윈도우 모바일 6.1에 대한 해킹 시연 및 대응 전략 발표

한국 CSO협회가 주최하고 행정안전부에서 후원한 ‘스마트폰 보안위협 대응전략 워크숍’이 9일 삼성동 코엑스 4층 그랜드컨퍼런스룸에서 개최됐다. 이날 워크숍에서는 숭실대학교 이정현 교수가 윈도우모바일 6.1 기반 스마트폰을 이용한 해킹시연이 진행돼 많은 관심을 받았다.

이 시연은 지난 2월 숭실대 연구팀이 공개적으로 진행해 화제가 된바 있었다. 해킹 방식은 가상의 엔터테인먼트 사이트를 만든 다음 사용자들의 흥미를 유발하는 성인 자료를 올려 이를 다운받으려고 하는 순간 악성코드에 감염시키는 방식으로 하고 있다.

이와 같은 악성코드에 감염되면 사용자의 SMS 문자메시지를 탈취할 수도 있을 뿐 아니라 주소록을 탈취하는 등 스마트폰에 담겨있는 많은 정보를 탈취할 수 있다. 아울러 이런 해킹방식을 이용하면, 우리나라에서는 성인자료를 받으려면 주민등록번호와 이름을 입력하는 성인인증을 해야 하기 때문에 스마트폰에 있는 정보 외에도 주민등록번호와 같은 민감한 정보도 탈취할 수 있다.

특히 여기서 수집된 정보만으로 가지고 현재 우리나라에서 이용하는 휴대폰을 이용한 소액결제 시스템을 이용할 수 있어 금전적인 피해도 나타날 수 있다. 우선 주민등록번호와 이름을 이용해 계정을 생성한 다음 소액결제 후 수신되는 확인 SMS만 탈취하면 결제가 이뤄지기 때문이다.

이정현 숭실대학교 교수는 “알려진 악성코드를 이용한 해킹은 백신을 이용해 이런 문제를 해결할 수 있겠지만, 알려지지 않은 악성코드는 사용자도 모르게 계속 보안 문제를 나타낼 것”이라며 “물론 백신도 필요하지만 오로지 백신에만 의존하기보다는 애플리케이션을 제공하는 과정과 사용자가 다운받는 과정에서 신뢰할 수 있는 애플리케이션을 사용하는 것이 필요하다”고 말한다.

그는 이밖에도 기술적으로는 안전하게 인스톨 할 수 있는 기술과 메모리 보호를 위한 시큐어OS(Secure OS)가 필요하며 검증되지 않는 애플리케이션은 설치가 되지 않거나 실행이 되지 않도록 하는 방식이 필요하다고 역설했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>