스마트폰 정보 빼내기, 스미싱…

피싱, 파밍에 이어, 오늘은 스미싱 이야기를 해볼까합니다…

국내 스마트폰의 종류를 크게 둘로 나눠도 무방할 겁니다.

  1. 구글의 안드로이드OS를 사용하는 삼성/LG/모토로라 등의 안드로이드 계열 스마트폰 진영
  2. 애플의 iOS를 사용하는 애플 아이폰 진영

이외에 블랙베리나, 윈도모바일(?)계열은 아직 파이가 작기 때문에 일단 뒤로.

스미싱은 스마트폰(스마트디바이스들)의 내부에 저장된 정보를 털어 악용하려는 해킹 기법입니다. 사진, 공인인증서, 문자메시지, 메모, 앱내부의 데이터까지 뭐든 털 수 있습니다.

스미싱을 성공시키기 위해서는 운영체제의 보안 장치를 해제하고 원격으로 제어할 수 있는 해킹 앱(app, application software)을 사용자의 스마트폰에 설치해야 합니다.

구글 안드로이드의 취약성

대부분, 문자메시지를 이용해 (무료쿠폰이라든가, 당첨확인) 링크 주소를 발송한 다음, 사용자가 이를 터치하여 연결을 시도하면, 프로그램을 전송하여 설치하는 방법을 이용합니다. (특히, 우리나라사람들… 내용도 안읽어보고 무조건 다음>> 다음>> 빨리빨리 습관 때문에 더 잘 낚이는 것일수도)

이런 악성코드를 이용한 시도는 iOS를 사용하는 아이폰에서는 무용지물이지만, 구글의 안드로이드를 사용하는 스마트폰들에서는 구글Play에서의 앱 관리 허술과 운영체제의 보안 취약성 때문에 아주 쉽게 먹힙니다.

본인은 안전한지 다같이 한 번 테스트해 보겠습니다. (LG,삼성 등 안드로이드계열을 사용하신다면)

스마트폰을 열어서,

  • 설정 > 보안 > 디바이스관리 > 알 수 없는 출처

항목을 살펴보세요.

혹시, 체크표시가 되어 있으신가요? 그렇다면, 구글Play 를 통하지 않고도 앱을 설치할 수 있도록 설정 하신겁니다. 스미싱 피해자이거나, 잠재적 피해자라고 보시면 되겠습니다.

지금 당장 체크 표시를 해제하여, 구글Play에서만 앱을 설치할 수 있도록 막아 놓으세요.

안드로이드에서 사용하는 앱 파일의 확장자는 .apk 입니다. 이 파일은 안드로이드에서만 실행/설치됩니다. 어플리케이션 프로그램이 압축되어 패키징 되어 있는 파일이죠.

문자 메시지의 URL 을 클릭하게 되면, 악성코드 .apk 파일이 스마트폰으로 내려받아지고, 설치하겠다는 메시지를 무시하고 진행하시면, 바로 설치됩니다.

이 때, 알 수 없는 출처의 앱을 사용하도록 허용하시면, 구글Play 사이트가 아니라 개인 사이트에서도 .apk 파일을 내려받아 설치할 수 있기 때문에, 설치 후 실행되는 순간부터 악의적 해커들의 먹잇감이 되는겁니다.

위에서 처럼 보안을 강화하시는 것이 우선이고, 알지 못하는 링크는 클릭하지 않는게 필수입니다. 그리고 구글Play에 올라와 있는 앱 중에서도 사용자를 속이는 앱이 있습니다. 무턱대고 설치하지 마시고, (공짜에 현혹되지 마시고) 꼭 필요한 앱만 이용하시길 바랍니다.

백신이 있다면 설치하셔도 많은 도움이 되겠지요. 다만, 주의하실 점은 백신은 악성코드가 나타난 다음에야 치료법이 나오기 때문에 먼저 피해를 당할 수 있으니 백신만 무조건 믿는 것도 바람직하지 않습니다.

자녀와 학생, 아이들에게 가르쳐야

한가지 짚고 넘어갈 부분이 있습니다. 이런 보안 문제는 본인의 실천보다 더 중요한 것이… 자녀분들이나 학생들에게 반드시 가르치셔야 합니다.

주변 사람들의 스마트폰을 열어보면, 자녀들이나 아이들이 만지작거리고 나서 악성코드가 설치되는 경우를 흔하게 봅니다.

판단이 부족한 아이들이 무료 게임으로 위장한 프로그램을 설치하거나 스미싱 문자메시지의 링크를 무작정 누르거나, 앞서 말씀드린 보안 설정을 해제하고 게임을 설치하는 등…

오늘부터 주변 사람들에게 널리 알리시고, 아이들의 스마트폰도 한 번 점검해보시고, 부모의 스마트폰을 아이들에게 맡기지 않는 것이 제일 좋습니다.

아이폰은 안전한가?

반면에… 애플의 아이폰에 사용되는 iOS는 MacOS를 기반으로 경량화하였기 때문에, 태생부터 매우 까다롭고 강력한 안전장치가 마련되어 있습니다…

  • 앱이 실행되는 공간을 엄격히 구분하여 다른 앱을 건드릴 수 없도록 되어 있기 때문에 악성코드가 설치되더라도 다른 공간의 정보를 빼내기 어렵게 되어 있고,
  • 앱스토어에 올라오는 앱은 애플사에서 일일이 확인하여 올리기 때문에, 악성코드를 미리 걸러낼 수 있는 장치가 마련되어 있습니다.

때로는 그 안전장치 때문에 아이폰이 불편하다고 느끼는 분도 계시지만, 불안전과 불편함 중에 선택하라면 저는 불편함을 택하겠습니다. 물론, 100% 안전하다고 보기는 어렵습니다만 사용자가 악의적 해커들의 타겟이 아닌 이상 안전하다고 보시면 됩니다.

다만, 탈옥이라 불리는 iOS 운영체제의 안정장치를 해제하는 방법을 이용하신다면, 스미싱 피해를 당할 수 있습니다.

보안에 자신이 없으시다면 탈옥하지 마시고 순정 상태의 아이폰을 이용하시면서 iOS 업데이트를 꾸준히 해주시기를 권장합니다.

아이든 어른이든

인터넷과 컴퓨터, 스마트디바이스들의 적극적 활용보다 더 중요한 것은
올바른 활용입니다.

장비와 앱을 능숙하게 다루는 것이 능력이 아니라,
장비의 동작을 충분히 이해하고 필요한 앱을 제대로 활용하는 것이 능력입니다.

 

 

글쓴이: 맥노턴

초등교사커뮤니티 '인디스쿨' 대표