[보안뉴스 김태형] 최근 보안위협은 기존 PC단의 공격 위주에서 최근 스마트폰의 급속한 증가로 인해 스마트폰에서도 PC단의 보안위협이 그대로 옮겨오고 있다.

기존 PC를 통해 유포되었던 보안위협은 이메일을 통한 감염, 특정 사이트를 통한 악성코드 감염, 공격자가 직접 취약점을 이용해 악성코드를 심거나 해킹하는 경우, 그리고 SNS 웹 페이지를 통한 감염 등이 주를 이루었다.

하지만 이러한 기존 보안 위협들이 스마트폰에서 똑같이 구현될 수 있다는 것. 이재국 KISA 인터넷침해대응센터 운용기술팀 선임 연구원은 “스마트폰은 이러한 보안위협에 앱 자체에 대한 보안 위험성이 있다”면서 “특히 안드로이드 운영체제의 특성상 안드로이드 스마트폰에 대한 보안위협이 더 높다”고 설명했다.

안드로이드 용 앱은 안드로이드 특성상 앱 배포가 용이하다. 특히, 구글을 통해 등록된 앱은 먼저 등록되고 후에 검증되는 시스템이기 때문에 악성 앱으로 구분됐다고 해도 이미 배포된 상태라는 것.

이 연구원은 “또한 공격자는 블랙마켓에서 앱을 하나 다운로드 받아 여기에 악성코드를 심어서 패키징한 다음 인터넷 카페나 P2P, 웹게시판을 통해 무료 배포하기 때문에 악성 앱이 쉽게 퍼지게 된다”면서 “이렇게 악성코드가 심어져 있는 앱은 사용자가 모르는 사이에 사용자의 스마트폰을 악성코드에 감염시켜 폰을 통제하고 폰에 들어 있는 정보를 빼낼 수 있다”고 설명했다.

이 뿐만 아니라 스마트폰은 끄지 않고 항상 켜놓기 때문에 감염된 스마트폰을 C&C서버에서 명령을 내려 좀비 PC처럼 좀비 스마트폰으로 만들어 특정 사이트에 대한 디도스 공격이 가능하다는 것. 이 외에도 과금이 되는 타인에게 SMS 전송 또는 삭제, 특정 앱의 설치 및 삭제 등의 피해를 입힐 수도 있어 PC보다 보안 위험성은 더욱 커지고 있다.

특히, 국내 모바일 뱅킹 이용자가 3천만명을 넘었고 거래금액도 7,900억원에 달하기 때문에 스마트폰이 악성코드에 감염되어 해킹이라도 당하면 사용자의 금융정보가 빠져나갈 수도 있어 매우 위험하다.

이러한 보안위협에 대응해 안전하게 스마트폰을 사용하려면 백신을 사용하거나 신뢰하지 못한 사이트에서 받은 앱은 다운로드륻 받지 않아야 하는 등 스마트폰 안전 수칙에 따라야 한다.

이 연구원은 “한국인터넷진흥원에서는 지난해부터 안드로이드폰에 대한 자가 점검 서비스 앱인 ‘SS체커’를 무료 제공해 사용자들의 안전한 스마트폰 사용을 지원하고 있다”고 설명했다.

아울러 KISA에서는 블랙마켓에서 배포되는 앱에 대한 검증 방법이 없기 때문에 불법 앱에 대한 수집과 함께 이를 검증하는 시스템을 구축 중이다. 이는 현재의 SS체커랑 연동하게 되어 사용자가 자신의 앱에 대해 체크할 수 있도록 제공할 예정이다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>