스마트폰 해킹의 유형과 보안 대책

스마트폰 해킹의 유형과 보안 대책   

 

1.     서론

 컴퓨터 인터넷을 사용하면서 지금까지 해킹이나 보이스피싱 등을 당한 적은 한 번도 없었다. 그런데 한 10년 전에 내가 운영하는 다음 포털 카페에서 아이디 도용이 있었다.

2007년부터 문화 방면의 다양한 자료를 올리는 카페를 운영했는데 몇 년 안에 회원이 500명 이상으로 늘었다. 그런데 어느 회원이 여러 게시판에 똑 같은 내용의 음란성 광고를 도배하다시피 올려 놓은 것이었다. 그 회원은 카페에 가입한지 오래된 회원인데 별로 활동을 안 하다가 안 좋은 광고를 수없이 올리다니 어이가 없었다. 우선 그 회원을 강퇴 시키고 여러 게시판에 올려진 광고를 힘들게 삭제했다. 후에 생각해보니 그 회원의 아이디를 누군가 도용한 것이며 같은 내용의 수많은 광고를 올린 장본인은 누군가에게 고용된 알바생일 것이라는 생각이 들었다. 이것도 일종의 해킹이라 할 수 있을 것이다.

 

2.     본론

1)    해킹의 정의

해킹의 정의는 네트워크나 인터넷을 통하여 외부에서 타 시스템에 접근하여 데이터나 자료를 획득, 파괴하는 행위라고 할 수 있다. 해킹의 원래 의미는 컴퓨터 네트워크의 보안 취약점을 찾아내어 그 문제를 해결하고 이를 악의적으로 이용하는 것을 방지하는 행위로 좋은 개념의 의미로 시작되었다. 그러나 현재는 컴퓨터 네트워크의 취약한 보안망에 불법적으로 접근하거나 정보시스템에 유해한 영향을 끼치는 행위로 처음의 의미와는 반대의 개념을 보이고 있다.

 법률적인 의미에서 보면 시스템의 관리자가 구축해 놓은 보안망을 어떤 목적이든 간에 무력화시키는 경우에 해당되는 모든 행동을 해킹(Hacking)이라고 할 수 있다. 대부분의 사람들은 해킹을 남의 시스템에 몰래 들어가 자료를 빼 내오는 등의 범죄행위라고 생각할 것이다. 그렇다 해킹은 일종의 도둑질과 같다. 남의 시스템을 뚫는 것은 가정집에 무단 침입하는 것이고 시스템에 있는 자료를 삭제하는 것은 기물 파손과 같고, 자료의 유출은 절도나 마찬가지이다. 따라서 도둑질을 하면 처벌을 받듯이 해킹을 하면 관련 법규에 의해 처벌을 받는다.

2)    스마트폰 해킹

스마트폰은 소프트웨어의 호환성이 높고, 전화가 가능한 휴대전화 와 컴퓨터 기능을 하나로 통합한 모바일 장치다. 스마트폰은 표준화된 인터페이스와 플랫폼을 기반한 운영 체제로 종합 구성한 전화통신기기로 볼 수 있으며 스마트폰은 전자우편, 인터넷 검색, 텍스트 읽고, 쓰고 저장하기, 추가적인 앱설치로, 응용기기로의 기능을 사용할 수 있고 내장형 키보드나 외장 USB 키보드, 외부 출력 가능한 VGA, HDMI 단자로 확장기기가 연결되는 소형 컴퓨터로도 사용할 수 있다. 또한, 무선 인터넷 접속기능을 이용하여 인터넷 및 인터넷에 직접 접속할 수 있을 뿐만 아니라 그룹웨어로의 연동이 가능하다. 또한 무료 및 유료 앱, 다양한 앱을 사용자의 상황에 맞추어 선택 및 설치할 수 있고, 스마트폰 사용자가 원하는 애플리케이션을 직접 제작할 수도 있는 점, 그리고 같은 운영체제를 가진 스마트폰 간에 애플리케이션을 공유할 수 있는 점 등도 기존 피처폰(Feature Phone)이 갖지 않은 장점이 있다. 스마트폰은 PC와 같은 기능과 더불어 고급 기능을 제공하는 휴대 전화이다. 그런데 스마트폰도 컴퓨터처럼 해킹의 도구나 해킹의 대상이 될 수가 있다는 사실이다. 최근에는 스마트폰의 개인정보나 금융정보 등을 노린 악성 앱이 생겨나면서 안드로이드용 V3백신이 설치되어 스마트폰에 대한 보안의 필요성이 크게 대두되고 있는 실정이다.

