[김국배기자] 스마트폰 해킹을 통한 위협이 일상화되고 있다.
국민 10명중 6명이 스마트폰을 사용하는 것으로 추정되는 스마트 시대를 맞아 스마트폰이 가져온 편리함은 그에 상응하는 위험도 동시에 불러 모으고 있다. 과거 어눌한 말투로 대변되던 피싱의 위험은 현재와 비교해 볼 때 가소로울 지경이기까지 하다.
최근 등장하고 있는 스마트폰 사용자을 노리는 해킹 수법은 훨씬 더 다양하고 지능화되고 있다. 해킹은 물론 도청까지 쉽게 이뤄지고 자신도 모르게 악성 앱이 깔리면서 수십만원이 순식간에 빠져나가기도 한다.
◆'피싱' 가고 '파밍·스미싱' 오고
파밍, 스미싱이 새로운 보안 위협으로 대두하고 있다.
기존의 금융사기 수법은 주로 피싱(Phishing)이었다. 공공기관을 사칭해 자녀의 신변이 위험하다는 거짓말로 금전을 가로채는 보이스 피싱이나, 메신저를 통해 친구인 척 접근해 돈을 빌려주게 되는 메신저 피싱 등이 피해를 야기했었다.
그러나 어느새 피싱은 자취를 감췄다. 이제는 한 단계 업그레이드된 파밍과 스미싱이 활개를 치고 있다. 파밍은 쉽게 말해 가짜 사이트에 접속하게 만드는 것이다.
이용자의 PC에 악성코드를 감염시켜 이용자가 정상적인 금융사이트를 접속해도 파밍 사이트로 유도해 금융정보 등을 빼내간다. 해커는 획득한 정보를 이용해 대출이나 계좌이체를 통해 최종적으론 금전적 피해를 입힌다.
금융위에 따르면 지난해부터 올 2월까지 약 323건, 20억원 이상의 피해가 발생한 것으로 알려졌다.
스미싱은 문자메시지(SMS)와 피싱(Phising)을 결합한 말이다. 주로 스마트폰에 SMS나 모바일 메시지로 악성코드를 삽입한 URL을 전달해 악성 앱 설치를 유도해 감염시키는 방식이다. 감염된 스마트폰으로 소액결제를 하는 식으로 금전적 피해를 입게 된다. 소액 결제는 공인인증서가 필요없다는 허점도 작용했다.
◆점점 교묘해진다 '스마트 해킹'…해커의 성격도 변해
최근 급속도로 확산되는 '스미싱'은 사칭 대상을 확대해 가며 더욱 지능화되고 있다. 우연적이 아니라 필연적으로 걸려들 수밖에 없게 만들고 있다.
지난 12일 안랩은 최근 사용자의 개인정보를 노린 고도화된 파밍 악성코드 '뱅키'(banki)의 변종이 발견됐다고 밝혔다. 이번에 발견된 변종은 사용자의 이름과 주민번호가 정상적으로 입력되었는지까지 확인하는 것으로 알려졌다.
기존에는 임의로 이름과 숫자를 입력해도 인식하지 못했지만 이 변종은 본인 인증 기능을 갖춰 피해자의 이름과 주민등록번호를 재차 확인하는 것이다.
패스트푸드점, 커피전문점 등의 무료쿠폰을 위장해 악성 앱 설치를 유도했던 방식은 이제 지인, 게임, 동창회 등의 모임까지 사칭하고 있는 실정이다. 지난 2012년에도 피해가 633건으로, 1년 새 4배나 늘었다. 최근에는 통신사 요금명세서 앱을 사칭한 것까지 나타났다.
한국인터넷진흥원(KISA)에 따르면 지난해 12월부터 118 상담센터 등을 통해 신고된 국내 모바일 악성 앱은 총258건으로 이 중 약 60%가 유명 브랜드를 사칭했다. 그러나 최근에는 무료쿠폰 사칭 앱이 잘 먹히지 않자 다양한 모임용 앱으로까지 위장하고 있다.
해커의 성격도 변화하고 있다. 해킹 동향을 보면 소액결제 등 금전적 이득을 취하려는 움직임이 커졌다.
보안업계는 이같은 변화의 원인에는 해커들이 과거 자신의 능력을 과시하기 위해 해킹을 시도하던 것과 달리 돈을 쫓기 시작했다는 게 공통된 시각이다. 여기에는 게임에서 벌어들이는 수익이 목돈이 되지 않는다는 판단도 작용했을 것으로 본다.
보안업계 관계자는 "기존에 해커들은 주로 자기 과시나 게임 아이템 사기 등을 통해 금전적 목적을 달성했으나 이제는 은행 사이트 등을 위장하는 등 금융사기가 늘어나고 있다"고 말했다.
빛스캔 한국인터넷위협분석 보고서에 따르면 2012년 5월까지 게임계정 탈취를 목적으로 한 악성코드는 87% 이상이었으나 지난해 하반기부터는 파밍 악성코드가 전체 악성코드의 82%를 차지하고 있는 것으로 조사됐다.
