KISA, “SMS 통한 자동 웹 접속 기능에 대한 기술적 재검토 필요”

▲휴대폰이 공격형 SMS 메시지를 통해 하이재킹될 수 있다고 주장한 트러스트디지털사가 유튜브를 통해 공개한 시연동영상 캡쳐 화면. ＠보안뉴스.

최근 모바일 보안 기업 트러스트 디지털(Trust Digital)사는 휴대폰이 공격형 SMS 메시지를 통해 하이재킹될 수 있다고 재기하며 그 시연장면을 유튜브에 공개했다.

 

트러스트 디지털사가 유튜브(www.youtube.com)에 공개한 이 시연동영상에서는, 공격자가 타깃 휴대폰에 웹 접속을 유도하는 SMS 메시지를 전송한 후 자동으로 타깃 휴대폰이 악성 웹페이지에 접속하게 해 악성프로그램을 다운받는 모습을 보여주는데 이때 악성프로그램에 감염된 휴대폰은 공격자에 의해 데이터들이 쉽게 유출이 가능하다.

또한 이와 관련한 유튜브에 올려진 다른 동영상에서는, 다른 타입의 공격으로 공격자는 와이파이(Wi-Fi)를 사용하는 휴대폰에 GSM네트워크를 통해 ‘control message’라는 SMS 메시지를 전송한 후 전용툴을 이용해 해킹하는 공격 기법을 소개하고 있다. 즉 타깃 휴대폰에서 이메일 로그인 정보를 스니핑하는 공격 기법이다.

‘GSM 네트워크’란 시분할 다중접속(TDMA)의 변종으로써, TDMA, CDMA와 함께 가장 널리 사용되는 3개의 디지털 무선전화기술 중 하나다.

이와 관련 댄 디어링(Dan Dearing) 트러스트 디지털 마케팅 담당 부사장은 “피해자 몰래 SMS 메시지를 전송한 후 자동으로 악성프로그램을 다운로드해 데이터를 훔치기 때문에 일명 ‘Midnight Raid Attack’인 이 해킹 공격은 피해자가 자고 있을 때 가장 효과적”이라고 말했다.

이에 한국정보보호진흥원 관계자는 “최근 모바일 기기들이 일반 컴퓨터처럼 자유롭게 웹사이트에 접속 가능함에 따라, 일반 컴퓨터 환경에서 가능한 공격들이 모바일 기기에서 다양하게 응용되고 있어 이에 대한 대비가 필요하다”며 “전송되는 SMS를 통한 자동 웹 접속 기능에 대한 기술적 재검토가 필요하며, 휴대폰 보안이 보다 강력하게 이루어져야 할 것”이라고 밝혔다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>