① 내 폰에 나도 모르는 내가 있다 ② 내 정보 어떻게 새나

포털 사이트에 ‘폰 해킹’ 단어를 입력하면 관련 게시물이 여럿 뜬다. 해킹 의뢰를 받는 업체 광고글들이다. 이들은 스마트폰 속 개인 정보를 탈취할 수 있다고 소개한다. 문자메시지, 연락처, 사진, 통화 내역, SNS 기록 등을 추출할 뿐 아니라 GPS 기반으로 위치 파악도 가능하다고 주장한다.

이들의 정보 탈취 경로는 어디일까.

바로 개인의 아이디와 비밀번호 등 로그인 정보다. 최근 연예인 개인정보 유출 사건이 유사 사례다. 사건을 벌인 것으로 추정되는 해커 집단은 로그인 정보로 유명인의 클라우드 서비스에 접속해, 사진·동영상·문자메시지 내역 등을 빌미로 금전을 요구했다. 사용자의 개인정보가 클라우드에 자동 등록되지만 관리는 소홀한 점을 노렸다.

실제로 대부분의 정보 유출은 개인의 ‘찰나의 실수’로 발생한다. 해커의 수법도 다양해졌다. 스마트폰 속에 쌓이는 정보가 늘면서 이를 악용하려는 시도가 늘고 있는 것이다.

./ 아이클릭아트 제공
./ 아이클릭아트 제공
찰나의 실수로 스마트폰 속 개인 정보 빠져나가

배우 주진모 등 유명 연예인은 ‘크리덴셜스터핑(Credential Stuffing)’ 기법에 당했다. 특정 경로로 유출된 개인의 아이디·비밀번호를 다른 사이트나 계정에 무작위로 대입해 개인정보를 탈취한다.

이번 사건에서 해커들은 삼성 클라우드를 공격했다. 로그인 정보만 있으면 어디서든 접속 가능하다는 점을 노렸다. 보안이 취약한 사이트 혹은 앱에서 탈취한 정보를 활용한 것으로 추정된다. 개인이 여러 계정에 유사한 아이디·비밀번호를 사용하는 것을 악용했다.

해커들이 로그인 정보를 습득하는 경로는 다양하다. 우선 ‘사이버 암시장’을 활용한다. 해커들이 개인정보를 거래하는 사이버 공간으로, 접속자나 서버를 확인할 수 없는 ‘다크 웹’이 사용된다. 문종현 이스트시큐리티 이사는 "개인정보 거래 시장은 은밀하게 교류되고 있고 그 규모를 파악하는 데 한계가 있다"고 말했다.

해커가 직접 사이트를 공격하기도 한다. 중소 웹사이트나 커뮤니티 사이트 등이 주로 표적이 된다. 회원 수가 많지만 보안은 취약하기 때문이다. 대규모 정보를 확보한 다음 유명인 위주로 필요한 정보를 추출해 범죄에 사용한다.

개인을 대상으로 하는 해킹도 있다. 흔히 알려진 예로는 ‘스미싱(Smishing)’이 있다. 문자메시지를 통해 악성 코드가 담긴 링크를 보내는 기법이다. 링크는 대개 택배 알림, 모바일 청첩장, 무료 쿠폰 제공 등으로 위장된다. 사용자가 이를 무심코 누를 경우 악성코드가 스마트폰에 설치돼 금융정보 탈취 혹은 소액결제 피해로 이어질 수 있다.

보안업계 관계자들은 범행 수법이 나날이 교묘해지고 있다고 강조했다. 해커들은 무작정 공격을 벌이는 게 아니라 공격 대상자를 정확하게 파악해 맞춤형 문자를 보낸다. 설 명절에 맞춰 택배 문자를 보내는 식으로 트렌드를 반영해 링크 접속을 유도한다.

업계에서는 이를 ‘사회공학적 해킹’이라고 부른다. 호기심을 유발하는 등 사람의 심리를 이용해 원하는 정보를 얻는 기법이다. 이러한 공격은 문자메시지 외에도 카카오톡, 텔레그램 등 메신저로 확대되는 추세다. 길게는 일주일까지 사용자에게 친밀한 연락을 하다가 신뢰가 쌓이면 공격을 실행하는 경우도 있다.

문종현 이사는 "사용자에게 친근하게 접근해 악성 앱 설치를 유도하는 사례가 많다"며 "전문가에게 의뢰하지 않으면 해킹 당했다는 사실조차 모를 수 있다"고 경고했다. 문 이사는 이어 "1년 가까이 휴대폰을 해킹 당한 채로 들고 다닐 수 있다"며 "스마트폰은 24시간 켜져 있는 경우가 많기에 (해킹 당할 경우) 사생활 모든 것이 공개될 수 있다"고 했다.

./ 아이클릭아트 제공
./ 아이클릭아트 제공
공공 와이파이도 항상 경계해야

공공 와이파이를 통한 해킹도 여전히 이어지고 있다. 무료로 제공되는 공공 와이파이 상당수는 해킹에 취약하다. 암호화 되지 않아 해커가 중간에서 정보를 가로챌 수 있다. 과학기술정보통신부 조사에 따르면 공공 와이파이 10곳 중 4곳은 보안 기능이 없는 것으로 확인됐다.

보안업계 한 관계자는 "호텔 등 공공장소에서 제공되는 와이파이를 이용해 금융거래를 할 경우 은행 계좌 등 정보를 해킹당할 수 있어 주의가 필요하다"고 말했다.

해킹용 와이파이도 있다. 해커 집단이 무선공유기를 불법으로 복제해 ‘가짜 공공 와이파이’를 만드는 경우다. 스타벅스, 서울광장 등 특정 공공장소에서 제공되는 와이파이 이름과 유사하게 꾸며 사용자 접속을 유도한다. 가짜 와이파이에는 악성코드를 심어 개인정보를 탈취한다.

이대효 지니언스 이사는 "기업용 와이파이는 인증 후 사용하게 돼 있지만 공공 와이파이는 그것이 불가능하다"며 "보안 취약점을 찾아도 업그레이드가 쉽지 않다는 한계가 있다"고 지적했다.


키워드