◆도청에 '좀비 스마트폰' 위험까지
최근에는 '스파이 앱'이라고 하는 해킹수법까지 등장했다. 도청 대상 스마트폰에 앱 하나를 몰래 깔거나 문자에 포함된 단축URL을 누르도록 하여 악성코드에 감염시키는 전형적인 수법으로 이뤄진다.
문제는 스파이 앱의 해킹 범위다. 스파이 앱은 소액결제 사기는 물론 사용자들의 통화내용과 문자메시지, 음성녹음을 통한 도감청까지 무차별적인 기능을 갖추고 있다. 자신의 스마트폰이 도청기나 위치 추적기로 악용될 수도 있는 것이다.
보안업계에 따르면 국내에서 스마트폰 SMS 문자메시지 내용을 빼가는 스파이 앱이 발견된 건 이번이 처음이다. 안드로이드 기반으로 제작된 이 스파이앱은 업데이트 내용처럼 위장한 문자 메시지를 통해 이용자들이 의심 없이 다운받도록 유도한다.
최근에는 해커가 디도스(DDoS) 기능을 담은 악성파일을 만들어 유포시키는 경우가 늘고 있다. 기존 디도스 공격은 감염된 좀비PC를 기반으로 이뤄졌다. 짧은 시간 내 특정사이트에 대량의 트래픽을 집중시키기 위해서는 PC 성능이 뒷받침돼야 했기 때문이다.
그러나 이제는 스마트폰의 성능 향상으로 이러한 조건들이 만족되면서 모바일 디도스 위협도 현실화되고 있다. 백신 등 보안 체계가 PC보다 덜하고 전원이 켜 있는 시간이 많으며 이동이 자유로운 점도 위험을 가중시키는 요인이 되고 있다.
◆막을 방법 없나
파밍을 통한 금융사기가 빈번하자 금융권에서도 대응에 나섰다. 은행들은 그린 인증 외에도 그래픽인증, 나만의 주소서비스, 개인화 이미지 등 다양한 방법을 동원하고 있다.
KB국민은행, 신한은행, 우리은행, 외환은행 등은 피싱사이트 여부를 가리기 위해 '그린 인증' 서비스를 제공한다. 제대로 사이트에 연결되면 주소바가 녹색으로 표시되고 자물쇠 모양이 나타난다.
KB국민은행이 본인만이 알 수 있는 특정한 이미지를 사이트에 넣어 진위 여부를 가리는 개인화 이미지 서비스를 제공한다. 외환은행은 로그인 시 등록한 통화, 환율 등의 이미지를 확인하는 개인화 이미지 서비스를 제공한다.
우리은행과 신한은행은 그래픽 인증 서비스를 도입해 제공중이다. 개인 정보 이외의 인증을 한단계 더 거쳐 보안 기능을 강화했다. 그래픽 인증은 그림의 순서를 설정하고 이를 기억하는 방식이며 신청한 이용자에 한해 적용된다.
농협은 '나만의 주소 서비스'를 이용한다. 농협 사이트 주소가 아닌 이용자가 접속할 수 있는 다른 주소를 지정하는 방식이다.
위험 방지를 위한 개인 스스로의 노력도 무엇보다 중요하다.
파밍 피해를 예방하기 위해서 전화나 문자 메시지로 개인정보나 금융 정보를 알려주지 않는 것은 기본이다. 어떤 경우라도 금융기관 사이트에서는 보안카드의 일련번호나 코드번호 전체를 요구하지 않는다는 점도 유념해야 한다.
스미싱에 대한 대안은 마땅치 않은 것이 사실이다.
스미싱 예방은 공공, 금융기관이나 지인이 보낸 메시지라도 URL 등 링크를 포함하고 있을 경우 클릭하지 않고 삭제하는 것이 최선이다. 아울러 악성코드나 크래킹 앱 차단을 위해 스마트폰용 백신 프로그램을 설치할 것을 권한다.
현재 스마트폰 해킹을 막기 위한 수단은 모바일 백신 정도에 머물러 있는 수준이다. 앱 장터를 통해 V3 모바일, 바이로봇 모바일, 알약 등의 전용 백신을 다운받아 설치하는 정도다.
보안업계 관계자에 따르면 모바일 백신의 수준이 악성코드를 감지해 예방하는 차원이지 PC용 백신처럼 치료할 수 있는 단계에는 이르지 못하는 것이 현주소다.
보안업계 관계자는 "수시로 모바일 백신을 체크하고 파일검사를 해야 하는데 대부분 하지 않는 편이라 스파이앱이 휴대전화로 한번 침투하면 잘 걸러지지 않는다"며 "무엇보다 메시지에 의심스러운 단축 URL이 있으면 클릭하지 않는 게 안전하다"고 말했다.
한편 보안 전문가들은 인터넷진흥원이 제공하는 '폰키퍼' 등 스마트폰 백신 프로그램으로 정기적으로 점검할 것을 권고한 바 있다.
김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기