산업 제 756호 (2010년 06월 02일)

편리한 만큼 위험 커…보안은 필수

기사입력 2010.05.25 오후 02:11

스마트폰은 보통 손으로 들고 다니는 컴퓨터와 비교되곤 한다. 스마트폰은 하나의 장소에 고정돼 있거나 필요한 경우에만 들고 다니면서 이용하는 노트북과 달리 하루 24시간 내내 사용자의 곁을 1m 이상 떨어지지 않고 꺼 놓는 일도 거의 없는 완벽하게 개인화돼 가는 장치(Personalized Device)라고 할 수 있다.

그러나 너무 개인화된 기기이기 때문에 잃어버리거나 도난당했을 경우 돌이킬 수 없는 손실을 보게 된다. 피쳐폰(스마트폰이 아닌 일반 휴대전화기)을 분실했을 경우에는 주소록 등의 개인 정보가 없어지는 피해가 가장 크겠지만 스마트폰은 회사의 e메일과 주소록이 통째로 유출될 수 있으며 개인적으로 이용하는 수많은 서비스들이 비밀 번호를 바꾸기 전까지 고스란히 노출될 수밖에 없다.

정보 집중화로 분실 시 피해 커

단말기 제조사 홈페이지에서 스마트폰용 백신을 업데이트할 수 있다.

단말기 제조사 홈페이지에서 스마트폰용 백신을 업데이트할 수 있다.

스마트폰에서 중요한 정보는 디바이스 정보와 개인 정보가 있다. 디바이스 정보는 네트워크상에서 해당 단말기를 식별하기 위한 값으로 보통 IMEI(International Mobile Equipment Identity :국제 모바일기기 식별 코드) 값이라고 부르는 것이다. 스마트폰에서 중요한 정보는 개인 정보인데 주소록(개인 및 회사), 문자 메시지 내용(SMS 및 MMS), 주고받은 통화 기록, 촬영한 사진, 동영상 등이 있다.

이러한 지극히 개인적인 정보들은 사생활 보호 측면과 2차 피해 방지를 위해 잘 관리되고 보호돼야 한다. 스마트폰은 스토어나 마켓을 통해 설치되는 애플리케이션이 악의적인 의도로 네트워크를 통해 전송될 수도 있기 때문에 잘 알지 못하거나 확실하지 않은 애플리케이션을 설치할 때는 매우 세심한 주의가 필요하다.

실제로 상업적인 용도로 판매되는 일부 스파이웨어는 전송 기능을 가지고 있다. 2010년 1월에는 미국에서 은행의 뱅킹을 위한 용도로 올라온 애플리케이션이 사용자의 정보와 계좌 정보만 빼내가는 사례도 발생했었다.

또한 스마트폰은 보통 위치 정보를 파악할 수 있는 위성항법장치(GPS) 기능이나 중력을 측정하는 G-센서 등을 내장하고 있다. 위치 정보를 이용하는 애플리케이션들은 버스가 어디쯤 오고 있는지에 대한 정보를 제공하는 것부터 출발지·도착지 정보를 지도와 연결해 내비게이션 서비스를 한다거나 사용자가 사진을 찍은 정보를 지도 위에 표시해 타인에게 전달할 수도 있다.

위치 정보를 활용하는 대표적인 서비스로는 미국에서 선풍적인 인기를 끌면서 국내에서도 이용할 수 있는 포스퀘어(Foursquare)가 있다. 위치를 기반으로 해당 장소를 체크인(Check-in)하고 이러한 정보를 친구와 공유하는 서비스다.

이는 적극적으로 자신의 위치를 실시간으로 알리고 공유하는 효과가 있는데, 개인의 현재 위치 추적과 함께 현재 집이 비어 있다는 주변 정보까지 파악할 수 있다. 개인 정보를 악용하려고 마음먹으면 이와 같은 서비스를 트래킹함으로써 개인의 동선 파악 및 위치에 대한 현황까지도 엿볼 수 있다.

이에 따라 해당 서비스는 위치에 체크인할 때 친구들에게 알리지 않는 옵션 등을 제공하는데, 결국 개인이 위치 정보를 어느 수준까지 공개하고 공유할 것인지 책임지고 관리해야 한다.

이러한 서비스가 트위터(twitter), 미투데이(me2day)와 같은 마이크로블로그 서비스(Microblog Service)나 페이스북(Facebook), 싸이월드(Cyworld)와 같은 소셜 네트워크 서비스 등과 결합하면 다양한 사람들과 위치·사진·이야기·의견·평가 등을 손쉽게 나눌 수 있는 편리한 도구로 이용할 수 있는 것이 스마트폰의 가장 큰 장점이라고 할 수 있다.

최근에는 트위터나 페이스북과 같은 소셜 네트워크 서비스(SNS:Social Network Service)를 이용해 전파되는 사기·피싱 등이 증가하고 있다. SNS 사용자의 경우 57%가 스팸 메시지를 수신한 경험이 있으며 36%는 악성 코드가 포함된 링크를 받은 경험이 있다.

트위터의 경우 140자의 글자 수 제한 때문에 URL(Uniform Resource Locator:웹상의 주소)을 주고받을 때 이를 짧게 만들어 보내 주는 bit.ly와 같은 쇼트 URL(Short URL) 서비스를 많이 이용하게 된다.

이 경우 사용자는 해당 링크를 클릭하기 전에는 어디로 연결되는지 알지 못하기 때문에 링크를 전달한 사용자를 믿고 클릭할 수밖에 없다. 이러한 신뢰를 바탕으로 하는 링크를 속이기 위해 사용자의 아이디와 비밀번호를 가로챈 후 해당 사용자의 팔로워(follower)로 등록된 사람들에게 피싱 메시지를 뿌리게 된다.

