ARP 스푸핑 공격 통해 스마트폰 사용자의 각종 권한 취득 가능

안전하고 암호화된 AP 사용 및 무선랜 보안 도입해야 피해 최소화

[보안뉴스 김태형] 최근 스마트폰이 대중화되면서 이로 인한 문제점도 속속 드러나고 있다.  특히, 와이파이를 이용한 스마트폰 해킹을 통해 사용자의 정보 탈취가 가능하다는 사실이 생생한 해킹시연으로 입증돼 사용자들의 각별한 주의가 요구된다.

스마트폰에 대한 ARP 스푸핑(Spoofing) 공격을 통해 사용자의 정보 중 웹에 대한 정보만 저장하여 사용자가 보고 있는 페이지는 물론 사용자가 로그인 한 사이트의 페이지에 접속할 수 있다. 이를 바탕으로 웹 정보 중에서 이미지에 대한 정보만 엿들어 해커의 컴퓨터에 저장하는 게 가능하다는 것. 이는 정현철 정보보호기술 부장이 지난 9월 5일 ISEC 2012에서 진행된 해킹시연을 통해 입증했다.

정현철 부장은 이러한 스마트폰 해킹을 통해 탈취 가능한 정보는 페이스북 계정정보 등을 비롯해 매우 다양하다고 우려했다. 이를 바탕으로 페이스북의 친구 추가·삭제가 가능하고 웹 메일 계정 정보의 획득으로 메일 내용 열람은 물론 쇼핑몰 계정 정보 획득으로 쇼핑몰 장바구니 열람이 가능하다는 얘기다.

“AP를 이용한 스마트폰 해킹은 정상 사용자와 해커가 가정 혹은 공공장소에 설치된 AP 등의 동일한 AP에 접속했을 경우, 해커가 ARP 스푸핑을 이용하여 정상 사용자의 정보를 훔쳐볼 수 있다”는 정현철 부장은 “정상적인 상황에서는 사용자가 AP와 네트워크 정보를 주고 받지만 해커가 ARP 스푸핑 공격을 하는 상황에서는 해커가 자신이 AP라고 사용자를 속이고 AP에는 자신이 정상 사용자라고 가장해 사용자와 AP 사이에서 모든 네트워크 정보를 엿들을 수 있다”고 덧붙였다.

ISEC 2012에서 해킹시연을 진행했던 정현철 정보보호기술 부장

그의 설명에 따르면 정상 사용자의 스마트폰에 악성 애플리케이션이 설치된 경우 해커가 사용자의 악성 애플리케이션과의 통신으로 사용자의 스마트폰에 저장된 문자 내용을 보거나 사진이나 애플리케이션은 물론 공인인증서를 해커의 컴퓨터로 전송할 수도 있으며, 애플리케이션을 실행할 수도 있다.

이러한 악성 애플리케이션은 구글플레이 등 공식마켓보다 서드파티(비공식마켓)을 통해 설치되는 경우가 대부분이므로 앱을 다운로드 받을 때는 가급적 공식마켓을 이용해야 한다.  

이러한 ARP 스푸핑 공격은 근거리에서 통신하는 사용자의 스마트폰을 대상으로 하기 때문에 공격대상이 명확하고, 특정 사용자에 대한 공격이 가능하다. 또한, 스마트폰을 이용해 스마트폰 사용자를 공격하기 때문에 공격자의 이동이 편리하고 의심을 피할 수 있다. 더욱이 공간에 대한 제약이 없어 손쉽게 공격이 가능하고 모바일 홈페이지 특성상 암호화가 어려워 공격에 더 취약하다는 것이 특징이다.

이에 정현철 부장은 “스마트폰 악성프로그램은 여러분이 상상할 수 있는 모든 정보의 유출이 가능하다. 이러한 공격을 탐지하고 차단하기 위해서는 암호화되어 있는 안전한 AP를 사용하고, 이메일이나 링크를 통한 앱 설치가 아닌 반드시 정상경로를 통해 앱을 설치해야만 한다”며, “기업 환경에 필요한 무선보안 솔루션 도입을 통해 무선랜 사용자 인증과 함께 침입에 대해 철저히 대비해야 한다”고 강조했다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>