당신도 스마트폰에 배신당할 수 있다
  • 김진령 기자·김규태│동아사이언스 기자 ()
  • 승인 2011.06.28 18:18
이 기사를 공유합니다

ⓒ시사저널 이종현

스마트폰 보급이 늘어나면서 개인정보 보안에도 비상이 걸렸다. 스마트폰이 개인의 입맛에 맞는 서비스를 늘릴수록 사생활 노출의 위험성도 커지는 상황이다. 스마트폰을 통해 계좌를 도둑맞거나, 게임을 하다 거액의 요금을 청구받거나, 비밀회의 내용을 도청당하는 일도 심심치 않게 발생하고 있다. 해킹을 염두에 둔 악성 어플리케이션도 경계 대상이다. 치명적인 개인정보 노출을 부르는 ‘의도하지 않은 휴대전화 강제 열람’의 위험성으로부터 사생활을 지켜내는 방법은 무엇일까.

김진령 기자·김규태│동아사이언스 기자
이규대·한수연 인턴기자

지난해부터 지금까지 국내 IT업계의 핫이슈는 스마트폰이다. 스마트폰은 개인화된 컴퓨팅의 결정판이라 할 수 있다. 들고 다니는 컴퓨터에 전화 기능이 결합되었기에 컴퓨터와 무관했던 사람까지 인터넷 네트워킹에 편입시키고 있다. 인터넷 채팅이라고는 해본 역사가 없는 50~60대가 스마트폰을 통해 채팅을 하고, 버스 시간표를 보고, 동영상을 보는 것을 요즘은 쉽게 목격할 수 있다. 스마트폰으로 인해 걸어다니면서 쇼핑을 하고, 동영상을 보고, 문서를 작성하고, 주식 거래를 하고, 돈을 보내는 작업이 가능해졌다. 이런 기능에 소비자들은 열광적으로 반응하고 있다. 대표적인 모바일 어플리케이션인 카카오톡이 지난해 3월 서비스를 시작한 이래 가입자가 1천7백만명에 육박할 정도이다.

문제는 스마트폰이 개인의 입맛에 맞는 서비스를 해줄수록 사생활 노출이 심해진다는 점이다. 스마트폰이 해킹당하면 직장이나 가정에서 쓰는 데스크톱 컴퓨터가 해킹당했을 때와는 비교할 수 없을 정도로 특정 개개인의 비밀과 사생활이 낱낱이 까발려질 수 있다. 실제로 이런 피해 사례가 곳곳에서 나타나고 있다.

한 보안업체 창구에 나타난 사례를 보자.

사례 1. 대학생 박 아무개씨(22)는 얼마 전 계좌를 도둑맞았다. 스마트폰을 통해서다. 스마트폰의 사진 파일이 문제였다. 그가 평소 은행 인증 카드가 거추장스러워 스마트폰에 사진으로 찍어서 가지고 다녔기 때문이다. 그런데도 박씨는 이를 기기상의 문제라고 보고 AS센터를 드나들었다. 뒤늦게 악성 코드에 감염되었음을 알고 치료했지만 정신·물질적인 피해를 되돌릴 수는 없었다.

사례 2. 게임 마니아인 이 아무개씨(27)는 스마트폰으로 게임만 했을 뿐인데 2백만원이 청구된 고지서를 받았다. 어안이 벙벙해진 이씨는 기억을 더듬다가 아차 싶었다. 한 달 전 앱스토어와 구글마켓에서 유료인 앱을 한 웹페이지에서 무료로 다운받아 설치한 것이 문제였다. 잠복기를 거친 악성 앱은 얼마 후 이씨의 개인정보를 해커에게 전송했다.

사례 3. 김 아무개씨(39)는 최근 사내 비밀 회의 내용을 도청당했다. 얼마 전 확인한 지인의 안부 문자에 악성 코드가 포함되었기 때문이다. 좀비가 된 스마트폰은 김씨도 모르는 사이에 회의 내용과 통화 내역은 물론, 스마트폰이 담을 수 있는 모든 소리를 녹음했다. 좀비 폰은 김씨의 실시간 위치, 사진 및 연락처, 문서를 해커에게 전송하기도 했다. 내 손안의 PC가 내 손안의 ‘도청 장치’가 된 셈이다.

