SMS 속 웹주소 터치? 해커에게 문열어주는 꼴

[u클린2015]<8> 스마트폰 보안 기본 수칙만 잘 지켜도

/그래픽=유정수 디자이너

지난해 '세월호 사고 현장 동영상 보기'라는 제목의 문자메시지(SMS)를 받은 A씨. 메시지 속 웹주소(URL)를 터치했지만 관련 영상을 보지는 못했다. 별다른 생각없이 지내던 중 쓴 적 없는 카드 명세서를 받았다. 앱카드를 사용한 적 없는 A씨가 수천만원 모바일 상품권을 사용했다는 내역이었다.

경찰은 지난 2월 A씨 등 108명의 개인정보를 스마트폰 스미싱으로 빼돌려 앱카드를 발급받은 후 억대의 돈을 가로챈 일당을 검거했다. 이들이 지난해 4개월여 간 챙긴 돈만 1억3400만원. 일당은 스미싱 수법으로 챙긴 공인인증서나 인증 문자 등 금융정보를 통해 앱카드를 부정 발급받았다.

'스미싱 주의보'가 구문처럼 들리지만 새로운 수법들과 합쳐져 진화하고 있다. 통계청에 따르면 지난해 국내 이동전화 가입자 수(약 5721만명) 가운데 70%(4056만명)가 스마트폰을 사용하고 있다. 공격 대상이 무궁무진한 영역을 놓치지 않고 있는 것. 그만큼 전 국민이 정확히 알고 대처해야하는 보안 영역이기도 하다.

◇ 1세대 스마트폰 보안 공격 '스미싱' 여전히 건재

사용자가 SMS 속 웹주소에 접속하도록 유도해 공격 통로를 만드는 스미싱. 스마트폰 보급률이 높아지면서 건수가 증가하고 있다. 안랩에 따르면 스미싱 악성코드는 지난해 1만건이 넘게 적발됐는데 이는 전년보다 2배가까이 급증한 수치다. 지난 1분기 수집된 악성코드 수만 2710개다.

스미싱의 88% 가량이 스마트폰 속 저장된 보안카드, 공인인증서 등 금융정보를 훔치는 악성코드를 포함한 것으로 조사됐다. 금전 사기를 노린 첫 단계로 활용되는 것. 특히 정상적인 은행 앱(애플리케이션)을 사용자가 모르게 악성 앱으로 바꾸는 방식이 44%로 가장 많았다.

이밖에도 SMS, 통화내역 등 스마트폰에 저장된 개인정보를 수집하는 악성코드가 약 10%를 차지했다. 통화내역을 가로채거나 음란물을 노출하는 악성코드도 일부(2.1%) 발견됐다.

세월호 사건 당시 이를 악용했듯 스미싱은 사회적 관심사를 키워드로 활용해 사용자를 유도한다. 올해 상반기 가장 많이 악용된 스미싱 문구는 '결혼'(36%)인 것으로 집계됐다. 문자메시지(SMS)나 SNS(소셜네트워크서비스) 등으로 보내는 모바일 청첩장이 유행하자 이를 악용한 수법이 늘고 있다.

이스트소프트가 집계한 '2015년 상반기 스미싱 현황'을 보면 주로 생활 밀접형 키워드가 사용됐다. '입학' (1.7%), '택배' (1.5%), '훈련' (0.9%), '선물' (0.7%) 순으로 집계됐다. 일상생활에서 흔히 주고받을 수 있는 SMS를 가장해 사용자가 의심 없이 첨부된 웹페이지에 접속하도록 유도하기 위한 전략이다.

◇ 확장성 높은 스마트폰을 향한 신종 공격수법 쏟아져

내 스마트폰을 노리는 공격이 스미싱만 있는 것은 아니다. 스마트폰 악성코드가 지난해 143만개를 돌파한 이후에도 지속적으로 늘고 있다. 특히 올해 스마트폰 공격을 보면 스마트폰 뱅킹 사용자 대상 공격 심화되고 있다.

금융기관이 다채널 인증을 도입하는 등 다양한 방식으로 인증절차를 강화하자 공격자도 여기에 맞는 취약점을 찾아내기 시작했다. SMS를 빼돌려 인증번호를 가로채거나 A씨 사례처럼 앱카드 등 새로운 결제 방식을 악용한 공격이 점차 발생하고 있다.

스마트폰으로 와이파이를 사용하는 경우를 노려 악성코드를 와이파이에 심어놓는 방법도 자주 사용된다. 카페 등에서 무심코 연결한 와이파이를 통해 내 스마트폰에 나도 모르는 사이 악성코드가 들어오는 것.

향후에는 스마트폰이 IoT(사물인터넷) 기기 연결 중심이 된다는 점에서 더 큰 피해가 예상된다. 공격자들도 스마트폰만 뚫으면 각종 IoT 기기까지 손에 넣을 수 있기 때문에 스마트폰에 대한 공격 시도를 늘려갈 수밖에 없다. 예를 들어 스마트폰을 원격 조정할 수 있다면, 보일러나 TV, 조명 등 각종 IoT 기기도 제어할 수 있고 관련 정보들도 빼돌릴 수 있게 된다.

/그래픽=유정수 디자이너

◇ 공격 다양화에도 막는 방법은 '기본부터'

다양해지는 스마트폰 보안위협에 대비하는 첫 걸음은 기본적인 안전수칙을 지키는 것이다. 기본 수칙 10개 가운데 한 가지라도 지키지 않으면 전체가 무너지는 것이 보안의 특성이라는 점을 기억해야 한다.

우선 의심스러운 앱은 다운로드하지 않는 것이 좋다. 위변조된 앱에 악성코드를 포함한 경우가 많기 때문이다. 마찬가지로 신뢰할 수 없거나 의심스러운 사이트를 접속하지 말 것을 권장한다. SMS와 이메일 등도 발신인이 불명확한 경우는 바로 삭제해야 한다. 특히 첨부파일을 통해 악성코드를 유포하는 전통적인 방식은 빈번하게 사용된다.

비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하는 것도 중요한 보안 수칙이다. 무선랜, 블루투스 등은 사용할 때만 켜놓는 습관도 중요하다. 해외에서는 블루투스 기능을 통해 악성코드가 유포된 사례가 자주 발견되고 있다.

보안전문가들은 스마트폰 플랫폼 구조를 임의로 변경하지 않고, 다운로드한 파일은 바이러스 유무를 검사한 후 이용하는 것이 좋다고 설명한다.

PC와 스마트폰 연결시 악성코드가 넘어가는 경우도 있어 PC와 스마트폰 모두 백신 프로그램을 설치하고 정기적으로 검사하는 습관이 필요하다. 특히 이상증상이 지속되면 바로 백신 프로그램을 통해 확인하고 감염 시에는 제조업체나 보안업체 등에 신고해야 한다. 공격 경향이 워낙 빠르게 변하기 때문에 운영체제와 백신 프로그램도 항상 최신 버전으로 업데이트해야 효과적으로 쓸 수 있다.