최근 유명인들의 스마트폰 해킹 피해가 늘어나면서 스마트폰 보안에 대한 관심이 커지고 있다. 보안업계에 따르면 무작위로 확인한 연예인 계정 정보(아이디, 비밀번호) 10개 중 6개가 이미 해외에 유출된 것으로 추정되고 있다. 전문가들은 피해를 막으려면 '이중 보안이 필수'라고 목소리를 높이고 있다.
◇다크웹 유출된 연예인 계정정보 60% 유출
23일 국내 보안업체 NSHC에 따르면 인스타그램, 페이스북 등 SNS를 통해 공개된 연예인 계정 정보를 무작위로 확인한 결과 전체 86명 중 52명(60.46%)의 계정정보가 다크웹에 유출된 상태다.
또 지난해 연간 다크웹(인터넷 주소 추적이 어려운 사이트)에 유출된 한국인 계정정보는 1008만건에 달하는 것으로 나타났다.
최근 연예인 해킹 피해 사건에서 해커들은 유출된 계정정보를 악용해 스마트폰 클라우드 계정에 담긴 정보를 유출한 것으로 알려졌다.
이번 해킹사고와 관련 삼성전자는 "삼성 갤럭시폰이나 삼성 클라우드 서비스가 해킹을 당한 것은 아니며, 일부 사용자 계정이 외부에 유출된 뒤 도용돼 발생한 것으로 추정된다"며 "삼성 클라우드를 더욱 안전하고 편리하게 사용할 수 있도록 이중 보안설정 등 보안조치를 취해주길 바란다"고 당부했다.
해커들이 다크웹에 유출된 계정 정보를 활용할 경우 피해자가 동일한 비밀번호를 사용하는 사이트라면 언제든 피해가 발생할 수 있다. 특히 클라우드 계정을 사용하는 경우라면 스마트폰에 담긴 정보가 유출될 가능성도 배제할 수 없다.
◇이중인증 반드시 적용해야
이 같은 피해를 예방하려면 사이트마다 다른 비밀번호를 사용하고 주기적으로 변경해야 한다.
그러나 일반적으로 1인당 사용하는 인터넷 서비스수가 5개를 넘어가면서 보안상태가 취약할 수밖에 없다. 대다수가 비밀번호를 바꾼다고 해도 맨 앞자리나 끝자리 하나만 변경하는 등 비밀번호 만으로는 계정을 안전하게 유추하기 어렵다. 최근 해커들은 빅데이터, 인공지능(AI) 등을 활용해 변경한 비밀번호를 유추하기까지 한다.
이 때문에 보안 전문가들은 가장 안전한 방법으로 이중 인증(2FA)을 추천한다. 2FA는 본인이 소유한 다른 휴대 기기를 통해 인증을 하는 등 두 가지 이상의 요소를 조합해 본인 인증을 하는 방식이다.
NSHC 관계자는 "비밀번호를 바꾸더라도 해커들이 이미 유출된 수많은 계정정보와 AI로 바뀌는 비밀번호 패턴을 예측해 클라우드 계정에 접근할 수 있다"며 "클라우드 서비스를 이용할 경우 중요 정보를 보호하기 위해선 2FA를 반드시 사용할 필요가 있다"고 지적했다.
또 최근 많이 사용하는 지문인식이나 홍채인식, 얼굴인식 등 생체인식을 함께 이용하면 더욱 안전하다.
SK인포섹 관계자는 "스마트폰을 해킹에서 지키고 싶다면 인증되지 않은 앱은 절대로 다운받지 말고 반드시 공식 사이트에서 인증된 앱을 사용해야 한다"며 "이벤트 당첨 등 흥미를 유발하는 내용의 문자나 SNS URL에도 악성 앱이 숨어 있을 가능성이 크기 때문에 절대 클릭하지 말고 바로 삭제할 필요가 있다"고 조언했다.