▲ 사용자가 삭제 명령을 내려 지운 정보 중 일부는 디지털 포렌식을 통해 복원해 열람할 수 있다. ⓒ시사저널 윤성호

악성 코드에 의한 좀비 폰도 대량 발생

스마트폰으로 인한 개인정보 유출은 대개 이와 같은 세 가지 경로를 통해 일어난다. 무선인터넷이라는 네트워크의 특징을 이용하거나 악성 어플리케이션 다운로드, 또는 휴대전화 분실 등 의도하지 않은 사건이 일어난 탓이다.

요즘 가장 두드러진 위험은 해킹을 염두에 둔 악성 어플리케이션의 등장이다. 보안 전문 기업 하우리가 지난 6월8일 공개한 스마트폰 해킹 시연 영상에서도 이것이 입증되었다. 하우리에 따르면, 악성 어플리케이션이 설치된 스마트폰의 문자메시지를 발송하는 것만으로도 연락처에 있는 모든 사람에게 악성 코드가 전파될 수 있다. 사용자가 악성 코드 문자메시지를 확인하는 즉시 대량 좀비 스마트폰이 탄생하는 것이다. 이렇게 악성 코드가 설치된 수많은 좀비 스마트폰을 이용하면 PC 환경에서와 같이 특정 웹사이트에 대해 분산 서비스 거부(DDoS) 공격이 가능하다.

특히 스마트폰 음성 녹음 기능을 이용한 악성 코드에 감염되면 △도청을 통한 특정 사용자의 비밀 회의 내용 유포 △주요 장소에 접근했을 때 위치 추적을 통한 도청 등이 일어날 수 있다. 스마트폰 대기 상태에서도 가능하다.

악성 어플리케이션은 주로 안드로이드 진영에서 발견되고 있다. 운영체제(OS)가 공개되어 있기 때문이다. 안철수연구소에서 ‘적발’한 악성 앱도 대부분 안드로이드 계열이다. 사용자 등록 전화번호, 문자메시지, 등록 이메일 계정 등의 사용자 정보를 네트워크로 전달하는 기능이 있는 월페이퍼가 있는가 하면 게임을 가장한 어플리케이션에 사용자의 단말기 위치 정보를 특정 서버에 수시로 업로드하는 스파이웨어, 성인 동영상 플레이어를 위장해 특정 번호로 SMS 메시지가 전송되어 요금을 과금시키는 악성 앱 등 유선인터넷에서 벌어졌던 거의 모든 악성 해킹이 모바일 인터넷에서 행해지고 있다.  

악성 앱을 다운로드하지 않았더라도 해킹을 당할 가능성은 많다. 보안업체인 FSK시큐리티의 최진원 선임연구원은 지난해 재미있는 실험을 했다. 서울 시내의 한 멀티플렉스 극장에 가짜 무선랜 접근점(AP)을 세우고 사용자들의 접속을 유도했다. 그러자 실행한 지 45초만에 1백80명이 넘는 스마트폰 사용자가 몰려 최연구원의 노트북에 과부하가 걸리는 사태가 발생했다. 이런 와이파이상에서의 데이터 가로채기에 대해서 최연구원은 “요즘은 인터넷에서 해킹 동영상을 쉽게 찾을 수 있다. 어느 정도 지식이 있으면 일반인도 와이파이의 보안 허점을 뚫을 수 있다는 것을 보여준 사례이다”라고 말했다.

최연구원의 실험이 성공한 뒤 지난 4월에는 울산과기대 컴퓨터공학부 서의성 교수팀이 가짜 AP를 통해 단순히 정보를 빼내는 차원을 넘어서 보안 강화를 위해 쓰이는 ‘SSL 가로채기’에 성공해 파장이 더욱 컸다. SSL은 무선랜의 취약점을 보완하기 위해 무선 인터넷 접속시 사용자와 서버가 서로 열쇠를 주고받는 방식이다. SSL 인증키는 국가 공인 인증 기관에서만 발급할 수 있기 때문에 보안성이 크다고 알려져왔다. 그런데 이것이 뚫린 것이다. 피실험자가 가짜 AP에 접속해 서버에 인증키를 요청하자 가짜 AP는 ‘가짜 SSL’을 제공하는 동시에 인터넷 사이트로부터 전송된 ‘진짜 SSL’은 연구팀의 컴퓨터에 저장된 것이다. SSL이 오가는 길목을 지키다가 낚아챈 뒤 이를 기반으로 피실험자의 개인정보와 인터넷 정보 검색 내역 등을 해킹하는 데 성공한 것이다. 보안 전문가들은 “유선인터넷은 10여 년 동안 창과 방패를 겨루며 보안 허점을 메워왔지만 무선인터넷에는 보안 사각지대가 아직 수두룩하다”라고 말하고 있다.

