닫기

글로벌이코노믹

휴대폰 보안 문제 심각, 어떤 정보가 유출되나

공유
0

휴대폰 보안 문제 심각, 어떤 정보가 유출되나

[글로벌이코노믹=노진우기자] 안드로이드폰의 99%가 휴대전화 내에 장착된 애플리케이션에 해커가 별다른 장애없이 침투하는 것을 허용하는 결함을 가진 것으로 확인됐다고 보안업체 블루박스가 4일(현지시간) 밝혔다.

블루박스 최고기술책임자(CTO) 제프 포리스털은 이날 블로그에 게시한 글에서 이 결함으로 인해 안드로이드폰은 악성코드, 좀비PC 네트워크 봇넷, 컴퓨터 사기 등에 취약하다고 주장했다.
그는 "해커들이 모든 안드로이드 앱이 보안을 위해 가지고 있는 '암호화 서명(cryptographic signatures)'을 깨지 않더라도 앱실행파일(APK) 코드를 바꾸는 것을 허용하는 안드로이드 보안모델의 결함을 최근 블루박스 보안팀이 확인했다"고 밝혔다.

원래 안드로이드 앱에 악성코드가 침투하면 '암호화 서명'도 함께 변경되면서 침투사실을 경고하도록 돼 있는 것인데 블루박스의 지적이 맞다면 이예 뒷방문을 열어둔 것과 같다고 포브스 등 미국 언론들은 설명했다.

포리스털도 "이는 합법적으로 설치된 앱도 앱스토어나 휴대전화, 이용자들이 모르는 사이 해커들에 의해 트로이 목마로 바뀔 수 있다는 것을 의미한다"고 경고했다.

특히 안드로이드 1.6 이후 모든 제품에 결함이 있는 것이어서 지난 4년간 이 같은 결함을 가진 스마트폰이 9억대에 달할 것이라고 그는 추정했다.

포리스털은 블루박스가 지난 2월 구글에 이 사실을 경고했으나 구글은 이에 대한 코멘트 요구에 응하지 않고 있다고 미국 언론들은 덧붙였다.

한편, iOS에서 논란이 되는 것 중의 하나가 애플의 폐쇄적인 운영 정책이다. 아이폰이나 아이패드는 앱스토어를 통하지 않으면 어떠한 앱도 설치할 수 없다.
그렇기에 받은 스미싱 문자의 url을 눌러도 악성코드가 설치되지 않는다. 외히려 더 안전한 환경이 조성되고 있어, 이런 피해를 입을 일이 없는 것이다.

게다가 iOS6가 나오면서 개인정보는 더욱 강화되어 앱들이 위치, 연락처, 캘린더, 미리 알림, 사진, 블루투스 공유에 접근하기 위해서는 사용자가 이를 허용해야 한다. 물론 언제라도 이런 접근을 사용자는 차단할 수 있다. 특히 그 어떤 앱도 전화와 문자메시지 앱에는 접근할 수 없다.

물론 iOS라고 완벽하게 안전할 수는 없지만, 현재로선 안드로이드보다 더 안전한 플랫폼임은 부정할 수 없는 게 사실이다.

안드로이드폰 해킹을 방지하는 최고의 방법은 원치 않는 앱을 설치하지 않는 것이다. 일단 url이 포함된 문자는 무시하는 것이 정신 건강에 좋다. url을 누르자마자 스마트폰은 악성코드에 감염되게 된다.

안드로이드폰은 스미싱에서 알 수 있듯이 url을 터치하면 앱 설치가 되는데, 설치되지 않게끔 설정할 수도 있다. 안드로이드는 ‘환경 설정 > 보안 > 알 수 없는 출처’ 항목을 체크 해제하면, 플레이 스토어 외의 다른 출처 앱을 설치할 수 없게 할 수 있다. 하지만 정상적인 앱을 설치하다 보면 차단이 다시 풀려 버리게 된다. 매번 체크를 해제하기에도 번거롭다는 것이 문제다.

구글 플레이 앱만 사용하는 것도 방법이다. 다만 스파이 앱이 아닌 정상 등록된 앱도 스파이 앱의 일부 기능을 담고 있어, 악용할 수 있는 여지가 있다. 그렇기에 앱을 받기 전 권한 확인도 꼼꼼히 체크해 두면 좋다. 사진 편집 앱인데, 이와 관련 없는 연락처, 문자 등의 정보에 접근하는 권한을 가지고 있다면 의심해 보아야 한다.

PC처럼 백신은 이제 기본으로 써야 할 것으로 보인다. 현재 국내에 출시되는 스마트폰은 국내 백신 업체의 앱이 기본으로 설치돼 있다. 배터리나 성능 때문에 자동 실행이 어렵다면 주기적으로 검사할 필요는 있다. 물론 모든 악성코드를 다 감지해 내지는 못한다.