확산보다 더 빠른 보안침투 사례에 경계심 높여야

애플 아이폰이 2009년 11월 22일 KT를 통해 예약판매에 들어간 이래 1개월여 만에 24만 대가 판매되고, 애플 앱스토어에 등록돼 내려받을 수 있는 응용 프로그램도 3000개를 넘어서면서 선풍적인 인기를 끌고 있다. 그러나 아이폰 같은 스마트폰 확산 속도는 빠른 데 비해 무선 인터넷 보안은 취약하여 해킹 등 위협에 노출될 수 있다는 지적이 나오고 있다. 보안 업계는 스마트폰의 보안 수준이 이제 걸음마 단계여서 PC보다 더 큰 피해를 당할 수 있다고 경고한다. 2007년에 전체 휴대전화의 10%에 불과하던 스마트폰은 올해 20%로 늘어나고, 2013년에는 40%를 넘어설 것으로 예상된다. 스마트폰 해킹의 주요 경로는 무선 인터넷이다. 스마트폰은 자유롭게 무선 인터넷에 접속할 수 있는 만큼 해킹 가능성은 언제나 열려 있다. 스마트폰 시장이 커지면서 보안 문제가 발생할 가능성이 높다는 얘기다. 보안 전문 업체도 뒤늦게 백신 개발에 나서고 있으나, 제대로 된 프로그램이 나오기까지 최소한 5~6개월 이상 소요될 것으로 전망돼, 그 사이 적지 않은 피해가 우려된다. 안철수연구소는 1월 12일 본격적인 스마트폰 시대가 열리면서 PC에서 발생하는 보안 문제가 스마트폰에서도 나타날 것이라는 내용이 포함된 ‘2010년 12대 보안이슈 예측자료’를 내놓았다. 이 자료는 스마트폰의 종류와 플랫폼이 다양해지면서 악성 코드도 다양한 형태로 나타날 것으로 예상했다. 이미 해킹(Jail Break)된 아이폰의 개인 정보를 탈취하는 악성 코드가 발생한 바 있다. 플랫폼이란 응용 프로그램, 소프트웨어 등을 실행하는 데 쓰이는 하드웨어와 소프트웨어의 결합을 말한다. 아직 국내에선 스마트폰 해킹 피해사례가 보고되지 않았지만, 해외에선 이미 여러 번 악성 코드가 발견돼 스마트폰 보안에 구멍이 뚫렸었다. 해외에서 발견된 모바일 악성 코드는 2004년 27건, 2005년 146건, 2006년 342건 등으로, 현재까지 800∼900여 종이 확인된 것으로 알려졌다. 특히 노키아의 운영체제(OS)인 ‘심비안’에 대한 악성 코드가 2004년 6월 모바일에서 처음으로 발견되는 등 초기에는 심비안용 악성 코드가 주를 이뤘고, 윈도 모바일용 악성 코드도 같은 해 7월에 처음으로 발견됐다. 2008년 중국어 버전 윈도 모바일에서는 트로이 목마 형태의 모바일 바이러스 ‘인포잭’이 발견됐다. 이 바이러스는 단말기의 시리얼 정보나 OS 정보를 외부로 빼내 해커가 원격 조종할 수 있게 만들어 사용자 몰래 프로그램을 스마트폰에 설치할 수 있도록 하는 악성 코드다. 2009년 러시아 보안 업체 카스퍼스키랩은 노키아 스마트폰에서 사용자의 무선 계정을 활성화시켜 데이터 요금을 과금하는 악성 코드를 발견했다고 보고한 바 있다. 2009년 말에는 호주의 한 학생이 해킹된 아이폰를 겨냥해 웜(스스로를 복제하는 컴퓨터 프로그램)을 만들어 퍼트렸다. 80년대 팝 스타인 릭 애슬리의 사진을 복사하는 정도의 기능이었지만, 아이폰 보안에 구멍이 생겼음을 보여주는 사례다. 해커가 마음만 먹는다면 치명적인 악성 코드를 심어둘 수 있다는 얘기다. 이 같은 사례가 국내에서도 발견될 여지가 높다는 게 안철수연구소의 지적이다. 