당신의 스마트폰은 안녕하십니까?

[정보보호 2015] ⑫당신의 스마트폰은 안녕하십니까?

2009년 7.7 디도스 대란, 2011년 농협 전산망 마비, 2014년 3.20 사이버테러에 이어 지난해 말 한국수력원자력 내부문건 유출에 이르기까지 보안 위협은 더 이상 특정 기관이나 기업에 한정된 문제가 아니다. 미디어잇은 ‘정보보호 2015’ 기획을 통해 날로 고도화되고 있는 보안 위협과 이에 대응해 진화하는 보안 기술의 현주소를 짚어보고, 정보 안심사회 구현을 위한 과제를 집중 점검한다. <편집자주>

 

(사진= ibnlive.com)

 

 

[미디어잇 노동균] 지난달 국정원이 이탈리아의 보안 소프트웨어 업체 해킹팀으로부터 원격조정시스템(RCS) 해킹 프로그램을 구입한 것으로 알려지면서 큰 파문이 일었다. 국정원은 해당 프로그램을 안보전략 수립을 위한 연구개발용으로 구입했다고 해명했지만, 국민적 불안감을 해소하기에는 부족했다. 스마트폰이 대다수 사람들의 일상 깊숙이 파고든 만큼, 누군가 내 스마트폰을 속속들이 들여다볼 수 있다면 이는 일거수일투족이 감시당하는 것과도 같다. 이제 스마트폰 사용자 스스로가 보안의 중요성을 생각해야 할 때다.

 

보안 위협 트렌드도 PC보다 ‘모바일’이 대세

스마트폰은 대부분 24시간 내내 켜져 있고, 금융정보를 비롯해 다양한 개인정보가 다수 저장돼 있다는 점에서 해커들이 군침을 흘릴 만하다. 금융결제 보안 위협이 작년까지만 해도 주로 PC 사용자들을 타깃으로 했다면, 올해부터는 모바일 사용자들을 정조준한 공격이 급증할 것이라는 게 보안 업계의 공통된 의견이다. 실제로 소액결제 서비스 관련 모바일 악성코드는 지난 2012년 처음 발견된 이후 최근에는 각종 모바일 뱅킹 서비스를 대상으로 공격 범위를 확대하고 있는 추세다.

최근 모바일 백신 업체 360시큐리티가 발표한 글로벌 악성코드 유형 분석 결과에 따르면, 올해 상반기 안드로이드 스마트폰을 위협하는 악성코드는 총 37만6200가지 유형으로 나타났다. 이는 지난해 상반기 대비 74.7%나 증가한 수치로, 이 중 스미싱 형태가 92.5%로 가장 많은 비율을 차지했다. 이러한 악성코드의 공격을 받은 스마트폰 사용자 수도 전 세계적으로 3800만 명에 육박하는 것으로 집계됐다.

생활밀착형 스미싱의 대표적인 택배 사칭의 예. 유명 택배사 모바일 홈페이지를 모방한 가짜 페이지(왼쪽)와 정상 페이지.

 

 

그나마 스미싱의 경우 피해 사례가 많이 알려지면서 사용자에게 직접 도달하는 공격 횟수가 점차 감소하는 추세다. 이에 대응해 공격자들도 새로운 형태의 스미싱 공격을 시도하고 있으나, 출처가 불분명한 문자메시지에 포함된 URL은 클릭하지 않고, 보안 설정에서 알 수 없는 출처 항목의 체크를 해제하는 등의 노하우가 스마트폰 사용자들 사이에서 비교적 활발히 공유되고 있는 것으로 분석된다.

그러나 PC와 달리 스마트폰에서 백신 등 최소한의 안전장치조차 고려하지 않는 사용자들이 여전히 많다. 이스트소프트가 지난달 조사한 정보보호 보안인식 실태조사 설문조사 결과, PC 사용자의 3.5%만이 백신을 사용하지 않는다고 응답한 반면, 모바일 백신은 18.3%가 사용하지 않는다고 응답했다. 모바일 백신을 사용하지 않는 이유로는 ‘모바일 백신 자체를 잘 모르거나 필요성을 느끼지 못한다’는 응답이 가장 많아 모바일 환경에서의 보안 경각심이 상대적으로 부족한 것으로 풀이된다.

특히 최근 핀테크 열풍에 힘입어 모바일 기반의 간편결제 서비스가 봇물을 이루면서 이를 노린 위협도 확대될 것으로 전망되고 있어 더욱 사용자들의 주의가 요구된다. 단순히 모바일 간편결제 앱 뿐만 아니라 다른 취약점을 통해서도 위험에 노출될 수 있다는 점에서 모바일 앱 전반적인 보안 강화 대책 마련이 시급하다.

