Q. 안드로이드는 스미싱에 취약하고 아이폰은 스미싱에 의한 피해가 적다는데 그 이유가 뭔가요?

A-1. 실제 스미싱으로 인한 피해는 아이폰보다 안드로이드폰에서 주로 발생하고 있는데, 그 이유는 다음과 같습니다.

첫째, 안드로이드폰은 아이폰에 비해 악성앱을 배포하기 쉽습니다. 안드로이드폰은 구글플레이 외 다른 출처의 앱도 설치할 수 있습니다. 이를 방지하고자 환경 설정 > 보안 > 기기 관리 > 알 수 없는 소스(또는 출처) 해제 기능을 제공하지만, 스미싱을 모르는 사용자의 경우, 해당 기능을 모르는 경우도 많으며, 사용자가 경고 메시지를 무시하고 앱 설치를 강행할 수 있어 악성앱 감염율이 높을 수 있습니다.

반면, 아이폰은 탈옥을 하지 않는 이상 앱 다운로드 및 설치 과정을 ‘앱 스토어(App Store)’로 한정합니다. 또한 제작한 앱을 앱 스토어에 등록할 때 심사를 진행하기 때문에 앱이 유포되기 전에 검출될 수 있으며, 등록된 앱 중에서 악성앱이 발견되면 앱 스토어에서 퇴출되는 구조를 가지고 있어 공격자가 악성앱 제작에 성공하더라도 유포하기가 어렵습니다.

*탈옥 : iOS(아이폰에 사용되는 모바일 운영체제)의 제한을 풀어 사용자의 루트에 접근할 수 있게 함으로써 타 회사에서 사용하는 서명되지 않은 코드를 실행할 수 있게 하는 과정으로, 아이폰 사용자가 탈옥을 하는 가장 큰 이유 중 하나는 애플과 앱 스토어가 막아 놓은 콘텐츠에 접근하기 위해서입니다.

둘째, 아이폰에 비해 안드로이드폰에서는 악성행위를 하기 쉽습니다. 안드로이드폰은 악성앱에 감염되면 악성앱이 사용자의 동의를 얻은 후(악성앱이 획득하는 권한에 부주의할 경우) 악성행위에 필요한 권한을 획득하게 되고, 그 이후로 문자 내용 탈취, 도청 등의 사생활을 침해하거나 개인정보, 금융정보, 기기정보 유출 등의 행위를 비교적 자유롭게 할 수 있습니다.

반면, 아이폰은 악성앱에 감염되더라도 iOS용 앱은 샌드박스에서 실행되기 때문에 시스템 자원에 대한 접근이 제한되며, 시스템 백그라운드에서 실행할 수 있는 앱 장르도 한정되어 있어 악성앱이 악성행위를 하는 데 많은 어려움이 있습니다.

*샌드박스 : 외부로부터 들어온 프로그램이 보호된 영역에서 동작해 시스템이 부정하게 조작되는 것을 막는 보안 형태입니다.

그러나 아이폰이 스미싱에 절대적으로 안전하다고 볼 수는 없습니다. 스마트폰 사용자가 탈옥을 통해 검증되지 않은 앱을 설치하는 등 보안의식을 가지고 있지 않다면, 스미싱 피해가 발생할 수 있습니다. 이를 예방하기 위해서는 ‘앱 스토어(App Store)’에 등록된 앱을 사용하고, 아이폰과 iTunes를 동기화시키는 등의 노력이 필요합니다.

*동기화 : iTunes와 동기화하고 아이폰용 사파리의 피싱사이트 자동 검색 기능을 활성화하면, 애플의 최신 피싱 사이트 DB가 다운로드 되어 아이폰으로 전송됩니다.

(이상헌 한국인터넷진흥원 팀장/sheony@kisa.or.kr)

A-2. 구글의 안드로이드 운영체제는 오픈소스를 기반으로 만들기 때문에 개방성이 높습니다. 개방성이 높은 특징으로 인해 개발, 발전되기 좋은 장점이 있지만 그만큼 위험에 노출되기도 쉬운 것입니다. 애플리케이션도 구글플레이 등의 공식마켓이 아닌 곳에서 다운받아 사용할 수 있다 보니 보안문제에 쉽게 노출됩니다.

반면 애플의 운영체제 iOS는 애플의 검사를 받은 애플리케이션만 사용할 수 있어 악성코드 등의 침투를 1차적으로 방어할 수 있는 것입니다.