국내 아이폰 이용자 중 일부는 이미 아이폰을 해킹해 사용하기도 한다. 이 경우 악성 코드에 감염될 확률은 높아진다. 애플의 아이폰을 이용하여 앱스토어에서 무료 애플리케이션(응용 프로그램)을 사용하던 이용자가 유료 애플리케이션을 내려받기 위해 해킹하는 경우도 증가하고 있다. 이는 애플이 앱스토어라는 한정된 공간에서 등록된 애플리케이션만 사용하도록 제한했기 때문이다. 네티즌들은 이러한 폐쇄적인 정책을 부수는 것을 ‘탈옥’이라고 표현한다. 사이버 공간 어디에서나 설치가 가능하도록 아이폰을 개조해 사용하는 경우도 많은 것으로 알려졌다. 휴대전화에서 악성 코드 감염 여부 알기 어려워 또한 스마트폰 이용자는 인터넷 전화를 도청하거나 아이디와 패스워드 등 민감한 정보를 빼내가는 것도 경계해야 한다고 안철수연구소 측은 지적했다. 이는 해커가 특정 회사의 무선접속장치(AP) 인증 키를 빼내 접속하는 방식으로 이뤄지며, 특정 회사의 무선 AP에 접속해 들어가면 사용자의 정보를 모니터링하고 인터넷 전화의 통화 내용까지 저장할 수 있기 때문이다. 휴대전화 해킹은 PC와 달리 악성 코드 감염 여부를 확인하기 더 어렵다. 단말기에 오작동이 발생하더라도 악성 코드에 따른 것인지, 아니면 제조나 서비스의 오류에 따른 것인지를 분간하기 쉽지 않다는 것이다. 이는 악성 코드 발견 및 분석, 치료 방법 연구를 위한 표본 확보가 늦어지는 원인으로 작용할 수 있다. 이 때문에 각 기업이 인증 시스템 설치 등으로 보안 환경을 강화할 필요성이 제기되고 있다. 또한 아이폰 등 스마트폰은 이동할 때마다 인터넷 주소(IP)가 바뀌기 때문에 해커 추적이 불가능하다. 남의 사생활을 엿볼 수 있는 도·감청 장비로 사용되면서 범죄에 악용될 소지가 크다는 이유다. 스마트폰 해킹을 통해 개인 정보가 유출되면 금융사고로 이어질 수 있다. 스마트폰에는 개인 식별을 위한 정보와 금융 정보가 저장될 수 있기 때문이다. 이 경우 이용자들은 자동으로 각종 요금이 부과되는 피해를 볼 수 있다. 금감원, ‘스마트폰 전자금융 서비스 안전대책’ 발표 이에 따라 금융감독원은 지난 1월 7일 애플의 아이폰을 비롯한 스마트폰 보급 확대에 따라 다양한 잠재적 보안 위협이 제기되고 있다면서, 이를 방지하기 위한 방안으로 ‘스마트폰 전자금융 서비스 안전대책’을 발표했다. 이 대책은 스마트폰을 이용한 전자금융 서비스를 통해 예상되는 잠재적 보안 위협으로부터 고객 정보를 보호하고 안전한 금융 거래를 위한 적정한 보안 기준을 제시하는 데 중점을 뒀다고 금감원은 설명했다. 금감원이 제시한 안전 대책은 △전자금융거래 부문 △기술적 침해대응 부문 △취약점 모니터링 부문 등 3개 분야로 나눠 수립됐다. 전자금융거래 부문은 스마트폰 전자금융서비스 가입 시 다단계 가입자 확인을 거치도록 하고, 로그인 때 사용자 인증을 강화하는 등 서비스 이용 단계에서 이용자의 신원 확인을 강화했다. 기술적 침해대응 부문은 전 통신구간에서 금융거래 정보를 암호화해 송수신되도록 함으로써 정보 유출에 대비하고, 비밀번호 등 중요 입력정보가 유출되거나 변조되지 않도록 입력정보 보호대책도 적용하기로 했다. 아울러 취약점 모니터링을 위해 서비스 제공 금융회사는 정보보호 전문기관과 협력해 스마트폰 관련 새로운 취약점을 신속히 인식하고 대응할 수 있는 감시체제를 구축하도록 할 계획이다.