국산 스마트폰 해킹에 모두 뚫려

마이크로소프트 윈도우 모바일 운영체제를 채택 중인 국산 스마트폰이 해킹에 매우 취약한 것으로 드러났다.

숭실대 컴퓨터학부 이정현 교수팀은 스마트폰으로 무선 랜(WiFi)을 통해 웹사이트에 접속해 소액 결제를 할 때 문자메시지(SMS)로 전송되는 인증번호 등을 가로채 타인의 스마트폰 번호로 최대 20만 원까지 결제하는 데 성공했다고 1일 밝혔다. 연구진은 윈도우 모바일 6.1을 채택한 국산 스마트폰 4종에 해킹을 시도해 모두 성공했다.

이 교수는 해킹을 시연하기 위해 웹 사이트를 통해 피해자의 단말기에 감염되는 트로이목마 바이러스(시스템에 숨어 특정 정보를 빼내는 바이러스)를 제작했다. 무선 랜으로 바이러스가 있는 웹 사이트에 접속했다가 감염된 피해자의 단말기는 사용자가 성인 인증 등을 받기 위해 입력한 주민등록번호와 이름, 전화번호를 몰래 저장했고 해커의 스마트 폰에 내장된 바이러스 컨트롤 프로그램이 무선 랜으로 이를 빼냈다.

해커는 빼낸 피해자의 정보로 인터넷 쇼핑몰에서 상품 구매를 시도했다. 쇼핑몰이 본인 확인을 위해 피해자 스마트 폰으로 인증번호 문자메시지(SMS)를 전송했지만 해커가 통제하는 피해자의 단말기는 문자가 왔다는 신호를 보내는 대신 인증번호를 해커의 단말기로 전송했다. 해커는 이를 결제 창에 입력해 상품을 구매하고 요금은 피해자의 전화번호로 청구됐다. 이 교수는 또 스마폰에 저장된 문자메시지와 주소록을 빼내고 피해 단말기가 더 이상 동작하지 못하도록 다운시키는 해킹도 시연했다.

이 교수는 "무선 인터넷 접속이 가능한 스마트 폰의 속성상 기존 인터넷상의 보안 위협에 똑같이 노출될 수 있다"며 "국산 스마트폰 상당수가 채택 중인 윈도우 모바일은 다른 운영체제와 달리 확인되지 않은 코드도 일단 설치만 하면 제한 없이 실행되도록 하고 있어 해킹에 매우 취약하다"고 말했다. 이 교수는 "실험에 사용된 해킹툴은 대학 3~4학년 전공자라면 어느 정도 만들 수 있을 정도의 초보적인 수준이라 심각성이 더하다"고 지적했다.

조종엽 기자 jjj@donga.com