 있어 보안사고가 발생하면 개인이나 회사한테 치명적이다.

독자들의 PICK!

우선 개인은 개인정보 유출로 피해를 입을 수 있다. 수많은 스팸메일이나 스팸전화는 피해에 끼지도 못할 정도다. 최근 카카오톡 피싱 논란에서 알 수 있듯이 모바일 메신저에서 다른 사람을 사칭해 돈을 요구할 수 있다. 스마트폰과 함께 보안카드도 분실해 모바일뱅킹 피해사례가 보도될 날도 얼마 남지 않았다.

경쟁사의 기밀을 빼내기 위해 의도적으로 BYOD(개인 소유 단말기를 회사 업무에 활용하는 것) 단말기에 접근하는 사례도 발생할 수 있다. 회사 신뢰가 땅에 떨어질 뿐만 아니라 기업 기밀이 외부로 유출돼 사업에 큰 차질이 생길 수 있다.

특히 스마트폰은 데스트톱과 달리 무선망에 연결되기 때문에 침해사고가 발생하면 디도스(분산서비스거부)와 같은 인터넷 대란은 물론 통신망 마비 사태까지 발생할 수 있다.

시만텍의 하니스틱 실험은 스마트폰 분실로 개인정보와 기업정보가 유출될 수 있음을 보여주지만 해킹 등 악의적인 방법을 통해 보안사고가 발생할 수 있다.

방법은 앱에 불법적인 악성코드를 심어놓는 것만 있는 것이 아니다. 악성코드가 숨어있는 이메일이나 인터넷 사이트 링크가 포함된 메시지를 보내도 개인정보를 빼낼 수 있다.

특히 최근에는 트위터나 페이스북 등 SNS(소셜네트워크서비스)가 활성화되면서 압축된 링크가 자주 쓰이는데 이름만으로는 해당 사이트의 정체를 알 수 없어 악성코드 유포에 활용될 가능성이 높다.

와이파이나 블루투스 등 보안이 설정되지 않는 무선 네트워크를 해킹해 이를 통해 오가는 정보를 빼내는 경우도 있다. 구글은 구글 지도를 만들기 위해 와이파이 정보를 수집하는 과정에서 개인정보를 수집해 논란이 일기도 했다. 특히 사설 와이파이는 오가는 정보는 쉽게 탈취할 수 있어 초기 해커들이 집중적으로 공략하기도 했다.

게다가 일부에서는 시중에 유통되는 모바일 백신이 악성코드를 발견하지 못할 수 있다는 의견을 내고 있다. 한 보안 전문가는 "모바일 백신이 검사하는 파일은 일반적으로 접근할 수 있는 파일뿐"이라며 "악성코드는 시스템 파일에도 숨겨져 있을 수 있다"고 우려했다.

이에 따라 일부 기업에서는 모바일 백신보다 더 강력한 보안방안을 강구하고 있다. 예컨대 유심(가입자인증모듈)이나 애플리케이션 프로세서(AP) 등 시스템에서 보안을 설정할 수 있는 방식이다.

이상훈 방송통신위원회 네트워크정보보호팀장은 "아직까지 시스템까지 침해하는 악성코드는 발견되지 않았으나 그럴 개연성은 충분히 있다"며 "안드로이드 등 OS의 취약점에 대한 선행연구는 이미 진행하고 있다"고 말했다.

이어 "모바일 침해사고를 대비하기 위해 앱에 숨어있는 악성코드를 빨리 분석하는 기술 등 다양한 기술개발에 나서고 있다"고 덧붙였다.

머니투데이