스마트 시대에 당신의 사생활, 안녕하십니까?

[개인정보 보안]

스마트 시대에 당신의 사생활, 안녕하십니까?

  ‘띠링~’문자왔네? 에이 뭐야 그냥 광고문자잖아~ 

  (다음날 친구에게 연락 옴) 

  A야! 돈 필요하다고 해서 송금했는데 받았어? 

  전화도 착신불가로 되어있고 무슨 일 있는거 아냐?

  알고 보니 A씨의 스마트폰은 악성코드에 감염되어 해커에 의해 원격조정되고 있었다. 

  위의 상황은 A씨의 스마트폰이 지난 2015년 하반기, 전세계를 발칵 뒤집어 놓았던 매우 위험한 등급의 ‘스테이지프라이트(Stagefright) 버그’에 감염되었을 경우를 설정한 것입니다. 스테이지프라이트 버그는 기존의 스미싱과는 달리 피해자가 아무 동작을 하지 않고 ‘손을 대지 않아도’, 단지 MMS 문자를 수신하는 것만으로 감염될 수 있는 치명적인 버그였습니다. 물론 이 버그는 그 이후 구글과 스마트폰 제조사들이 취약점을 보완한 패치버전을 내어놓았기 때문에 안드로이드 OS 업데이트를 진행한 스마트폰은 걱정 하지 않아도 됩니다. 하지만 2015년 상반기 이전에 스마트폰을 구입하여 한 번도 운영체제 업데이트를 안한 당신은 위험하겠죠!

  ‘문자 열었다가 몇 천 만원 '홀랑'…보이스피싱 경보 발령(IT조선 2017.10.09)’ 본 기사에 따르면 우리가 이제 경각심을 제법 가졌다고 생각한 보이스피싱^[각주:1]이 스미싱과 결합되어 더 악랄한 보이스피싱을 낳고 있습니다. 이렇게 우리의 개인정보를 노리고 금융사기를 벌이는 메신저 계정 해킹^[각주:2], 스미싱^[각주:3]에 대해서는 얼마나 아시나요? 

  아래의 상황 중 자신의 행동과 유사한 경우가 많을수록 당신은 해킹의 위험에 더 많이 노출되어 있습니다.

  위의 다섯 가지 상황들은 모두 스마트폰 해킹을 부르는 전형적인 행동들인데, 이 중에서 가장 흔히 겪을 수 있는 상황 1,2,3에 대해 알아봅시다.

문자에 포함된 수상한 URL은 스미싱으로 의심!

  오매불망 기다리던 택배가 반송되었다는 문자를 받은 후 확인하려고 문자에 포함되어 있는 URL을 선택하여 실행하신 적이 있나요? 이러한 문자가 바로 ‘스미싱’ 문자 메시지입니다. 스미싱 방법은 URL을 누르면 악성 앱이 자동으로 설치되고, 그 앱이 사용자 몰래 스마트폰의 백그라운드에서 활동합니다. 이로써 해커는 나의 스마트폰을 원격으로 조정합니다. 위에서 언급한 10월 9일자 신문의 ‘문자 열었다가 몇천만원 '홀랑'…보이스피싱 경보 발령’사례도 그 위험의 시작은 스미싱의 문자메시지 URL을 실행하면서부터였습니다. 스마트폰이 악성코드에 감염되어 내가 거는 전화번호도, 그리고 내게 걸려오는 전화번호 표시도 해커가 원하는 대로 바뀐 것입니다. 

  이 외에도 대표적 수법이 은행 앱을 활용한 수법입니다. 악성 앱은 사용자의 스마트폰에 어떤 은행 앱이 설치되어 있는지 확인한 후, 정상 은행 앱을 삭제하고 가짜 은행 앱을 몰래 설치합니다. 그래서 사용자가 그 은행 앱을 실행할 때 사용자의 공인인증서, 비밀번호 등 금융거래 정보를 고스란히 가져가는 것이죠. 이런 위험한 스미싱의 문자메시지는 문구의 내용도 사회적 이슈에 따라, 철따라 바뀌니 조심해야 합니다. 또 은행 보안카드를 사진으로 찍어서 스마트폰에 저장해놓는 분들이 있는데, 사용자의 사진첩에 있는 이미지를 분석해 보안카드 사진을 노리는 방식도 있으니 보안카드를 사진으로 찍어 스마트폰에 저장해 놓는 일은 결코 해서는 안됩니다.

