악성 터치스크린 제조해 부품 교환만으로 스파잉 공격할 수 있어
이스라엘 벤구리온대학, “특정 지역 겨냥한 대단위 스파잉 행위 가능”

[보안뉴스 문가용 기자] 스마트폰 화면은 참으로 민감하고도 비싼 부품이다. 사용자가 손가락으로 하는 지시를 즉각즉각 알아듣고 프로세서로 전송하는 핵심 역할을 맡고 있으니 그럴 만도 하다. 이 터치스크린이 깨지기라도 하면 사실상 스마트폰은 사용이 불가능하게 된다.


그래서 스마트폰 앞면이 깨지면 사용자들은 공식 수리점으로 가보지만 너무나 비싼 교체 비용에 선뜻 이러지도 저러지도 못한다. 그래서 조금 부지런히 알아보면, 공식 지점은 아니지만 동네 핸드폰 수리상 같은 곳에서 조금 더 싼 가격에 비슷한 서비스를 제공한다는 걸 알아낸다. 어떤 곳은 가격이 공식 수리점의 절반도 되지 않는다. 대부분 이걸 택한다. 그런데 이 선택이 앞으로 위험해질 수도 있다고, 이스라엘의 벤구리온대학이 발표했다.

최근 벤구리온대학에서 발표한 보고서에 의하면 악성 칩이 엠베드된 ‘악성 터치스크린’이 설치되면 기기 통제권 전체를 해커에게 넘길 수밖에 없다고 한다. 벤구리온대학의 연구원들은 화웨이에서 만든 넥서스 6P와 LG에서 만든 G패드 7.0을 가지고 실험을 진행했다. 이 기기들의 터치스크린을 미리 준비한 악성 터치스크린으로 교체하고 나니 1) 사진과 2) 앱 데이터를 복제하고, 3) 사용자를 강제로 피싱 사이트로 우회시키고, 4) 스마트폰을 외부에서 통제할 수 있게 되었다고 한다.

중요한 건 터치스크린 교체 공격을 탐지해낼 수 있는 백신이나 보안 솔루션이 하나도 존재하지 않는다는 것이다. 이런 방어용 소프트웨어들은 대부분 하드웨어가 정상일 것이라는 존재 하에 만들어지기 때문이다. 게다가 다른 부품들은 하나도 변하지 않고 오직 터치스크린만 바뀐다는 것이 이 공격의 더 무서운 점이다.

“악성 터치스크린을 대량 생산할 수 있다면, 누군가 가짜로 사업자 등록을 해놓고 수리점을 개설해 대단위 스파잉을 감행할 수도 있습니다. 표적형 공격 시나리오가 딱 떠오르지는 않지만, 특정 지역이나 국가에 대한 대규모 감시 공격은 충분히 생각해봄직 합니다. 대단위 공격을 감행하면서 특정 인물이나 단체를 노리는 것도 불가능한 것만은 아니고요. 이제 모바일 보안에 하드웨어 부품 관리도 들어가야 할지도 모르겠습니다.” 벤구리온대학 측의 설명이다.

한 가지 다행인 것은 스마트폰이 갈수록 얇아지고 있다는 것이다. 스마트 기기가 얇아진다는 건 그만큼 악의적인 기능을 가진 칩을 덧대거나 숨기기가 힘들어진다는 뜻으로 공격을 시도하려는 자의 뛰어난 정교함이 요구된다. 벤구리온대학의 실제 익스플로잇 장면은 유튜브를 통해 공개되기도 했다.


[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>