○ 스마트폰 해킹 가능성 꾸준히 지적
안철수연구소는 올해 초 ‘트레드다이얼’이란 악성 프로그램이 국내 스마트폰 사용자 사이에 퍼지고 있다며 국내 첫 스마트폰 피해 사례를 공개했다. 이 프로그램은 윈도폰(옛 윈도모바일) OS를 쓰는 삼성전자의 ‘옴니아2’와 같은 인기 스마트폰에서 작동해 국제전화를 사용자 몰래 걸게 하는 프로그램이다. 이 프로그램이 설치되면 국제전화 ‘요금폭탄’을 맞을 수 있다.
지난달 말 미국 라스베이거스에서 열린 보안 콘퍼런스인 ‘데프콘’에서도 화제는 단연 스마트폰 보안이었다. 세계 각국에서 모인 해커와 정보보안업체 관계자들은 이 자리에서 아이폰과 안드로이드폰 등 인기 스마트폰 대부분에서 보안상의 허점을 발견할 수 있었다고 밝혔다. 인기 안드로이드폰 응용프로그램이었던 ‘월페이퍼’를 설치할 경우 일부 개인정보가 유출될 위험이 있다는 사실이 밝혀진 것도 이 행사에서였다.
○ 도대체 무엇이 문제인가
이처럼 스마트폰에서 일반 휴대전화와 달리 보안 문제가 계속 등장하는 이유는 통신사와 제조업체가 엄격하게 소프트웨어를 만드는 일반 휴대전화와 달리 스마트폰 소프트웨어는 불특정 다수의 개발자가 만들기 때문이다. 악의를 품은 개발자가 악성 프로그램을 마치 쓸모 있는 프로그램인 것처럼 가장해 배포할 경우 사용자는 피해를 볼 수밖에 없다.
반면 삼성전자의 ‘옴니아2’, 대만 HTC의 ‘HD2’ 등 윈도폰이나 삼성전자의 ‘갤럭시’ 시리즈, LG전자의 ‘옵티머스’ 시리즈 등의 안드로이드폰은 소프트웨어 설치 경로가 다양하다. 파일을 메모리카드 등에 복사해 설치할 수도 있고 앱스토어 형태로 배포하는 것도 가능하다. 또 윈도폰이나 안드로이드 OS는 앱스토어에 올라오는 소프트웨어를 애플처럼 전수조사하지 않는다. 이런 공개적인 통로를 통해 문제가 있는 프로그램이 유통될 수도 있는 셈이다.
특히 안드로이드 OS는 이를 만든 구글이 OS의 ‘설계도’에 해당하는 소스코드를 완전히 공개했기 때문에 개발자들이 쉽게 OS의 약점을 비집고 들어가 악성 프로그램을 만들 수 있다. 구글은 다양한 휴대전화 제조업체와 소프트웨어 개발자들이 함께 안드로이드를 개선하기를 바라고 이런 정책을 폈지만 누구도 책임지지 않는 상황이 발생했다.
○ 대응책 마련 서둘러야
SK텔레콤과 KT, LG유플러스 등 스마트폰을 파는 통신사들은 각각 자체 앱스토어를 만들고 이런 자체 앱스토어에서 안전하고 신뢰할 만한 소프트웨어를 따로 선정해 소비자들에게 권하고 있다. 스마트폰 제조업체들도 자신들이 만드는 스마트폰에 백신 프로그램을 기본으로 설치해 판매하는 등 보안 수준을 높이기 위한 노력을 하고 있다. 스마트폰을 만드는 제조업체나 이를 판매하는 이동통신사 등은 이번 일을 계기로 더욱 안전한 대책 마련을 서두르고 있다.
한국정보보호학회장인 임종인 고려대 정보경영공학부 교수는 “보안툴이 다양하고 전산실 등에서 업무용 장비를 공동 관리할 수 있는 컴퓨터와 달리 스마트폰은 보안툴도 부족하고 공동 관리하기에는 너무 개인적인 장비라는 게 문제”라며 “응용프로그램을 써본 뒤 적극적으로 평가를 올려 피해 사례가 확대되는 걸 막는 등의 ‘사이버 시민의식’도 어느 때보다 중요해졌다”고 말했다.
김상훈 기자 sanhkim@donga.com
■ 스마트폰 보안 잘못된 통념
스마트폰 보안 문제가 불거지면서 일부 잘못된 지식도 전달되고 있다. 대표적인 사례가 4일 SK텔레콤이 “스파이웨어(악성코드)니 내려받지 말라”고 지적하면서 화제가 된 안드로이드용 소프트웨어 ‘월페이퍼’다. 이 프로그램은 다양한 배경화면을 쓸 수 있게 해주는 무료 프로그램인데 구글이 프로그램을 조사한 뒤 5일 “월페이퍼는 스파이웨어가 아니다”라는 결론을 내렸다.