그래서 이러한 스미싱 피해를 당하지 않으려면 다음의 요령을 따라야 합니다. 

  1. 조금이라도 의심이 가는 문자메시지에 포함된 URL은 누르지 않기 

  2. 보안카드는 절대 사진으로 찍어서 폰에 저장하지 않기 

  3. 안드로이드 스마트폰 사용자라면‘설정>보안’메뉴에서 ‘출처를 알 수 없는 앱’ 항목의 체크를 해제하기

무료와이파이는 다른 사람에게 내 정보를 알려주는 비밀 통로일 수도!

  올해 여름, 제 친구가 사업차 중국에 갔다가 중국의 호텔에서 제공하는 무선 와이파이에 접속했습니다. 그런데 이를 통해 스마트폰을 해킹당하여 모든 개인정보를 탈취당한 것은 물론 개인 SNS계정까지 해커에게 이용당해 심지어는 금융사기까지 이어진 사고를 당했습니다.

  LTE 요금 절약하려고 무료 와이파이를 많이 찾아서 사용하시죠? 하지만 이런 무료 와이파이를 사용할 때에는 정말 주의하여야 합니다! 위의 사례처럼 (특히 외국에서) 검증되지 않은 와이파이에 접속하는 것은 동일한 와이파이 망에 접속한 사람은 누구나 나의 스마트폰에 있는 모든 정보를 다 가져갈 수 있다는 사실을 알아야 합니다. 2015년부터 지방자체단체에서 시민들을 위한 무료 와이파이를 설치하는 곳이 점점 늘어나고 있습니다. 물론 무료 와이파이 접속시 보안접속과 비보안접속이 나뉘어 있기는 하지만, 보안접속을 한다고 해도 절대 무선 네트워크 보안에 있어서는 완벽한 해결은 불가능하다는 사실을 기억하고 조심 또 조심해야 합니다. 

  비단 내 스마트폰으로 무료 와이파이에 접속하는 것을 주의하는 것 뿐 아니라 가정에서 사용하는 무선 인터넷 공유기 또한 해킹당하면, 그 인터넷 공유기를 사용하는 스마트폰 사용자들의 개인정보도 모두 해커의 손에 고스란히 넘어가게 됩니다. 이 신문을 읽는 지금, 집에서 사용하는 무선공유기에 암호화는 되어 있는지 확인해 보시기 바랍니다(와이파이 암호화 방식은 WEP, WPA, WPA2 방식이 있지만 WEP는 이미 너무 많은 해킹방법이 공개되어 있는 상태이기 때문에 WPA2 방식의 암호화를 추천합니다). 또 공유기 비밀번호가 초기에 설정되어 있는 123456789a 등의 누구나 유추할 수 있는 비밀번호는 아닌지 확인해야 하지요. 비단 우리집 뿐 아니라 부모님 댁 인터넷은 안전한지 봐드려야겠죠?

스마트 기기의 소프트웨어 업데이트는 미루지 말고 바로바로!

  스마트폰의 소프트웨어 업데이트는 반드시 진행해야하니 귀찮다고 미루면 결코 안됩니다. 보안에 있어서 100% 완벽한 것은 없기에 해커들은 언제든 눈에 불을 켜고 스마트폰의 취약점이 어디 있나 찾습니다. 이에 대비해서 구글이나 애플, 스마트폰 제조사들은 그렇게 드러난 보안 취약점이 밝혀지는 대로 계속 그것을 보완하여 소프트웨어 업데이터를 제공하기에 그러한 소프트웨어를 제때에 사용해야 하는 것입니다.