 

3)    스마트폰 해킹의 유형

(1)   스미싱 : 스미싱(Smishing)이란 SMS(Short Message Service, 문자메시지) + Phishing의 합성어로 악성 URL이 포함된 문자메시지(SMS)를 발송하여 이용자가 악성 앱을 설치하도록 유도하거나, 피싱 웹사이트에 접속하여 개인정보를 입력하도록 유도하여 개인정보 등을 탈취하고 금전 피해를 입히는 사기 수법이다.

(2)   크립토재킹 : 해커들이 비트코인 등의 암호화폐를 채굴하기 위해 타인의 스마트폰을 감염시켜 컴퓨팅을 활용하는 방법이다. 감염시 스마트폰 성능 저하, 배터리 소모, 데이터 소모 등의 부작용이 나타난다.

(3)   모바일랜섬웨어 : 주로 악성코드가 담긴 URL이나 허가받지 않은 앱을 통해 감염된다. 스마트폰에 있는 파일을 암호화해 사진과 문서 등의 자료를 쓸 수 없도록 하고, 심지어 스마트폰 자체가 작동하지 않을 수도 있다. 해커들은 암호화를 풀어주는 대가로 금전을 요구하지만, 금전을 준다 해도 복구할 수 있는 가능성은 높지 않다.

(4)   크리덴셜 스터핑 : 다수의 사람들이 모든 계정에 동일한 아이디어와 패스워드를  사용하는 점을 이용한 수법이다. 해커들은 비교적 보안이 취약한 사이트를 공격해 사용자의 계정 정보를 탈취하고, 이를 활용해 스마트폰에 계정에 접속해 개인정보를 탈취하거나 해킹을 시도한다.

(5)   나타나는 현상 : 스마트폰이 스스로 작동하거나 배터리가 평소와 다르게 빨리 소진된다. 전화 수신이나 문자, 메신저 알림이 아닌데도 불구하고 스마트폰이 혼자 켜지거나 화면이 움직이면서 작동된다면, 스마트폰이 RAT공격으로 원격 제어되고 있을 가능성이 매우 높다. 이런 경우 스마트폰을 비행모드로 바꾸고 와이파이와 데이터 통신을 차단해 서비스 센터 등의 전문가 도움을 받아야 한다.

(6)   해킹의 목적 : 금전적 이익, 사생활 침해, 군사적, 정치적, 경제적 정보 획득

 

4)    스마트폰 보안 수칙  

안드로이드 중심의 스마트 폰 사용자의 스마트한 정보보호 생활화에 기여하고자

보급하는 10대 수칙은 다음과 같다.

 

(1)    스마트 폰 운영체제(OS) 최신업데이트 :  스마트 폰 OS를 최신버전으로 유지하는 것만으로 다수 해킹피해를 막을 수 있다. 스마트폰 제조사는 OS를 수시로 업데이트한다.

 

(2)    스마트 폰 이중인증 : 클라우드나 금융앱, 메신저 등 주요개인정보가 담긴 곳에 로그인시 이중인증을 필수화해야 한다. 로그인시 아이디와 비밀번호입력 후 문자 등으로 받은 인증코드를 추가로 입력하는 방식이다.

 

(3)    비밀번호 다양화 : 여러 계정에서 한가지 비밀번호만 쓰는 경우가 많다. 이 경우 특정경로로 비밀번호가 유출되면 모든 계정으로 2차피해가 번질 수 있다. 자신만의 비밀번호 공식을 만들면 계정마다 다른 비밀번호를 손쉽게 설정할 수 있다.