이 프로그램이 스파이웨어일 수 있다는 가능성을 제기한 미국의 모바일보안업체 룩아웃도 이날 공식 블로그를 통해 “월페이퍼는 개발자가 사용자의 사용 패턴을 분석해 프로그램을 개선하려다 실수로 개인정보에 해당하는 일부 정보를 수집한 것”이라고 설명했다.
아이폰의 보안 우려가 작은 게 “멀티태스킹이 되지 않기 때문”이라는 일부 언론의 보도도 사실과 다르다. 애플은 iOS4라는 최신 운영체제를 만들며 멀티태스킹 기능을 만들었고 이전 버전에서도 음악과 전화 기능 등에서 제한적으로 멀티태스킹이 가능했다. 아이폰의 보안 우려가 상대적으로 작은 건 멀티태스킹 여부가 아닌 응용프로그램을 전수 조사해 관리하는 엄격한 관리정책 덕분이다.
이 외에도 안드로이드폰에 보안프로그램이 기본으로 설치돼 있어 스마트폰이 안전하다는 것도 잘못된 지식이다. 아직까지는 안드로이드 보안프로그램은 설치만 돼 있을 뿐 사용자가 직접 실행시킨 뒤부터 작동하기 때문에 일일이 이를 실행시켜줘야 효과를 볼 수 있다.
김상훈 기자 sanhkim@donga.com
e메일 전송된 사이트 접속 삼가고
비밀번호 꼭 설정… 수시로 바꿔야
■ 소비자 보안 가이드
전문가들은 스마트폰도 PC와 마찬가지로 보안 위협에 노출될 수 있다며 신중하게 사용해야 한다고 강조했다.
특히 독일과 프랑스 정부가 경고한 아이폰의 보안 결함은 아직 피해 사례가 나오지 않았지만 충분히 가능한 시나리오이기 때문에 아이폰 사용자는 당분간 애플이 소프트웨어를 업데이트할 때까지 문자나 e메일로 받은 수상한 웹사이트에 접속하지 말아야 한다는 의견이 나온다.
안철수연구소 박태환 선임연구원은 “국내 소비자는 ‘실험정신’이 강하다”며 “앞서가는 것은 좋지만 스마트폰을 맹신하기보다 보안 문제를 염두에 둬야 한다”고 말했다.
가장 기본적인 스마트폰 보안의 첫걸음은 비밀번호 설정이다. 비밀번호를 주기적으로 바꿔야 스마트폰 해킹에 대비할 수 있다. 또 비밀번호 잠금을 해놓아야 스마트폰을 잃어버렸을 때 스마트폰에 저장된 금융정보, 연락처, 중요 문서 등을 지킬 수 있다.
앱스토어나 안드로이드마켓 등에서 애플리케이션을 내려받을 때에는 이미 사용한 사람들의 평판을 충분히 확인해야 한다. 해커들이 악성코드가 들어 있는 무료 애플리케이션을 악의적으로 올릴 가능성이 높다.
스마트폰에 중요한 금융 비밀번호 등을 저장하지 않는 것도 악의적인 공격에 피해를 최소화할 수 있는 방법이다. 또 애플이 검증하지 않는 프로그램을 자유롭게 내려받을 수 있게 하는 ‘탈옥’처럼 임의로 스마트폰을 개조하지 말아야 한다. 안철수연구소 박 연구원은 “스마트폰을 임의로 개조해 쓰면 문제가 생겼을 때 제조사가 해결해 주기 어렵다”고 말했다.
안드로이드폰 사용자들은 백신엔진을 설치하고 자주 업데이트하는 게 좋다. 보안업체들은 자사 모바일 홈페이지를 통해 문제가 되는 프로그램에 대한 백신을 내놓고 있다.
김현수 기자 kimhs@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
-
- 추천해요
- 개
지금 뜨는 뉴스
-
‘대법원장 낙마’ 이균용, 대법관 후보로… 사법사상 처음
- 좋아요 개
- 코멘트 개
-
美, 中전기차-배터리에 새 관세… ‘핵심 전략’ 부문 14일 발표 전망
- 좋아요 개
- 코멘트 개
-
![尹 ‘명품백’ 사과… 당장 특별감찰관 임명해 진정성 보여줘야[사설]](https://dimg.donga.com/a/464/260/95/1/wps/NEWS/FEED/Donga_Home_News/124885805.1.thumb.jpg)
尹 ‘명품백’ 사과… 당장 특별감찰관 임명해 진정성 보여줘야[사설]
- 좋아요 개
- 코멘트 개
댓글 0