이와 관련 최근 경찰청 사이버테러대응센터가 주최한 행사에서 울산대 정보보안동아리 Unknown(지도교수 안형근)은 참석자들을 대상으로 스마트폰 해킹 시연을 진행했다.

이번 해킹시연에서는 Unknown 김동우(3학년)씨가 발표를 권형서·공승현(3학년)씨가 해킹시연을 맡았다.

해킹시연에서 사용된 앱은 뇌구조 테스트를 가장한 악성앱으로 URL링크 클릭을 통해 다운로드된 .apk파일을 설치·실행시키자 공격자의 서버에 문자메시지, 통화기록, 전호번호부 등 피해자의 개인정보가 나타났다.

이 외에도 공격자가 피해자 스마트폰의 위치정보 전송을 요청하자 공격자 컴퓨터에서 피해자 스마트폰과 가장 가까운 통신탑의 위치를 확인할 수 있었다.

또한, 공격자가 명령어를 전달하는 서버에 도청·도촬·사진 다운로드 등의 명령어를 입력하자 스마트폰이 실행되지 않은 상태에서도 도청·도촬된 파일을 포함하여 사용자의 스마트폰에 있는 사진 다운로드가 가능해 그 위험성이 심각했다.

김동우 씨는 “이렇게 스마트폰이 악성 앱으로 인해 제어당할 수 있으면 소액결제 뿐만 아니라, 탈취한 개인정보를 이용하여 금융 결제, 사용자 계좌정보 노출 등 금전적인 피해가 발생할 수 있으며, 전화번호부에 저장된 지인에게 피해자를 사칭해 돈을 요구하거나 지인에게도 같은 내용의 스미싱 문자를 전송할 수 있어 그 피해가 확산될 수 있다”고 밝혔다.

이러한 스미싱 피해를 막기 위해 Unknown에서 제시한 스마트폰 안전수칙 5가지는 다음과 같다.

△스마트폰 사용 금지

가장 안전한 방법은 스마트폰 자체를 사용하지 않는 방법이다. 특히, 안드로이드 스마트폰의 경우 악성 앱 설치가 쉬워 스미싱 위협이 크다. 그러나 많은 사람들이 스마트폰을 사용하고 있으므로 이는 현실적인 대안이 되지 못한다.

△환경설정>보안>알 수 없는 출처 체크표시 해제

안드로이드 스마트폰에서 알 수 없는 출처 체크를 해제하면 Play 스토어 외에 다른 출처의 어플리케이션 설치가 제한되므로 악성 앱 설치 위험을 줄일 수 있다.

△운영체제, 백신을 최신 버전으로 유지

안드로이드 운영체제 업데이트에는 서비스 향상 외에도 운영체제의 취약점 수정 등 주요 내용이 있으므로 항상 최신 버전으로 업데이트해야 한다. 업데이트는 환경설정>디바이스정보>소프트웨어 업데이트에서 할 수 있다. 또한, 모바일 백신을 설치하여 항상 최신 버전으로 유지함으로써 최신 유형의 악성 앱 설치 시 위협에 대응할 수 있다. 

△스마트폰 임의 개조 및 루팅 금지

특히, 안드로이드 운영체제를 사용하는 스마트폰의 경우 시스템 최고 권한을 얻는 루팅을 할 경우 공격자가 시스템을 마음대로 조작할 수 있으므로 루팅하여 사용하는 것을 지양해야 한다.

△어플리케이션 설치 시 앱 권한 확인

어플리케이션을 설치할 때 현재 위치·통화·카메라·마이크·소셜정보·내 메시지·저장소·네트워크 통신 등이 필요하지 않는 어플리케이션 임에도 불구하고 과도한 권한을 요구하는 경우 악성 앱일 가능성이 높으므로 설치에 유의해야 한다.

Unknown 정지훈 회장은 “이번 시연에 사용한 앱은 사용자들에게 악성 어플리케이션의 위험성을 알리기 위해 Unknown에서 자체 제작한 것”이라며 “이러한 시연이 각종 스마트폰 보안위협으로부터 자신의 개인정보를 안전하게 지킬 수 있는 촉매제가 됐으면 좋겠다”고 밝혔다.

한편, 울산대 정보보안동아리 Unknown은 지난 2월 KISA의 대학 정보보호동아리 지원사업에 선정됐으며, 8월에는 SecureKorea 2013에서 동아리부문 대상을 수상한 바 있다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>