 

(4)   출처 불분명한 문자 ·인터넷주소(URL) 접근금지 : 택배나 모바일 청첩장 등을 사칭한 문자로 특정 URL을 보내는 스미싱 사기가 활개를 친다. 해당 URL을 열어보면 스마트폰에 악성코드가 설치돼 금융정보탈취나 소액결제피해가 발생한다.

출처가 불분명한 문자나 URL은 절대 열지 않는다.

 

(5)   출처 불분명한 앱 설치금지 : 출처가 불분명한 앱설치도 피해야 한다. 구글 플레이스토어 등의 공식앱 장터만 이용해야 한다.

 

(6)   모바일용 백신설치 : 보안업체가 내놓은 모바일용 백신을 이용하면 된다.

 

(7)   공공 와이파이(Wi-Fi) 조심 : 공공장소에서 와이파이를 사용할때 신중해야 한다. 해킹용 가짜와이파이 위험 때문이다. 와이파이에 접속할 때 비밀번호 등 별도의 인증수단을 입력하는 와이파이가 안전하다.

 

(8)   스마트 폰 민간 개인정보삭제 : 스마트 폰에 무심코 저장된 개인정보는 수시로 삭제해야 한다. 은행 보안카드나 주민등록등본 등을 사진찍어 보관하는 것은 피해야 한다.

 

(9)   스마트 폰 안전파기 : 스마트 폰 파기시 개인정보를 모두 삭제해야 한다.

스마트 폰 초기화 기능을 사용하거나 유심(USIM)을 제거해 버려야 한다.

 

(10)  한국인터넷진흥원(KISA) 118 상담센터활용 : 스마트 폰을 해킹당했을 때 KISA 산하 118 상담센터를 이용하면 피해를 최소화할 수 있다. 118 상담센터는 개인정보 침해나 해킹, 스미싱 등을 해결하는 상담창구다. 24시간 365일 서비스를 제공한다.

 

 

3.     결론

 

현재 우리나라 스마트폰 사용자는 기하급수적으로 늘어난 가운데 유치원생들까지도 스마트폰을 사용하고 있는 실정이며 이는 곧 해커들의 좋은 먹잇감이 되어 악의적인 행위에 의한 개인정보유출, 불법과금, 부정사용, 불법광고, 스팸 SMS 등 역기능을 생각해 볼 수 있다. 스마트폰에 들어오는 대부분의 악성파일은 메신저, 이메일, 웹서빙을 통해서 유입된다. 백신앱은 이런 경우를 차단하지만 완벽하다고 말할 수는 없다. 지인에게 온 링크라도 주의하고 apk 파일을 쉬;q게 다운로드하고 설치하면 안된다. 악성 링크인 경우 개인정보 입력을 요구하는 경우가 있는데 주의 해야 된다. 현재 스마트폰은 휴대폰에서 시작된 물건인데 개인의 모든 정보가 들어있는 물건이 되었다. 개인정보, 은행, 교통카드, 결제수단, 아이디 등 여러가지 개인의 정보가 저장되어 있다. 스마트폰을 잃어버린다는 것은 개인의 개인정보 대부분이 유출되는 것으로 보안을 아무리 강조해도 지나치지 않는다. 즉, 스마트폰에 있는 각종 개인정보 및 업무용문서들로 인해 개인 및 기업에 피해를 줄 수도 있을 것이다.  

 

** 스마트폰은 이제 우리 생활에 밀착된 필수품이 되었다고 할 수 있다. 그러나 우리와 늘 가까이 있으면서도 우리는 함부로 사용해서는 안될 것이다. 점점 발전해가는 사이버 시대에 신중하게 유익하게 사용해야 될 기계라고 할 수 있다

 

 

 

 

 

참고문헌

1.     이영교 외, 정보보안 개론, 신화MB, 2013

2.     조태남 외, 기초보다 더 쉬운 정보보안 개론, 인피니티북스, 2009

3.     찰스 아서, 유현재, 김지연 역, 미래의 창, 2020

4.     양대일, 정보보안 개론, 한빛아카데미, 2015

5.     위키백과 - 해킹

6.     보안인닷컴 https://boanin.tistory.com/192