▲ 자료 출처 : 한국인터넷진흥원(KISA)


합법적 영역의 ‘신상 캐기’ 기술도 크게 발달

 IT 칼럼니스트 김인성씨는 “우리나라에서는 실명제를 빌미로 사용자의 개인정보 보호에 무관심하다. 인터넷에 글 한 줄 쓰려고 해도 주민등록 번호와 집 주소, 심지어 전화번호까지 적어내야 한다. 때문에 거의 모든 사이트에서 과도한 개인정보를 요구할 수 있는 구조가 정착되었다. 간단한 경품 사이트를 열어놓고 전 국민의 개인정보와 비밀번호까지 획득하는 것이 어려운 일이 아니다. 수많은 웹사이트가 해킹되어 개인정보가 유출되었는데 이런 정보를 교차 비교함으로써 거의 완전한 개인정보 파일이 만들어져 거래가 되고 있다. 한국에서 프라이버시 보호의 중요성을 이야기하는 것은 순진한 일일 뿐이다”라고 비판했다.

해킹뿐 아니라 합법적인 공간에서 벌어지는 개인정보 유출도 문제이다. 최근에 전산 전문가인 한 대학 교수 A씨가 부인을 살해한 혐의로 구속되었다. 결정적인 증거는 카카오톡을 통해 내연녀와 무심코 나눈 대화 한 토막이었다. A씨는 카카오 본사까지 찾아가 대화 삭제를 요구했는데, 수사 당국은 이를 찾아내 A씨가 범인이라는 점을 입증했다. 네티즌들은 사건의 잔혹성에도 놀랐지만 인터넷을 이용한 메시지나 메일이 ‘내가 삭제해도 삭제되지 않는 현실’에 더 놀랐다.

사건 이후 카카오에서는 “모든 메시지는 사용자가 읽은 즉시 서버에서 삭제되고, 읽지 않은 메시지는 한 달만 보관하고 모두 삭제한다”라고 밝혔지만 네티즌의 동요는 가라앉지 않았다. ‘삭제한 메시지’가 어떻게 복원되느냐는 것이다. 이후 모든 메일 서비스 업체나 메신저 서비스 업체가 ‘우리는 사용자가 삭제하는 즉시 데이터가 없어진다’라고 밝혔다. 정말 그럴까?

고려대 정보보호대학원(CIST)의 이상진 교수는 “어느 사이트이건 수차례 이상 같은 공간에 덮어씌우기를 하지 않는 한 충분히 복원할 수 있다”라고 말했다. 삭제 명령과 함께 눈에 보이는 형태의 메일이나 메시지는 사라졌을지 몰라도 서버 어딘가에는 남아 있다는 것이다. 카카오의 박용후 이사는 이를 “공책에 글을 쓰면 뒷면 종이에 눌러 쓴 흔적이 남는다. 앞 종이를 찢어버린다고 해도 압흔을 통해 앞 종이에 쓰여 있던 글씨를 복원할 수 있는 것과 같은 이치이다”라고 말했다. 즉, 삭제 명령이 당장 효과를 나타내는 것은 아니라는 것이다. 완전히 삭제되려면 애초 메시지가 저장되었던 서버의 특정 공간에 적어도 아홉 차례 이상 다른 파일이 덧씌워져야 흔적이 완전히 소멸되는 것으로 알려졌다.

전산 전문가로서 이런 사정을 알고 있던 A씨는 그같은 서버의 속성을 잘 알고 특별히 부탁까지 했지만 그는 불운(?)했다. 그의 메시지가 속해 있는 일련번호상의 공간에는 그의 메시지를 덮을 만큼 파일이 반복해서 덧씌워지지 않아 그의 메시지는 복원되었다. 국내 다른 회사의 저장·삭제 과정도 카카오톡과 다르지 않다.