보안 업계 관계자는 “뉴스, 인터넷 등 여러 매체를 통해 보안 사고들이 알려지면서 국민들의 전반적인 보안 인식 수준은 상향됐으나, 보안 수칙을 직접 실천하는 사용자들은 상대적으로 적은 것으로 보인다”며 “특히 모바일 보안의 경우 갈수록 위협 정도와 횟수가 증가하는 만큼 더 주의를 기울일 필요가 있다”고 강조했다.

 

안드로이드, 높은 사용율만큼 보안 위협도 ‘빨간불’

업계에 따르면, 국내 스마트폰 시장은 안드로이드의 점유율이 85%가 넘을 정도로 특정 운영체제(OS)에 편중된 양상을 띠고 있다. 실상 안드로이드 자체가 보안에 취약한 운영체제라고 단정 지을 근거는 없다. 어떤 플랫폼이든 취약점은 존재하기 마련이고, 이를 둘러싼 공격과 방어가 반복되면서 보안성은 높아지기 마련이다. 이보다는 제조사별로 앱을 검수하는 정책과 보안 패치를 배포하는 방식이 다르다는 점에 주목할 필요가 있다.

대부분의 안드로이드 스마트폰이 수많은 제조사와 통신사별로 커스터마이징을 거쳐 출고되는 탓에 구글이 보안 패치를 내놓더라도 일괄적으로 배포되기가 어려운 것이 현실이다. 심지어 구형 스마트폰은 보안 취약점이 발견되고도 수개월이 지나도록 방치되는 경우도 적지 않다. 최근 스마트폰 운영체제나 주로 많이 사용되는 인기 앱의 보안 취약점을 미처 패치가 이뤄지기 전에 파고드는 제로데이 공격이 속속 발견되고 있는 것도 이 때문이다.

국정원이 구입했다는 RCS 툴도 감시 대상의 스마트폰에 침투하기 위해 제로데이 공격을 적극 활용하는 것으로 알려져 있다. 또한 최근에는 안드로이드의 문자메시지 앱에서 자동 다운로드 가능한 기능을 악용해 전화번호만 알면 MMS를 보내 악성코드를 배포할 수 있는 ‘스테이지 프라이트’라는 보안 취약점이 발견되면서 관련 업계가 분주하게 대응하기도 했다.

또한 안드로이드는 앱 내에서 기능을 공유할 수 있도록 허용하는 범위가 넓은 편인데다, 사용자가 임의로 앱 설치파일(APK)을 내려받아 사용할 수 있는 블랙마켓이 활성화돼 있다는 점에서 상대적으로 보안 위협에 노출될 가능성이 높다. 스마트폰 앱은 용도에 따라 ID, 주소록, 사진첩, 위치정보 등을 활용해야 정상적으로 사용 가능하기 때문에 대부분의 사용자들은 권한 요청에 별 의심 없이 수락하게 된다. 악성 앱은 이 과정에서 사용자 기기의 정보를 수집하고, 은밀하게 외부로 탈취한다.

앱 설치 시 필요한 권한 요청에 수락하는지를 묻는 화면.

 

 

실제로 지난달에는 어도비 플래시 플레이어를 사칭한 랜섬웨어 배포 사례가 발견돼 주의보가 내려진 바 있다. 이 랜섬웨어는 사용자가 임의로 스마트폰을 조작하지 못하게 만들고, 이를 풀어주는 조건으로 금전을 요구한다. 해당 랜섬웨어는 설치 과정에서 사용자에게 과도한 권한 및 관리자 활성화를 추가로 요구한다. 사용자는 유명한 앱이라는 이유로 별다른 의심 없이 이를 승낙하게 되고, 결국 스마트폰이 인질로 잡히게 되는 것이다.

이는 국내 인터넷 환경에서 액티브X로 대변되는 폐해로 지적된 것과도 비슷한 양상이다. 특정 프로그램을 설치하는 과정에서 습관적으로 ‘예(Yes)’를 눌렀던 것처럼 앱 설치 과정에서도 무작정 권한 요청을 수락하게 되는 습관을 악용하는 셈이다. 매번 앱을 설치할 때마다 장문의 약관을 꼼꼼히 살피는 것은 쉽지 않은 일이지만, 적어도 설치하고자 하는 앱이 어떤 권한을 요구하는지는 확인할 필요가 있다.

노동균 기자 yesno@it.co.kr