본문 바로가기

보안라이프/이슈&이슈

스마트폰 해킹 가능성 3가지 측면에서 살펴보니


스마트폰의 종류는 아이폰, 안드로이드폰, 그리고 최근 출시된 윈도우폰7 등 다양한 기종이 있다. 손 안의 컴퓨터로 불리우며 작은 화면이지만 보급형 컴퓨터 부럽지 않은 성능과 가능성을 보여주면서 보급이 급증하는 추세이다. 심지어 아직 국내에 출시되지 않은 윈도우폰7에 이르러서는 X-BOX 게임이 구동할 만큼 그 성능히 강력하다. 또한 아이폰이나 안드로이드폰에서도 3D를 이용한 퍼포먼스가 충분히 가능한 상황이다.

하지만 작용과 반작용의 법칙처럼 새로운 기술이나 디바이스가 나오면 언제나 따라오는 것이 크래커에 의한 해킹의 위협이다. 스마트폰에는 어떤 보안 위협이 있을까 한 번쯤 관심을 가져야 할 것이다.

애플리케이션을 통한 개인 정보 유출

스마트폰 사용자가 단연 최고로 뽑는 기능은 바로 애플리케이션(이하 앱)으로 같은 기종도 사용자의 취향에 따라서 전혀 다른 폰이 된다는 것이다. 게임을 좋아하는 사람이 사용한다면 게임기가 되고 음악을 좋아하는 사람에게는 음악 플레이어, 영화 마니아에겐 PMP 등 다양한 기능을 지원하고, 수많은 개발자가 이러한 기능을 지원하는 앱을 끊임없이 내놓기 때문이다.
하지만 이렇게 다양하고 수많은 앱 중에는 악의적인 목적을 가진 것도 꽤 있다. 실제로 지난 7월에는 스마트폰의 배경화면을 바꾸어 주는 것으로 인기를 얻었던 안드로이드 앱이 400만여 명의 개인정보를 유출하는 해킹 프로그램으로 밝혀져 충격을 주기도 하였다.
또한 SNS 앱을 이용하여 아무 생각 없이 자신의 정보를 업데이트했다가 소위 '신상이 털린다'거나 여행을 간 사이 아무 생각 없이 올렸던 트윗을 본 도둑이 빈집털이를 하는 일도 있었다.

운영체제 상의 취약점

스마트폰 등장 전에는 휴대폰을 관리하는 프로그램은 일종의 펌웨어(ROM에 기록되는 아주 작은 프로그램)에 불과했다고 보아도 과언이 아니다. 하지만 스마트폰이 등장함으로써 심비안, iOS, 안드로이드, 지금은 윈도우폰7(윈도우 모바일) 등이 모바일용 OS(운영체제)로 사용되게 되었다. 앱을 쓰고 MP3를 쓰고 동시에 문서를 편집하는 등의 배경이 바로 이러한 운영체제들인 것이다.

흔히 말하는 아이폰4의 탈옥(제일 브레이크)의 경우 바로 아이폰에 탑재된 운영체제의 제로데이 취약점(별도의 보안 패치 전까지 공격이 가능한 취약점)을 이용하여 한 인터넷 사이트에 접속을 하는 것만으로 탈옥이 가능하다. 데스크톱 PC에서 수도 없이 발생하는 제로데이 공격처럼 스마트폰 또한 이러한 취약점을 이용해 마음만 먹으면 얼마든지 공격자가 원하는 대로 조작할 수도 있는 것이다. 이를 방지하기 위해 각 제조사는 끊임없이 보안 패치를 발표한다.
관련 취약점 정보

이러한 운영체제 상의 보안 결함은 단지 아이폰만의 문제가 아니다. 11월 1일에는 안드로이드에 존재하는 보안 취약점으로 인해 악의적인 목적을 가진 공격자가 상대방의 정보를 열람할 수 있다는 문제점이 제기되기도 하였다.
안드로이드 보안 취약점

인터넷 접속 자체가 취약점

위의 두 가지를 제외하고도 가장 커다란 취약점은 바로 스마트폰 자체가 인터넷 또는 네트워크에 접속이 가능하다는 것이다. 우리가 인식을 못할 뿐 인터넷을 하면서 적용되는 거의 모든 취약점이 스마트폰을 사용할 때도 적용이 되는 것이다. 허가되지 않은 접속자에게 권한을 부여하는 것은 물론, 스마트폰이 DDoS(분산서비스거부) 공격의 도구인 좀비 PC로 전락할 가능성도 공공연히 이야기되고 있다.

또한 허가되지 않은 접속을 하기 위하여 별도 방법으로 교묘하게 악성코드가 있는 사이트로 연결할 가능성도 이미 제기가 된 현실이다.

기본적인 수칙 준수가 예방의 첫 걸음

이렇게 다양한 스마트폰에 대한 공격 방법이 존재한다면, 기본적인 예방 가이드라인도 존재하기 마련이다. 이미 온라인 보안 커뮤니티인 시큐리티 플러스에서는 지난 8월 스마트폰 사용자를 위한 보안 가이드라인 v1.0 을 발표한 상태이다.
또한 안철수연구소도 스마트폰 사용자를 위한 보안 솔루션인 V3 Mobile을 안드로이드, 윈도우 모바일 등 이미 다양한 운영체제용으로 개발해 삼성전자, LG전자, 모토로라, 팬택의 스마트폰에서 제공 중이다.
스마트폰 보안도 컴퓨터 보안과 다르지 않다. 보안 업데이트를 꼼꼼하게 체크하고, 허가되지 않거나 출처가 의심되는 앱을 사용하지 않고, 탈옥이나 루팅 등을 최대한 자제하여 기본적인 가능성을 배제해 나가는 등 기초적인 것부터가 바로 스마트폰 보안의 시작인 것이다. 

<안철수연구소가 권하는 스마트폰 보안 10계명>

1. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다. 

2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.

3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다.

4. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.  

5. 스마트폰용 보안 소프트웨어(V3 Mobile )를 설치하고 엔진을 항상 최신으로 유지한다.  

6. 스마트폰의 잠금 기능(암호 설정)을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를

수시로 변경한다.  

7. 블루투스 기능을 켜놓으면 악성코드에 감염될 가능성이 높으므로 필요할 때만 켜놓는다.

8. ID, 패스워드 등을 스마트폰에 저장하지 않는다.

9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다.

10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.

Ahn
                                                             

대학생기자 오세혁 / 한국항공대 컴퓨터정보공학 http://tigernet.tistory.com
미래의 보안전문가를 꿈꾸던 19살 대학 새내기가 25살이 되어 선배들의 열정을 느껴보고 싶었습니다.
어쩌면 할 수 있을까란 불안감과 나보다 앞서나가는 이들을 보며 느낀 열등감으로 갈피를 잡지 못하는 자신을 다잡아보고 싶어서였는지도 모르겠습니다. 보안세상과 함께 자신의 꿈에 한 발짝 다가가고 더 명확히 볼 기회가 되기를 간절히 바랍니다. 안철수연구소에 오세혁이란 사람의 영혼도 더해지는 날을 위해서!!