와이파이 접속때 개인정보 1초면 털린다…울산과기대 서의성교수 연구팀 국내 첫 시연
스마트폰으로 무선 인터넷인 와이파이(Wi-Fi)에 접속하는 과정에서 웹사이트 접속을 위한 ID, 비밀번호와 e메일 내용 등 개인정보가 ‘해커’에게 고스란히 넘어갈 수 있다는 사실이 실험을 통해 국내에서 처음 확인됐다.UNIST(울산과기대) 서의성 전기전자컴퓨터공학부 교수 연구팀은 지난달 28일 학교 연구실에서 ‘가짜 무선접속장치(AP)’를 만들어 실험에 참여한 소속 연구원과 본보 기자의 정보를 해킹하는 데 성공했다.
▶ A2면 관련기사 스마트폰 ‘가짜 무선랜 해킹’ 피해 막으려면…
▶ A3면 관련기사 [단독]노트북으로 만든 가짜 무선접속장치로 스마트폰 통신 해킹 시연해보니…
실험 대상 10곳 가운데 다음 야후 구글 페이스북 트위터 홈페이지, UNIST 홈페이지와 강의관리시스템(블랙보드), 심지어 정보통신산업 지원을 위해 설립된 지식경제부 산하 정보통신산업진흥원마저 뚫었다. 자체 암호화 시스템을 갖고 있는 네이버와 넥슨에 대한 해킹은 실패했다. 개인의 통신 접속을 중간에서 가로채는 것은 불법이지만 UNIST 측은 연구를 위해 기자와 연구원의 동의하에 이 같은 실험을 진행했다.
서 교수팀은 한발 더 나아가 무선랜 접속의 허점을 보완하기 위해 사용하는 SSL(Secure Sockets Layer)마저 뚫었다는 게 차이점이다. SSL은 단말기와 포털 등의 서버가 통신할 때 ‘인증 키(key)’를 서로 확인함으로써 개인정보 등을 보호하는 기술이다. SSL 인증 방식은 유선 인터넷에서 보안 강화를 위해 사용하고 있으며, 최근 스마트폰을 이용한 무선 인터넷에도 도입됐다. 그러나 연구팀은 SSL 인증키마저 가로챔으로써 보안을 강화한 무선 인터넷의 개인정보까지 빼냈다.
게다가 이번 ‘SSL 인증키 가로채기’는 UNIST 전산과 2학년 학부생이 2주일 만에 해냈다는 점에서 충격을 주고 있다. 이와 관련된 공식적인 사건은 보고된 바 없지만 이미 해커들이 공공장소에 가짜 AP를 설치하고 개인정보를 빼갔을 가능성이 있다. 해커 출신 한 보안업체 관계자는 “일부 해커들은 SSL 인증을 가로챌 수 있다는 사실을 이미 알고 있다”고 말해 이를 뒷받침했다.
이번 실험이 성공함으로써 예를 들어 카페 백화점 등 어느 곳에서든 스마트폰으로 인터넷에 접속할 때 이를 중간에 가로채 사용자의 개인정보를 모두 빼낼 수 있다는 사실이 밝혀졌다. 서 교수는 “가짜 AP를 공공장소 등에 설치하면 스마트폰 사용자들의 정보를 다량으로 빼낼 수 있다”며 “추가 보안을 위한 기술 개발이 필요하다”고 말했다.
울산=이영혜 동아사이언스 기자 yhlee@donga.com
김규태 동아사이언스 기자 kyoutae@donga.com
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
-
- 추천해요
- 개
지금 뜨는 뉴스
-
오동운 공수처장 후보자, 판사 재직중 정치후원금 보내…직업은 자영업이라고 적어
- 좋아요 개
- 코멘트 개
-
강물에 뛰어들려 한 40대 남성 구한 포항 여고생
- 좋아요 개
- 코멘트 개
-
편의점 직원 위협한 전과 30범에…재판부 “결혼 빨리해라” 감형
- 좋아요 개
- 코멘트 개
댓글 0