사이버 해킹도 비슷한 모습을 보인다. 해킹 수법도 교묘하지만 보안 기술도 진화를 거듭한다. 문제는 기술만이 사이버 범죄를 좌우하는 요소가 아니라는 데 있다. '사이버 강도'들은 대형 은행을 노리지 않는다. 대형 은행의 시스템을 이용해 거래하는 고객들의 호주머니를 노린다. 첨단 해킹이나 보안 기술을 낱낱이 알기 힘든 대중은 해커가 파 놓은 함정에 쉽게 빠지고, '철벽'을 자랑하는 보안 기술도 무용지물이 되기도 한다.
끝까지 막을 수 없는 해킹은 없다. 끝까지 막을 수 있는 보안 기술도 없다. 뚫으려는, 그리고 뚫리지 않으려는 양 진영의 싸움에서 잠재적 피해자들이 지갑을 지키는 방법은 해커들의 '낚시'(피싱)에 말려들지 않게 최소한의 지식을 쌓고 대비하는 게 현재는 최선이다. 규제 당국·보안업체의 노력과 함께 정확한 정보를 알리는 언론의 역할 역시 중요한 이유다.
하지만 포털 사이트 등에서 해킹 예방책을 찾아보면 읽을거리는 많지만 확실한 대비책을 찾기 쉽지 않다. 예컨대 '3.20 해킹' 사건은 한국 사회의 보안 불감증과 보안 정책의 문제점을 드러낸 사건으로 많은 관심을 받았다. 하지만 정부가 '북한 소행'을 사태의 본질로 규정해 사이버 안보 문제로 '격상'하면서 이번 사건을 계기로 보안 문제에 대한 사회적 차원의 논의로 이어가려는 시도는 상대적으로 묻혔다.
|
| ▲ 금융소비자원과 한국IT전문학교 정보보안스쿨 학생들이 지난달 서울 광화문 일민미술관 앞에서 스미싱 피해 사전 예방 가두 캠페인을 벌이고 있다. ⓒ연합뉴스 |
일반 대중을 겨냥한 피싱 사기도 마찬가지다. 해킹 사기의 정확한 유형을 알리고 이를 최소화할 수 있는 예방책을 제시하기보다는 백신 설치만을 강조하거나 이용자 각자가 조심해야 한다는 등의 본질과 동떨어진 '조언'이 주를 이룬다. 최근에는 PC를 넘어 스마트폰을 겨냥한 해킹이 기승을 부리고 있다. 스마트폰 해킹을 예방하기 위해 참고할 만한 사안들을 문답으로 정리했다.
스마트폰 피싱의 종류는?
스마트폰이 보급되기 전에는 금융기관을 사칭해 전화를 걸어 개인정보를 얻어내는 '보이스피싱'이 주로 문제가 됐다. 하지만 개방된 인터넷을 이용할 수 있는 스마트폰이 널리 보급되면서 특정 타깃을 노리는 보이스피싱보다는 PC 해킹과 비슷한 유형의 범죄가 새롭게 생겨났다.
대표적인 피싱 수법은 '파밍'(pharming)과 '스미싱'(Smishing)이다. 파밍은 PC나 스마트폰에서 금융기관과 똑같이 꾸민 가짜 사이트로 유도해 금융 정보를 빼내는 수법이다. 기기가 악성 코드에 감염돼 금융 사이트 주소를 입력해도 가짜 사이트로 연결되거나, 금융 사이트 주소와 유사한 주소(URL)로 이용자의 눈을 속이는 방법이 동원된다.
최근에는 스미싱을 이용한 '낚시' 사례가 늘고 있다. 스미싱은 기업의 이벤트 문구 등으로 위장한 문자메시지(SMS)를 보내 이용자가 호기심에 링크된 주소를 열면 악성 애플리케이션(앱)이 설치돼 몰래 휴대전화 소액 결제를 하게 만든다. 이용자는 휴대전화 명세서를 볼 때까지 결제 사실을 알지 못하는 경우가 많고, 불특정 다수를 노린 수법이어서 피해 규모도 크다. 한국의 경우 과거 해킹으로 확보한 개인정보를 바탕으로 스미싱이 이뤄지기 때문에 실제 결제가 이뤄지는 경우가 더 많다.
미래창조과학부에 따르면 지난해부터 올해 4월까지 스미싱으로 인한 피해 금액은 약 9억 8000만 건으로 알려져 있다. 피해를 본 이용자는 경찰과 통신사에 문의해 고의나 과실이 없는 한 환불을 받을 수 있다.
스마트폰이면 모두 해킹에 노출되나
스미싱이 문제가 된 초기에는 피해 장면을 묘사하는 보도에 아이폰이 주로 등장하면서 이용자들의 혼란을 부른 바 있다. 스미싱은 현재까지 구글 안드로이드 기반의 스마트폰에서만 가능하다. PC 운영체제 시장에서 점유율이 높은 마이크로소프트(MS)의 윈도 시스템을 노린 해킹이 주를 이루는 것과 같은 맥락이다. 국내 주요 스마트폰 제조사들이 대부분 안드로이드 기반의 스마트폰을 만들기 때문에 안드로이드 운영체제의 국내 점유율은 90%가 넘는다.