이에서 보듯 합법적인 영역에서 사생활 캐내기 기술은 놀랄 만한 수준에 도달했다. 특히 스마트폰은 메모, 내비게이션, 메일, 메신저, 인터넷 검색 등을 통해 개인의 사생활 전부를 관여하는 수준이라 동영상 기능이 없는 CCTV라고 부를 수 있을 정도이다. 마음만 먹으면 개인이 특정한 날 어디에 가고, 어떤 사람을 만났고, 어떤 대화를 나누었는지, 몇 시에 자고 몇 시에 일어났는지를 스마트폰을 통해 복원할 수 있다.

고려대 정보보호대학원의 디지털 포렌식 센터(센터장 이상진 교수)는 수사기관이나 기업의 의뢰를 받아 이런 일을 하고 있다. 디지털 포렌식이란 컴퓨터나 스마트폰 등 디지털 기기에 남아 있는 각종 증거를 추출해내는 디지털 프로파일링을 가리킨다. 가령 기업에서 내부자에 의한 정보 유출 사고가 일어났을 때 의심이 가는 직원의 데스크톱 컴퓨터와 스마트폰의 기록을 추적해 법정에서 받아들여질 만한 정황 증거를 완벽하게 재구성해내는 일이다. 

이상진 교수 팀은 이를 위해 스마트폰 안에서 사용된 메신저 프로그램의 삭제된 대화를 되살리고 컴퓨터 접속 기록이나 인터넷 사용 내역을 되살리는 프로그램을 개발해 상당한 성과를 올리고 있다. 특히나 개발이 완료된 아이폰용 프로그램은 메시지나 인터넷 검색 기록 등을 복원하는 데 경악할 만한 수준을 보여주고 있다.

때문에 디지털 포렌식에 대한 수요도 늘어나고 있다. 검찰에는 대검에 디지털 포렌식 센터가 있고, 경찰청에서는 사이버 수사대가 이를 담당하며 국립과학수사연구소에도 이를 전공한 직원이 한 명 있다. 법무법인 김&장에서도 이를 담당하는 전문가가 3명이나 있을 정도로 ‘시장 수요’가 많다.

문제는 이런 디지털 포렌식 기법이 공적인 영역에서만 이루어진다는 보장이 없다는 점이다. 국내의 사설 탐정업계에서는 공식적으로는 이런 업무를 하고 있지 않다고 말하고 있지만, 전문가들은 흥신소 업계에서 스마트폰을 통한 불법적인 사생활 복원 가능성이 있다는 점을 부인하고 있지 않다. 스마트폰만 확보한다면 비밀번호 정도는 간단하게 뚫어버리기에 이를 통해 기업 스파이 분쟁이나 남녀 간 불륜 문제 등에서 알리바이를 입증하는 것이 쉬워지기 때문이다.

CIST의 방제완 연구원은 “사립탐정을 인정하는 미국이나 일본에서는 디지털 포렌식 기법으로 채증한 증거가 법정 증거로 받아들여지기도 한다. 일본에서는 부인의 불륜 의심 차량에 GPS를 달아서 증거를 제출한 사례도 있다”라고 말했다. 외국에서는 민간 수사 회사가 기업 회계 장부 조작이나 기업 감사, 내부 정보 유출 등에 디지털 포렌식을 활용하고 있기도 하다. 국내에서도 기술적으로 충분히 활용 가능성이 입증되었고 이를 활용할 수 있는 프로그램까지 나온 이상 확산되는 것은 시간문제인 것으로 보인다.

결국 가장 치명적인 개인정보 노출은 전문적 지식이 필요한 네트워크 해킹이나 어플리케이션을 이용한 해킹이 아닌 ‘의도하지 않은 휴대전화 강제 열람’인 것이다.

카카오의 이확영 기술담당 이사는 기본 지키기가 중요하다는 것을 강조했다. “해킹하는 방법이 다양하다고 하지만 잠금 장치가 없는 폰을 잃어버리면 그 어떤 해킹보다 더 파괴력이 크다. 그 사람의 거의 모든 정보가 노출되는 것이다.” 

이 기사에 댓글쓰기펼치기