카드 개인정보 유출 대란…악성코드 걱정없는 ‘아이폰’

 

KB국민, 롯데, NH농협 카드 3사에서 대규모의 개인정보 유출 사건이 터졌다. 유출된 정보는 모두 1억 400만 건으로 역대 세계 3위를 차지할 만큼 큰 규모다. 특히 개인정보를 철저히 관리해야 할 카드사에서 유출되었다는 점에서 그 어느 때보다 국민의 분노가 크다.

개인정보 유출 사건은 이미 여러 차례 일어났다. 우리나라 국민 대부분 정보가 유출되었다고 봐도 과언이 아니다. 그리고 이런 개인정보는 인터넷에서 공공연히 거래되고 있다. 세계 여러 나라에서 신분을 확인할 수 있는 증명 번호를 사용하기는 하지만, 전 국민을 등록해 정확하게 신분을 확인할 수 있는 제도를 사용하는 곳은 대한민국이 유일하다. 주민등록번호 하나면 많은 것을 할 수 있다 보니 악의적인 목적을 가진 수요자가 끊이지 않는다. 이번 카드사의 정보유출 사건도 이런 탓에 불안감이 크다.

 

card11

 

이것이 원인일까? 근래 부쩍 스팸 문자까지 늘어난 기분이다. 아니나 다를까, 한국인터넷진흥원(KISA)이 조사한 바를 알아보니, 1월 1일부터 7일까지 탐지된 스미싱 건수가 1,953건인데 비해 카드사 정보유출사건이 알려진 8일부터 14일까지 일주일 동안 스미싱 건수는 5배가 넘는 1만 1,228건으로 급증했다. 그 이후로도 스미싱 건수는 매주 기록을 경신하고 있다.

정부는 정보가 담긴 USB 메모리를 회수했기 때문에 2차 피해는 없을 거라고 하지만, 썩 믿음이 가지는 않는다. 만약 개인정보가 이미 유통되었다면, 스마트폰은 가장 큰 먹잇감 중의 하나가 된다.

이미 알려졌듯이, 스마트폰에는 스미싱 방법을 사용해 스마트폰 내부 정보를 빼내 가는 수법이 있다. 스미싱은 SMS와 피싱(Phising)의 합성어로 신뢰할 수 있는 사람 또는 기업이 문자를 보낸 것처럼 가장해, 문자에 포함된 링크를 터치하면 스마트폰에 악성코드 심어 정보를 탈취하는 수법이다. 주로 휴대전화 소액결제를 많이 노린다. 소액결제는 문자로 보낸 인증 번호를 기입하면 결제가 완료되는데, 악성코드를 심어 문자를 가로채 사용자 몰래 소액결제를 하게 된다. 사용자는 휴대전화 청구서를 받은 후에야 비로소 알게 된다.

스마트폰에 심어진 악성코드는 기기에 저장된 어떤 정보도 탈취할 수 있기에 더 큰 피해로 이어질 수도 있다. 이런 스미싱은 모든 스마트폰에서 일어나는 것은 아니다. 아이폰은 여기서 자유로우며, 안드로이드폰에서 발생한다. 안드로이드 기기에서 발생하는 이유는 모바일 앱 설치에 제약이 없기 때문이다. 사용자는 무심결에 문자에 포함된 링크를 터치하게 되면, 악성코드가 자신의 안드로이드 기기에 설치되어 버린다.

물론 이를 예방할 방법이 몇몇 알려졌다. 모바일용 백신을 설치해 주기적으로 검사하고, 설정에서 ‘알 수 없는 출처’를 체크를 해제해 앱 설치를 차단하면 된다. 하지만 근본적인 해결책이 되지는 못한다. 모바일 백신을 안 쓰는 이도 많고, 알 수 없는 출처를 모르거나 허용해 놓고 쓰는 사람도 많다.

그나마 스미싱이 언론 보도를 통해 많이 알려져, 문자 내 링크에 주의를 기울이는 사용자가 늘어나고 있다. 문제는 스미싱도 점차 진화하고 있다는 점으로, 요즘은 보이스 피싱과 스미싱을 결합한 하이브리드 방식이 점차 기승을 부리고 있다. 이 방법은 미리 상대방의 주소, 이름, 주민번호 등의 개인정보를 입수한 후 공공기관을 사칭한 보이스 피싱 전화로 안심하게 만들어 발송한 문자의 링크를 터치하게 만든다. 이번 카드 개인정보 유출이 이런 하이브리드 방식에 활용될 수 있는 것이다.

이런 위협은 앞으로 더욱 커질 것은 분명해 보인다. 지난 1월 20일 시스코가 전 세계 주요 보안 현안을 조사한 ‘시스코 2014 연례 보안 보고서(Cisco 2014 Annual Security Report)’를 보면, 전체 모바일 악성소프트웨어 99%는 안드로이드 운영체제를 설치한 기기를 겨냥하고 있다.

 

인포그래픽_1_소

▲ 안랩이 발표한 2013년 스마트폰 뱅킹 악성 앱, 모두 안드로이드를 타깃으로 하고 있다

 

앞에서 아이폰은 이런 스미싱에 자유롭다는 말을 했다. 정말 그럴까? 아이폰도 안드로이드처럼 앱을 설치할 수 있다. 하지만 가장 큰 차이점은 안드로이드와 다르게 일반 사용자가 임의로 앱을 설치할 수 없다. 앱스토어에서 내려받은 앱만 설치된다.

즉 공격자가 아이폰용 악성코드를 만들어 문자를 전송하더라도, 사용자가 문자의 링크를 터치해봤자 설치가 되지 않는다. 애플 관계자는 “아이폰은 스미싱 피해를 당해본 적이 없는 가장 안전한 스마트폰이다”며, “아이폰은 샌드박스 기술을 사용해 외부로부터 들어온 앱을 보호된 가상의 영역에서만 동작하도록 해 시스템에 침투할 수 없게끔 해놓았다”고 설명했다.

그렇다면 앱스토어를 거치지 않고 아이폰에 앱을 설치할 방법은 없을까? 앱 개발자라면, 자신이 만든 앱을 테스트 하기 위해 앱스토어를 거치지 않고서도 아이폰에 설치할 수 있다. 이 경우 개발자 계정에 아이폰을 등록해 놓아야 한다. 등록이 안 된 아이폰에는 설치가 안 된다. 아이폰을 탈옥한 경우에도 임의로 앱을 설치할 수 있다. 그렇기에 될 수 있으면 탈옥은 안 하는 편이 좋으며, 탈옥했다면 사용에 주의를 기울일 필요가 있다.

앱스토어에 악성코드를 등록할 수는 없을까? 애플은 앱스토어에 등록하는 모든 앱을 사전 심사한다. 애플 관계자는 “iOS는 문은 한 개인데 그 문에 들어가려면 검문을 받아야하는 상황이라고 보면 된다”며 “기기의 안정성도 중요하지만 악성 앱이 들어오지 못하도록 사전 차단을 하기에 아이폰은 안전할 수밖에 없다”고 말한다.

 

card14

 

아이폰에서 가장 많은 공격을 받았던 부분이 폐쇄적인 환경이라는 점이다. 그에 비해 안드로이드는 개방적인 환경을 지니고 있다. 하지만 이런 환경 덕에 아이폰, 아이패드 사용자는 악성코드 공격을 신경 쓸 필요가 없다. 아이폰과 함께 안드로이드폰은 스마트폰 시장을 대표하는 제품임은 틀림없다. 하지만 보안 측면에서 아이폰보다 취약한 건 분명한 사실이다.

 




You may also like