스마트폰으로 무선랜(와이파이)에 접속하는 과정에서 인터넷 사이트 접속을 위한 아이디, 비밀번호, e메일 내용 등 개인 정보가 해커에게 고스란히 넘어갈 수 있다는 사실이 실험을 통해 국내에서 처음 확인됐다.
UNIST(울산과기대) 서의성 전기전자컴퓨터공학부 교수 연구팀은 지난달 28일 학교 연구실에서 가짜 무선랜 접속장치(이하 가짜 AP)를 만들어 실험에 참여한 소속 연구원과 본보 기자의 정보를 해킹하는 데 성공했다. 실험 대상 10곳 가운데 다음 야후 구글 페이스북 트위터 홈페이지와, UNIST 홈페이지와 강의관리시스템(블랙버드), 심지어 정보통신산업지원을 위해 설립된 지식경제부 산하 정보통신산업진흥원마저 뚫었다. 자체 암호화시스템을 한 번 더 갖고 있는 네이버와 넥슨은 해킹에 실패했다. 개인의 통신 접속을 중간에서 가로채는 것은 불법이지만 UNIST 측은 연구를 위해 기자와 연구원의 동의 하에 이 같은 실험을 진행했다.
이는 지난해 12월 한국인터넷진흥원이 개최한 웹사이트 보안 강화 콘퍼런스에서 가짜 AP를 통해 시연한 스마트폰 해킹과 같다. 또 지난달 25일(현지 시간) 영국 가디언지가 보안 전문가들의 도움을 받아 런던의 한 역과 커피숍에 가짜 AP를 설치하고 여러 스마트폰 사용자의 이름, 비밀번호, 메시지 등을 해킹한 것과 유사하다.
서 교수팀은 한발 더 나아가 무선랜 접속의 허점을 보완하기 위해 사용하는 SSL(Secure Sockets Layer)마저 뚫었다. SSL은 단말기와 포털 등의 서버가 통신할 때에 인증 키(key)를 서로 확인함으로써 개인정보 등을 보호해주는 기술이다. SSL 인증 방식은 유선 인터넷에서 보안 강화를 위해 사용하고 있으며, 최근 스마트폰 보안 강화를 위해 무선 인터넷에도 도입됐다.
이번 실험이 성공함으로써 예를 들어 카페 백화점 등 어느 곳에서든 스마트폰으로 포털 사이트 등 인터넷에 접속할 때 이를 중간에 가로채 사용자의 모든 개인정보를 빼낼 수 있다는 사실이 밝혀졌다. 서 교수는 가짜 AP를 공공장소 등에 설치하면 스마트폰 사용자들의 정보를 다량으로 빼낼 수 있다며 추가 보안을 위한 기술 개발이 필요하다고 말했다.
하지만 별도의 공인인증서 등으로 이중, 삼중 보안을 하는 금융기관 등의 정보는 가짜 AP로는 뚫리지 않았다.
이영혜 김규태 yhlee@donga.com kyoutae@donga.com
About Dong-A Ilbo