안드로이드 스마트폰이 주요 목표가 되는 이유는 출처가 불분명한 앱도 사용자가 설치할 수 있기 때문입니다. ‘낚시성’ SMS에 담긴 링크를 따라가면 앱을 내려받아 설치하게 됩니다. 여기에 과거 대규모로 유출된 개인정보를 입수한 해커들이 소액 결제를 신청하고, 전송된 인증번호를 가로채 결제절차를 마칩니다.

이러한 기능을 수행하는 서버는 보통 중국 등 외국에 있어 범인을 잡는 것도 수월치 않습니다.

제조사들이 입맛대로 수정할 수 있는 안드로이드와 달리 애플은 폐쇄적인 운영체제를 갖고 있어 같은 방식의 스미싱은 불가능합니다. 정상적인 앱 유통 경로인 ‘앱스토어’에 등재되는 앱은 애플의 사전 승인을 거쳐야 하기 때문에 악성코드를 포함하거나 출처가 불분명한 앱은 통과하기 힘듭니다.

안드로이드에 설치되는 앱의 확장자와 애플 운영체제의 앱 확장자도 다르기 때문에 스미싱 메시지의 링크를 열어도 설치가 불가능합니다. 아이폰에서 주로 문제가 되는 것은 정상적으로 등재된 앱이 주소록이나 위치 정보에 과도하게 접근하면서 발생합니다. 아이폰을 해킹해 관리자 권한을 얻는 ‘탈옥’의 경우, 안전성이 보장되지 않은 앱이 설치될 수 있습니다.

(홍준석 한국산업기술보호협회 관제운영팀 팀장/jun0817@kaits.or.kr)

A-3. 안드로이드의 운영체제는 오픈소스이며 애플의 운영체제인 iOS는 비공개 소스입니다. 오픈소스라는 것은 애플리케이션이나 시스템에 사용되는 소스코드가 오픈되어 있어 누구든 이 소스코드를 볼 수 있다는 의미입니다. 소스코드를 알면 그에 대한 취약점도 쉽게 파악할 수 있으며 부분을 변조할 수도 있습니다.

따라서 이를 이용한 스미싱이 많은 것이며 iOS는 비공개 소스이며 애플 자체에서도 필터링 하고 있어 스미싱이 발생하지 않는 것입니다.

(이준택 한양대학교 교수/joontaiklee@gmail.com)

A-4. 아이폰은 안드로이드와 달리 운영체제의 개방정책을 취하고 있지 않습니다. 아이폰의 애플리케이션을 마켓에 올리려면, 사전 검열을 거치므로 악성코드가 발견되거나 취약점이 있는 애플리케이션은 검열 후 승인을 하지 않습니다. 이러한 이유로 아이폰에서 스미싱을 유도하는 악성코드의 통제가 이루어진다고 생각합니다.

안드로이드는 플랫폼의 개방정책으로 개발자나 사용자의 선택권이 넓어지고 점유율은 높아졌습니다.

하지만 사회공학적 방법과 지인을 가장한 스미싱(Smishing)을 유도해 개인정보를 유출시키거나 소액결제 등의 피해가 발생하고 있습니다.

안드로이드의 취약점은 응용 수준에서 역공학 공격, WebView 취약점이 존재하고 시스템 수준에서 루팅(Rooting)을 하면, 사용자의 의지와 무관하게 퍼미션(Permission) 시스템을 우회하여 주어진 접근 권한 이상의 동작을 실행하거나 피해를 입히는 취약점이 있습니다.

안드로이드 사용자들은 루팅을 하지 말고, 사용자들은 스마트폰의 ‘보안설정 > 알 수 없는 출처 > 체크 해제’, ‘애플리케이션 설치전 확인 > 체크’, ‘일반-URL에 연결 허용 > 체크 해제’를 하고 최신 모바일 백신으로 업데이트 후 검사를 해야합니다.

또한 소액결제 사용빈도가 적다면 소액결제 한도를 0원으로 하거나 통신사의 상담센터에 전화를 해서 소액결제를 취소하고 특히 의심스러운 URL(Uniform Resource Locator)은 사용하지 않는다면 스미싱 사고를 예방할 수 있습니다.

(박대우 호서대학교 교수/prof1@hoseo.edu)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>