최상명 하우리 팀장, 스마트폰 통한 소액결제 및 뱅킹 해킹 시연

스마트폰 SMS 문자 가로채기 이용한 소액결제 해킹 가능

[보안뉴스 김정완] 현재 400만명으로 추산되는 스마트폰 사용자는 내년 초가 되면 500만명에 이를 것으로 추산되고 있다. 특히 다양한 기능과 함께 스마트폰 뱅킹 사용자 역시 현재 130만명을 돌파한 가운데 거래금액만도 하루 48억원에 이른다고 한다. 이러한 스마트폰 뱅킹 기술이 발달하면서 이용자들은 편리하게 이용할 수 있는 기반이 마련되고 있지만 스마트폰에 악성코드를 감염시켜 스마트폰 뱅킹 해킹이나 소액 결제 해킹 등의 보안위협이 도사리고 있어 이에 대한 대응방안 마련이 시급한 실정이다.

 

▲30일, ‘ISEC 2010’에서 첫 번째 강연자로 나선 최상명 하우리 사전대응팀장은 한승연, 문영조 연구원과 함께 스마트폰 보안위협에 따른 스마트폰 해킹 시연을 보여주었다. ＠보안뉴스.

 

물론 사용자 스스로의 보안위협에 대한 보안의식과 조심성이 무엇보다 필요하지만 사용자도 모르는 사이에 이러한 스마트폰 뱅킹 해킹이나 소액 결제 해킹, 중요 정보 해킹 등이 이루어진다면 이는 2년 전 발생했던 7.7DDoS대란과 같은 스마트폰 대란으로까지 발생할 수 있다는 점에서 이에 대한 민·관의 대응책이 필요하다는 주장이 제기됐다. 특히 그러한 주장은 이론이 아닌 그러한 스마트폰 해킹이 이루어질 수 있다는 시연이 뒷받침돼 주목된다.

최상명 하우리 사전대응팀장은 지난 11월29일부터 양일간 행정안전부·지식경제부·방송통신위원회 공동주최로 개최된 ‘ISEC 2010’ 둘째날인 30일, 그러한 내용으로 ‘최신 스마트폰 보안위협과 대응방안’을 발표했다.

이날 최상명 팀장은 하우리 사전대응팀의 한승연, 문영조 연구원과 함께 ‘ISEC 2010’ 둘째날 첫 번째 강연자로 나서 스마트폰 보안위협으로 발생할 수 있는 실제 스마트폰 악성코드 감염, 소액 결제 해킹, 스마트폰 뱅킹해킹, 스마트폰 웜 전파 등을 해킹 시연을 보여주었다.

우선 이날 발표에서 최상명 팀장은 주요 스마트폰 보안위협 히스토리를 설명하면서 최신 도래하고 있는 스마트폰 보안 위협 동향에 대해 “올해 1월에는 금융관계 뱅킹 프로그램으로 위장해 뱅킹 패스워드를 유출하는 사례가 있었으며, 9월에는 가짜 보안인증서를 위장해 뱅킹 인증 정보를 가져가는 사례가 있었다”는 등의 사례를 소개하고 “올해 7월을 기점으로 안드로이드폰 보안 위협이 증가하고 있다”고 설명했다.

이어 이날 강연에 참관객들의 이목이 집중된 스마트폰 해킹 시연을 통해서는 스마트폰 악성코드 감염, 소액 결제 해킹, 스마트폰 뱅킹해킹, 스마트폰 웜 전파 순으로 해킹 시연을 펼쳤다.

◇ 피해자 모르는 사이 스마트폰에 감염된 악성코드 주입 통해 정보 획득

최상명 팀장은 SQL인젝션으로 데이터베이스를 해킹 해 스마트폰 개인정보를 획득하고, 공격자는 게임으로 위장한 스마트폰 악성코드를 제작해 피해자에게 SMS 문자로 전송, 피해자가 게임을 실행하면 정상적인 게임이 실행되지만 악성코드 감염 사실을 공격자에게 SMS 문자로 통보하게 되는 장면을 시연했고, 이어 공격자는 피해자에게 C&C서버 접속 주소를 전송 이후 피해자는 C&C서버로 접속하게 돼 공격자는 다양한 명령을 전송할 수 있게 하는 실제 상황을 보여주었다.