SNS 이용 시 정보 유출 가능성

전 세계에서 5억 명 이상이 사용하고 있는 페이스북은 자신의 개인 정보 보호 정책을 점진적으로 개방하는 방향으로 수정해 대부분의 사용자 정보를 모든 사람이 볼 수 있도록 ‘에브리원(Everyone)’으로 설정하는 것을 기본으로 제공하고 있다.

따라서 기본 설정에 대해 잘 모르는 사용자들이 원하지 않는 개인 정보를 많이 노출하는 상황이다. 그래서 페이스북의 경우에는 150만 명의 아이디가 해킹돼 아이디당 2.5센트에 판매되고 있으며 매일 400만 명이 사기를 당하고 있다고 한다.

뱅킹·증권·쇼핑몰 등 거래 관련 애플리케이션을 이용해 스마트폰에서 편리하게 뱅킹 서비스나 증권 서비스를 이용하는데, 단순한 조회뿐만 아니라 계좌이체, 증권 거래까지 가능하다. PC는 고정된 형태로 물리적인 보호를 받으며 이용할 수 있지만 스마트폰은 휴대가 편리해 위협의 수준이 더욱 높다고 할 수 있다.

최근에는 스마트폰을 노리는 악성 코드들도 등장하고 있다. 애플이 모든 것을 보증하는 아이폰의 경우는 논외로 하더라도 윈도우 모바일이나 안드로이드 기반의 스마트폰들은 검증되지 않은 애플리케이션을 통해 사용자의 주소록, 통화 기록, 문자 메시지 등을 빼돌리기도 한다. 또한 금융거래 애플리케이션을 위장해 사용자의 계좌 정보를 빼내기도 한다.

2010년 1월에는 안드로이드 마켓에서 뱅킹 애플리케이션을 가장해 사용자 정보를 받아가는 악의적인 애플리케이션이 문제가 되었고 4월에는 국내에서 윈도우 모바일 계열의 스마트폰에 설치된 애플리케이션이 국제 전화를 몰래 걸어 요금 부과를 시도하는 경우도 발생했다.

사용자들이 스마트폰을 이용하는 경우 몇 가지 사항들을 조심하면 더 편안하고 안전하게 이용할 수 있다. 첫째, 스마트폰을 사용할 경우 많은 사람들이 사용한 후에 좋은 평가를 내린 애플리케이션을 이용해야 한다.

둘째, 스마트폰용 백신 소프트웨어 등을 설치해 악의적인 목적으로 행동하는 애플리케이션을 차단해야 한다. 셋째, 애플리케이션을 확인해 주소록, 네트워크 이용, SD 카드 접근 등의 불필요한 권한을 가지고 있지 않은지 행위 기반의 확인(Behavior Detection)을 할 수 있도록 신경 써야 한다.

스마트폰에 대한 악성 코드 대응은 방송통신위원회에 합동 대응반이 가동돼 지난 4월 국제전화 발신을 시도하는 악의적인 애플리케이션에 대해 대응한 바 있으며 안철수연구소는 3월 말부터 스마트폰 애플리케이션의 악성 코드를 진단하기 위해 기존 ‘시그니처 기반’의 방식과 ‘행위 기반’의 방식을 혼합한 형태로 스마트폰 백신을 스마트폰 단말 제조사에 공급하고 있으니 제조사의 애플리케이션 홈페이지를 잘 살펴볼 필요도 있겠다.

---------------------------------------------------------------------------------------
돋보기스마트폰의 위험 요소 및 대처법

편리한 만큼 위험 커…보안은 필수
스마트폰의 위험 요소


① 분실 시 정보 유출

- 디바이스 정보 : 통신망에서 해당 단말기를 식별하기 위한 코드(IMEI)

- 개인 정보 : 주소록, 문자 메시지 내용, 통화 기록, 촬영한 사진과 동영상

② 위치 정보 유출

-GPS, G-센서를 이용해 사용자의 위치 파악. 집이 비어 있는 것을 확인하고 절도 시도

③ SNS(소셜 네트워크 서비스) 이용 시 정보 유출

- 사용 미숙으로 불특정 다수에 개인 정보 공개 : 페이스북의 경우 150만 명의 개인 정보가

1인당 2.5센트에 거래되고 매일 400만 명이 사기를 당함

- 스팸·악성 코드를 포함한 메시지 증가로 사기·피싱 증가

④ 악성 코드의 증가

- 검증되지 않은 애플리케이션을 통해 주소록, 통화 기록, 문자 메시지 내용 유출

- 금융계좌 유출. 최근 국내에서 윈도우 모바일 계열에서 애플리케이션을 통해 국제전화를 걸어

불법 과금 시도 적발됨


스마트폰의 위험 요소 대처법

① 스마트폰을 사용할 경우 많은 사람들이 사용한 후에 좋은 평가를 내린 애플리케이션을 이용한다.

② 스마트폰용 백신 소프트웨어 등을 설치해 악의적인 목적으로 행동하는 애플리케이션을 차단한다.

③ 애플리케이션을 확인해 주소록, 네트워크 이용, SD 카드 접근 등의 불필요한 권한을 가지고 있지 않은지 확인한다.


편리한 만큼 위험 커…보안은 필수

전상수 차장

1972년생. 서강대 경영학과 박사과정 수료. 2000년 안철수연구소 제품기획팀 입사. 2007년부터 제품기획팀에서 모바일 인터넷 및 신규 사업을 담당하고 있다.

전상수 안철수연구소 제품기획팀 차장



당사의 허락 없이 본 글과 사진의 무단 전재 및 재배포를 금합니다.

입력일시 : 2010-06-03 11:02