'쥐도 새도 모르게' 해킹된 스마트폰, 대체 어떻게?

타깃 전화번호 확인되면 수개월간 잠복·해킹시도…정보 민감도 비해 100% 안전망 없어

태영호 전 영국 주재 북한 공사의 스마트폰 해킹 사건을 추적한 보안업체 이스트시큐리티 직원들이 시큐리티대응센터(ESRC)에서 실시간으로 악성코드를 추적하고 있다./사진제공=이스트시큐리티

지난해 태영호 전 영국주재 북한 대사의 스마트폰이 해킹을 당해 지인 휴대전화와 문자 등이 북한 해커로 추정되는 해킹그룹에 유출된 것으로 뒤늦게 확인됐다.

앞서 배우 주진모, 셰프 최현석 등 유명인들의 휴대전화가 잇따라 해킹돼 사이버 범죄자들로부터 협박을 받았다. 해외에선 글로벌 전자상거래 사이트 아마존 창업자인 제프 베이조스의 스마트폰 해킹 문제가 국제문제로 비화됐다.

전문가들은 "스마트폰이 민감한 정보를 담고 있는 만큼 유명인 혹은 주요인사들의 휴대전화가 사이버 범죄자 및 국가 정보조직의 주된 타깃이 되고 있다"고 말한다.

北 추정해커 태영호 스마트폰 어떻게 털렸나…은밀하고 집요한 해킹수법
17일 보안기업인 이스트시큐리티 문종현 시큐리티대응센터(ESRC)센터장은 "지난해 북한 추정 해킹조직의 서버를 역추적하던 과정에서 태영호 전 공사의 스마트폰이 해킹 당한 정황을 포착, 이를 당사자에게 알렸다"고 밝혔다.
북한 해커로 추정되는 추정되는 해킹그룹을 추적하던 중 그들의 정보 수집 서버를 확인했고, 연락처·문자메시지 등 태영호 전 공사 휴대전화 속 데이터로 추정되는 정보를 발견, 당사자에게 해당 사실을 알려줬다는 설명했다.
해킹수법은 알려지지 않았다. 문 이사는 "스피어 피싱(Spear Phishing) 공격 수법에 당한 것 같다"고 밝혔다. 스피어 피싱이란 특정 개인이나 기업 등을 표적 삼아 PC나 스마트폰에 악성코드를 설치해 내부 정보를 빼내는 수법이다.
해커들은 특정인의 전화번호 혹은 메일 주소를 확인해 수 일~수 개월 동안 은밀하고 집요하게 해킹을 시도한다. 가령 택배 조회나 제조사·금융기관 공식 사이트 화면을 위장해 사용자 계정 정보를 빼내거나 지인의 카카오톡 메시지 등을 가장해 링크를 클릭하도록 유도하기도 한다.
때론 타깃층의 관심사를 파악해 호기심을 자극하는 사회공학적 기법도 활용한다. 탈북단체 등에는 '대북정보'를 미끼로 유인하는 식이다.
피해자가 방심한 사이 문자 메시지의 URL(인터넷주소)을 누르고 동의하면 자신도 모르는 사이 모든 정보를 외부 유출할 수 있는 악성코드가 설치된다. 또다른 보안 전문가는 "특정인 전화번호만 알면 얼마든지 타깃 공격을 시도할 수 있다"고 강조했다.
캐나다에 망명 중인 사우디아라비아 반체제 인사 오마르 압둘아지즈의 휴대전화도 이같은 수법에 당했다. 2018년 '주문한 물건이 도착했다'는 택배업체 문자메시지를 클릭했다가 악성 코드인 '페가수스'가 침투해 그의 신상 정보를 모조리 털었다. 얼마 뒤 그와 연락하던 사우디아라비아 국내 인사들이 당국에 끌려갔다.
아마존 창업자인 제프 베이조스 스마트폰 해킹사고도 유사수법에 당했다. 베이조스는 2018년 5월 빈 살만 사우디아라비아 왕세자로부터 모바일 채팅앱 '왓츠앱' 메시지를 받은 직후, 사생활이 담긴 문자 내역을 포함한 방대한 정보가 유출됐다고 주장했다. 이에 대해 왕세자측은 전면 부인했으나, 이 문제가 국제 문제로 비화되면서 유엔까지 나서 진상조사를 촉구했다.
스피어 피싱 수법 외에 다른 PC나 보안이 취약한 인터넷 사이트에서 얻은 계정 정보(아이디, 비밀번호)로 스마트폰 클라우드 서비스를 해킹했을 가능성도 배제할 순 없다. 통상 동일한 아이디와 비밀번호로 여러 인터넷 서비스를 쓰는 경우가 다반사다.
구글·삼성·아이클라우드 등 스마트폰과 연동되는 클라우드 서비스 계정정보와 같다면 스마트폰 데이터에 접근할 수 있다. 주진모를 비롯해 국내 유명인들의 스마트폰 해킹사고는 이 수법에 당한 것으로 알려졌다.

/사진제공=임종철 디자인 기자

해커 왜 스마트폰에 눈독 들인가…조기 예방 방법은

이들이 스마트폰에 눈독을 들이는 이유는 쉽게 '빼낼 가치'가 있기 때문이다. 연락처·문자·카톡 메시지는 물론 스마트폰으로 촬영한 사진·동영상 등 민감한 사생활 정보들은 대부분 스마트폰에 저장돼 있다. 반면 스마트폰은 언제 어디서나 인터넷에 연결할 수 있다. 보안에 있어서는 단점이다. PC처럼 언제든 해킹될 수 있다.

전문가들은 그동안 유명인이나 정치권 인사의 휴대전화가 주된 타깃이었지만 그 대상이 일반인으로 확대될 것이라며 주의를 당부했다.

업계 보안 전문가들의 조언을 종합하면, 스마트폰 백신 프로그램만 믿어선 안된다. 스마트폰 해킹 피해를 예방하려면 출처가 확인되지 않은 문자메시지의 URL을 누르지 않는 것이 최선이다. 지인에게서 온 문자라도 그 지인이 맞는지 확인하는 게 우선이다.

스마트폰용 백신 프로그램을 주기적으로 업데이트하는 것도 중요하다. 보안 앱을 위장한 악성코드 앱이 있을 수도 있다. 앱에서 보안 강화나 업데이트 명목으로 금융정보를 요구한다면 절대 입력하지 말아야 한다.


앱은 공식 앱스토어를 통해서만 내려받는 것도 중요하다. 인터넷 사이트에서 URL을 통해 앱을 다운 받다가 악성코드를 함께 내려 받을 가능성도 있기 때문이다. 보안업계 관계자는 "출처가 불분명한 문자나 SNS 메시지를 수신할 경우 열람을 되도록 지양하는 것이 바람직하다"고 당부했다.