그에 따라 연락처 정보 절취, 사진 정보, 중요문서, GPS 정보를 절취하는 실제 상황을 보여주었다.

◇ SMS 문자 가로채기 이용한 소액결제 해킹 가능

이어 최상명 팀장은 이러한 스마트폰 내 정보 절취를 통해 소액결제가 실제 가능한 시연을 보여주었다. 우선 최상명 팀장은 공격자가 취약한 쇼핑몰에 접근해 SQL 접근이 가능한지를 확인한 후 SQL 쿼리를 입력해 개인정보를 추출하는 모습을 보여주었다. 그렇게 추출된 개인정보에는 주민등록번호, 스마트폰 전화번호 등이 포함돼 있었다.

공격자는 이중 한 명의 피해자를 선택해, 피해자가 의심하지 못하는 게임을 제작해 만들어진 게임 파일을 웹로드에 업로드하고, 공격자는 피해자에게 재미있는 게임이라는 SMS문자를 발송한다. 그리고 게임이 설치되면 정상적인 게임이 실행되고, 이때 공격자에게 악성코드에 감염됐다는 문자가 보내지는 모습을 보여주었다.

이어 공격자는 확인 후 C&C 서버를 열어 놓는다. 공격자는 피해자에게 C&C 서버 주소를 SMS 문자로 전송한다. C&C에 접속된 피해자의 연락처 정보를 가져오는 것은 물론 실제 피해자의 해당 연락처가 저장돼 있는지 확인하는 모습까지 보여주는 장면에서는 참관객들 역시 놀라움을 감추지 못했다.

그렇다면 이렇게 가로챈 정보만으로 소액결제 해킹은 어떻게 이루어질까? 최상명 팀장은 사용자는 모른 채 공격자가 SMS 문자를 가로채 스마트폰 소액결제를 가능하다는 것을 이날 시연을 통해 보여주었다.

이미 앞선 시연을 통해 스마트폰에 감염시킨 악성코드는 SMS 문자 가로채기 기능이 포함돼 있기 때문에, 공격자는 이를 이용해 쇼핑몰 사이트에서 물품 구입 후 쇼핑몰에서 소액결제 인증문자를 피해자에게 전송되고, 악성코드에 의해 인증문자는 공격자에게 전송되지만, 이때 피해자는 이를 알지 못한다는 점이 이날 소액결제 해킹의 백미였다.

◇ “실제 국내 은행 스마트폰 뱅킹 해킹 통해 계좌이체 가능!!”

특히 이날 해킹 시연의 하이라이트인 스마트폰 뱅킹 해킹에서 최상명 팀장과 하우리 팀원들은 특정 은행을 대상으로 할 수 없어 가상 은행을 만들어 해킹 시연을 펼쳐 보여주었다.

인터넷 뱅킹 시 보안카드가 없다면 무용지물인 뱅킹 해킹이 스마트폰 뱅킹이기에 더욱 해킹 가능성을 높여주고 있다는 점이 특히 주목된다. 즉 일반 인터넷 뱅킹에 사용되는 보안카드는 오프라인으로 소유하고 있다면 큰 문제가 발생하지 않지만, 스마트폰 뱅킹의 경우 멀티태스킹 지원으로 보안카드를 스마트폰에 내장할 가능성이 높기 때문이다.

이에 이날 시연을 통해서도 최상명 팀장은 결론적으로 스마트폰 뱅킹 해킹이 가능하다는 것을 실제 보여주었다.

