보안업체 에스이웍스 모의 해킹 실험
공인인증서에 혼잣말 도청까지
하루 일과 손바닥보듯 들여다봐
"출처 불분명한 앱도 깔면 안돼"
[아시아경제 조유진 기자]불과 5분. 스마트폰 개인정보가 털리는데 걸린 시간이다. 카카오톡 등 메시지 확인은 물론 공인인증서, 음성녹음ㆍ사진 파일까지. 악성코드를 심은 문자 메시지 한 통이면 스마트폰에 있는 개인정보를 누군가는 손바닥 보듯 들여다 볼 수 있다.
이렇게 유출된 개인정보는 무수한 신종 범죄로 악용이 가능하다. 공인인증서를 손에 넣으면 현금인출이 가능하고 도촬(도둑촬영)한 사진으로 협박해 금품 갈취를 할 수도 있다. 개인정보가 돈이 되는 구조에 기대 한탕을 노리면서 취약한 보안은 끔찍한 사고를 예고하고 있다.
서울 강남구 역삼동에 위치한 스마트폰 보안업체 에스이웍스 사무실을 찾은 것은 지난 주말. 안드로이드 OS(운영체제)를 탑재한 기자의 스마트폰을 모의 해킹한 에스이웍스 해킹팀은 기자의 하루 일과를 꿰뚫고 있었다.
무심결에 클릭한 게임 홍보 문자 때문이다. 유료 게임을 오늘 하루만 무료로 내려받을 수 있게 해준다는 문자 메시지는 홍보 문자로 위장한 악성코드였다. 에스이웍스 해킹팀은 "문자 메시지에 있는 URL 주소를 클릭한 순간 악성코드가 주입됐고 스마트폰의 개인정보들이 해커의 손에 넘어간 셈"이라고 말했다. 게임 홍보 외에 청첩장, 돌잔치, 현금영수증발급, 법원출석요구 등 수법도 다양하다.
해킹팀이 이어 문자 메시지지로 명령을 내리자 스마트폰에 저장된 연락처 목록과 통화내역, 사진, 문자 메시지와 주고받은 내용들이 해킹팀 서버 스크린에 그대로 올라왔다. 모든 정보를 탈취하는데 걸리는 시간은 불과 5분 남짓. 해킹팀은 그날 기자가 한 일을 다 알고 있었다.
"모바일 주식 거래와 캔디크러쉬사가를 즐기시네요. 오시는 길에 서울역 인근 현대오일뱅크에서 주유를 하셨고, 오후 6시~6시반 사이 댁으로 택배가 도착할 예정이네요". 놀란 표정을 짓자 해킹팀은 서버 화면을 가르켰다. 구글 지도 상에 서울역과 역삼동을 오간 기자의 동선이 점표로 찍혀 있었다. GPS(위성항법장치) 정보를 통한 기자의 위치 정보가 고스란히 담겨 있는 것.
해킹팀은 이어 도청한 음성 파일을 들려줬다. 이동중에 차 안에서 혼잣말을 하던 기자의 목소리가 생생히 들렸다. 해킹팀이 스마트폰 마이크를 활성화시켜 통화 내용 뿐만 아니라 혼잣말과 주변 소리까지 전송했다는 설명이다. 스마트폰이 도청기 역할을 한 셈이다. 카메라를 활성화하면 실시간 도촬도 가능하다. 해커가 문자 한 통으로 도청 시작과 정지 명령을 내리면 된다. 문제는 문자 수신 기록이 남지 않아 도청을 당하고 있는지 조차 알 수가 없다.
보안 전문가들은 스마트폰 사용자를 겨냥한 해킹 기법이 진화하고 있어 기술적으로 방어하기가 쉽지 않다고 입을 모은다. 스마트폰으로 빼낸 개인정보를 활용한 무수한 신종범죄가 가능하다. 도촬로 확보한 영상을 유포하겠다 협박해 금전을 요구하거나, 모바일 주식투자자들을 표적으로 주식을 담보로 대출을 시도할 수도 있다.
이동통신사, 주 거래은행, 결제 정보 등의 정보로 상대방을 안심시킨 뒤 금전을 요구하는 보이스피싱이나 스미싱도 가능하다. 구글플레이 등 정식 마켓의 검수가 완벽하지 않은 틈을 타 악성코드를 심은 복제 앱을 통해 개인정보를 빼내는 일도 가능하다.
피해를 막기 위해서는 보안업체가 제공하는 모바일 백신에 대한 맹신을 경계해야 한다. 해킹팀은 "신규 악성코드가 하루에 천개 이상 새로 생겨나고 있고, 정상적인 경로로 다운로드 받은 앱이라도 완전히 믿을 수 없는 만큼 사용자의 각별한 주의가 필요하다"고 말했다.
진화하는 악성코드에 대응하기 위해서는 사용자의 적극적 보안의식이 중요하다는 지적이다. 해킹팀은 "보안에 취약한 안드로이드 사용자는 출처가 불분명한 앱은 설치하지 않고, 스마트폰 설정 화면에서 '알 수 없는 출처(소스)의 앱 설치' 옵션을 비활성화하는 것이 중요하다"고 말했다.
조유진 기자 tint@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>