  그렇지만 이러한 운영체제 업데이트의 사각지대에 있는 것이 하나 더 있습니다. 바로 ‘스마트TV’입니다. 스마트TV를 구입한 후 스마트폰처럼 운영체제 업데이트를 하신 적은 언제였나요? 만약 집 한가운데 자리잡은 스마트TV에 악성코드가 설치된다면, 스마트TV의 카메라와 마이크를 통해 집 안의 모든 상황을 보고 들을 수 있어 심각한 사생활 침해가 발생합니다. 그리고 앞으로 스마트TV를 중심으로 한 스마트홈 시대가 열린다면, 스마트TV의 보안 위협은 생각보다 훨씬 더 심각한 문제를 야기할 것입니다. 스마트TV를 구입할 당시 보안 기술력이 인정받았다 하더라도, 해커들의 공격은 항상 늘 새롭게 발전하고 진화한다는 사실을 유념해야 합니다. 그러므로 언제든 집안의 스마트TV 보안이 괜찮은지, 운영체제 업데이트는 필요 없는지, 사용자들이 먼저 깨어서 제조사에 확인하고 거기서 제공하는 보안을 챙겨야 합니다. 

 

 이 외에도 플레이 스토어나 원스토어, 앱스토어 등 검증된 스토어가 아닌 경로를 통해서 받은 APK(Android application package의 줄임말)를 설치하는 것도 스미싱과 같은 동일한 위험을 가져올 수 있습니다. 또 모든 비밀번호를 유사하게 해 놓는 것도 하나의 비밀번호가 해킹당했을 경우 모든 정보가 동시에 위험해질 수 있으니 결코 하지 말아야 합니다.

  물론 이 글에서 다루어본 주의사항을 모두 지킨다 하더라도 보안은 또 다른 곳에서 뚫릴 가능성은 언제든지 있습니다. 하지만 위의 다섯 가지 행동에서 벗어남을 통해서 보안의 생활화를 시작해보는 것은 어떨까요? 요약하자면,

  해커에게 스마트폰의 원격제어권을 넘겨줄 수 있는 스미싱 NEVER!

  해커에게 스마트폰의 모든 정보를 알려줄 수 있는 무료 와이파이 조심!

  해커에게 이미 들통난 취약 점에서 벗어날 수 있는 소프트웨어 업데이트는 꼭!

  스마트폰, 스마트TV, 스마트 워치 등 모든 스마트 기기들이 wi-fi, bluetooth 등의 무선 네트워크에 접속되는 순간 우리는 언제든 해커들에게 노출될 수 있다는 사실을 기억하십시오. 나의 소중한 개인정보는 그 누구도 책임져주지 않습니다.

에스제이소프트텍 개발팀 과장 이송아

ssongahlee@gmail.com

이 글은 < 행복한동네문화이야기 제 96호 >에 실려 있습니다.

< 행복한동네문화이야기 >는 일체의 광고를 싣지 않으며, 이 신문을 읽는 분들의 구좌제와 후원을 통해 발행되는 여러분의 동네신문입니다. 정기구독을 신청하시면 매월 댁으로 발송해드립니다.

 

    연락처 : 편집장 김미경 010-8781-6874

    1 구좌 : 2만원(1년동안 신문을 구독하실 수 있습니다.)

    예금주 : 김미경(동네신문)

    계   좌 : 국민은행 639001-01-509699

 

1. 피싱(phishing) : 개인정보(private data)와 낚시(fishing)의 합성어로 금융기관 등에서 보내온 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기수법이다.‘보이스 피싱’은 음성을 통해 이러한 정보를 빼내는 사기수법을 뜻한다. [본문으로]
2. 메신저 계정 해킹 : 네이트온, 위챗 등의 메신저 비밀번호를 해킹하여 마치 계정 주인인 것처럼 꾸미는 수법으로 주변 지인들에게 돈을 빌려달라는 메시지를 보내어 금융사기까지 번지는 경우가 많다. [본문으로]
3. 스미싱(smishing) : 문자메시지(SMS)와 피싱(phishing)의 합성어로, 인터넷 접속이 가능한 스마트폰의 문자메시지를 이용한 휴대폰 해킹을 뜻한다. 해커가 보낸 메시지의 웹사이트 주소를 클릭하면 악성코드가 깔리게 되고, 해커는 이를 통해 피해자의 스마트폰을 원격 조종하게 된다. [본문으로]