안드로이드 스마트폰이 주요 목표가 되는 이유는 출처가 불분명한 앱도 사용자가 설치할 수 있기 때문이다. '낚시성' SMS에 담긴 링크를 따라가면 앱을 내려받아 설치하게 된다. 여기에 과거 대규모로 유출된 개인정보를 입수한 해커들이 소액 결제를 신청하고, 전송된 인증번호를 가로채 결제 절차를 마친다. 이러한 기능을 수행하는 서버는 보통 중국 등 외국에 있어 범인을 잡는 것도 수월치 않다.
제조사들이 입맛대로 수정할 수 있는 안드로이드와 달리 애플은 폐쇄적인 운영체제를 갖고 있어 같은 방식의 스미싱은 불가능하다. 정상적인 앱 유통 경로인 '앱스토어'에 등재되는 앱은 애플의 사전 승인을 거쳐야 하기 때문에 악성 코드를 포함하거나 출처가 불분명한 앱은 통과하기 힘들다. 안드로이드에 설치되는 앱의 확장자와 애플 운영체제의 앱 확장자도 다르기 때문에 스미싱 메시지의 링크를 열어도 설치가 불가능하다. 아이폰에서 주로 문제가 되는 것은 정상적으로 등재된 앱이 주소록이나 위치 정보에 과도하게 접근하면서 발생한다. 아이폰을 해킹해 관리자 권한을 얻는 '탈옥'의 경우, 안전성이 보장되지 않은 앱이 설치될 수 있다.
스마트폰 해킹 예방하려면
안드로이드를 사용하고 있는 이용자라면 출처가 불분명한 앱은 설치하지 않는 것이 우선이다. 스마트폰 설정 화면에서 '알 수 없는 출처의 앱 설치' 옵션을 비활성화하는 것이 좋다.
공인인증서가 필요하지 않은 소액 결제는 30만 원 한도인데, 통신사들은 대개 가입 단계에서 제대로 된 고지 절차 없이 소액 결제 서비스를 활성화하고 한도를 최대로 설정한다. 실제 스미싱 피해는 소액 결제에서 발생하므로, 사용하는 기능이 아니라면 통신사에 요청해 소액 결제 한도를 낮추거나 아예 서비스를 받지 않는 것이 좋다.
이 밖에도 각 통신사에서 제공하는 스미싱 방지 앱을 설치하거나 보안업체가 제공하는 모바일 백신을 받는 방법도 있다.
스마트폰 백신은 만병통치약인가
PC와 마찬가지로 스마트폰 백신은 현재까지 발견된 악성 코드를 발견해 차단하는 프로그램이다. 이 때문에 새로운 악성 코드가 개발되면, 이를 발견하거나 실제 피해가 난 뒤에나 조치가 가능한 경우가 많다. 백신을 설치하고 어떤 공격도 예방할 수 있다고 여기기보다는 안전장치를 하나 더 두었다고 봐야 한다.
금융앱스토어는 신뢰할 수 있나
금융결제원은 스마트폰 이용자들이 가짜 은행 앱을 받아 피싱 사기를 당하는 것을 방지하기 위해 지난달 각 금융기관 앱을 하나의 앱에 통합해 내려받을 수 있게 하는 '금융앱스토어'를 선보였다.
금융기관 앱을 이용하는 이들이 각각의 앱에 대한 신뢰성을 확인하기 힘들기 때문에 금융결제원이 앱을 통합 제공하는 형식으로 되어 있다. 처음에는 'https://www.fineapps.co.kr'라는 모바일 웹을 열어 이용자들이 앱을 직접 설치할 수 있게 했다. 하지만 오픈넷 등 인터넷 관련 단체들은 'http://www.flneapps.co.kr'라는 유사 사이트를 열어 금융결제원의 모바일 웹 자체가 피싱을 유발할 수 있다고 경고했다. 금융결제원의 해당 주소와 오픈넷이 개설한 페이지 주소를 비교하면 'i'가 소문자 'l'로 바뀌었지만 유심히 보지 않으면 발견하기 어렵다.
금융결제원은 이러한 지적에 이달 초 국내 이동통신사 앱스토어에서 금융앱스토어를 받을 수 있게 바꿨다. 하지만 삼성전자 갤럭시 시리즈나 LG전자의 옵티머스 시리즈 등을 제외하면 통신사 앱스토어 링크로 대체된 금융결제원의 모바일 웹에 접속할 때 인증서 문제가 생기거나, '알 수 없는 출처의 앱 설치' 옵션을 활성화해야 설치가 가능하다. 보안을 위해 만들어진 정책이 오히려 피싱과 스미싱 위험을 내포한 셈이다. 따라서 금융앱스토어를 설치할 때도 세심한 주의가 필요하다.
 |
전체댓글 0