그 과정을 살펴보면, 피해자 스마트폰에서 공인인증서(NPKI)를 발견하고 이를 절취한다. 스마트뱅킹 애플리케이션을 검색해 가상은행 이용자임을 확인한다. 보안카드를 스마트폰에 보관하고 있는지를 검색하고, 이를 절취한다. 계좌출금을 위해 공인인증서 패스워드와 계좌 비밀번호 필요한데, 가상은행에서 보낸 프로그램 업데이트 문자를 보내 기존 가상은행 프로그램을 삭제 후 업데이트시킨다.

이때 피해자의 스마트폰에는 스마트뱅킹 이용시 정상적인 애플리케이션(공격자가 제작)이 뜨고, 이를 공인인증서 패스워드 입력하면 계좌비밀번호를 입력하게 된다. 피싱 프로그램에 입력한 공인인증서 패스워드와 계좌 비밀번호를 공격자는 절취하게 된다.

그리고 공격자는 획득한 정보를 이용해 계좌 이체가 가능해진다. 이때 악성코드에 의해 알림 문자가 공격자에게 전송되지만, 피해자는 알지 못한다.

이 시연을 보여준 최상명 팀장은 “실제 대부분의 은행에서도 계좌이체가 가능했으며, 스마트폰 증권 프로그램도 해킹이 가능한 것을 확인했다”고 밝혀 이에 대한 대책마련이 시급하겠다.

 

 

◇ 스마트폰 사용 시 보안위협에 대응하기 위한 방법은?

이어 마지막으로 스마트폰 웜 전파 시연을 끝으로 스마트폰 뱅킹 해킹 시연을 보여준 최상명 팀장은 다음과 같이 △애플리케이션 설치 시 주의사항 △스마트폰 백신 설치 △스마트폰 뱅킹 이용 시 주의사항 △중요 데이터 보호 및 분실 예방 △네트워크 이용 시 주의사항 △스마트폰 운영체제 관리 시 주의사항 등의 대응방안을 발표했다.

 

◇ 애플리케이션 설치 시 주의사항 - 애플리케이션은 공식 앱스토어(마켓)를 통해 다운로드해 설치한다. - SMS 문자, 웹사이트를 통한 의심스러운 애플리케이션은 설치하지 않는다. - 애플리케이션 설치 시 프로그램 수행 권한을 확인한 후 설치한다. ◇ 스마트폰 백신 설치 - 신뢰할 수 있는 백신 업체의 스마트폰 백신을 설치하고 주기적으로 악성코드 검사를 수행한다. - 실시간 감시를 활성화한다. - 항상 최신 버전으로 업데이트를 수행한다. ◇ 스마트폰 뱅킹 이용 시 주의사항 - 스마트폰 뱅킹은 가능한 3G 모드에서 사용한다. - 보안카드는 가능한 스마트폰에 보관하지 않으며, 사진으로 찍어 보관하는 것은 피하고 암호화 기능을 지원하는 전용 보안카드 관리프로그램을 이용한다. - 가짜 뱅킹 프로그램에 속지 않도록 주의한다. ◇ 중요 데이터 보호 및 분실 예방 - 중요 데이터는 암호화해 보관한다. - 스마트폰의 기본 암호 잠금 기능을 사용한다. - 스마트폰 분실 시 개인정보유출 방지를 위한 원격 잠금 기능을 이용한다. ◇ 네트워크 이용 시 주의사항 - 스마트폰 뱅킹 및 회사 이메일 확인 등과 같은 중요한 작업은 가능한 3G 모드를 사용한다. - 갑자기 3G 사용이 증가할 경우 백그라운드에서 악성코드가 동작하지는 않는지 확인한다. - 무선 네트워크 이용 시 신뢰할 수 없는 AP의 사용을 금한다.

 

한편 이날 강연을 통해 최상명 팀장은 중요한 해킹 시연에서 참관객들이 그 결과에 주목하고 있는 사이 최근 방송프로그램 ‘슈퍼스타K 2’의 효율적인 광고 멘트인 “60초 후에 그 궁금증을 확인하겠습니다”라는 멘트를 인용해 최근 하우리 바이로봇 신제품 출시 광고를 선보여 밉지 않은 자사 제품의 홍보를 해 눈길을 끌기도 했다.

[김정완 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>