스마트폰 정보 빼내기, 스미싱…

피싱, 파밍에 이어, 오늘은 스미싱 이야기를 해볼까합니다…

국내 스마트폰의 종류를 크게 둘로 나눠도 무방할 겁니다.

  1. 구글의 안드로이드OS를 사용하는 삼성/LG/모토로라 등의 안드로이드 계열 스마트폰 진영
  2. 애플의 iOS를 사용하는 애플 아이폰 진영

이외에 블랙베리나, 윈도모바일(?)계열은 아직 파이가 작기 때문에 일단 뒤로.

스미싱은 스마트폰(스마트디바이스들)의 내부에 저장된 정보를 털어 악용하려는 해킹 기법입니다. 사진, 공인인증서, 문자메시지, 메모, 앱내부의 데이터까지 뭐든 털 수 있습니다.

스미싱을 성공시키기 위해서는 운영체제의 보안 장치를 해제하고 원격으로 제어할 수 있는 해킹 앱(app, application software)을 사용자의 스마트폰에 설치해야 합니다.

구글 안드로이드의 취약성

대부분, 문자메시지를 이용해 (무료쿠폰이라든가, 당첨확인) 링크 주소를 발송한 다음, 사용자가 이를 터치하여 연결을 시도하면, 프로그램을 전송하여 설치하는 방법을 이용합니다. (특히, 우리나라사람들… 내용도 안읽어보고 무조건 다음>> 다음>> 빨리빨리 습관 때문에 더 잘 낚이는 것일수도)

이런 악성코드를 이용한 시도는 iOS를 사용하는 아이폰에서는 무용지물이지만, 구글의 안드로이드를 사용하는 스마트폰들에서는 구글Play에서의 앱 관리 허술과 운영체제의 보안 취약성 때문에 아주 쉽게 먹힙니다.

본인은 안전한지 다같이 한 번 테스트해 보겠습니다. (LG,삼성 등 안드로이드계열을 사용하신다면)

스마트폰을 열어서,

  • 설정 > 보안 > 디바이스관리 > 알 수 없는 출처

항목을 살펴보세요.

혹시, 체크표시가 되어 있으신가요? 그렇다면, 구글Play 를 통하지 않고도 앱을 설치할 수 있도록 설정 하신겁니다. 스미싱 피해자이거나, 잠재적 피해자라고 보시면 되겠습니다.

지금 당장 체크 표시를 해제하여, 구글Play에서만 앱을 설치할 수 있도록 막아 놓으세요.

안드로이드에서 사용하는 앱 파일의 확장자는 .apk 입니다. 이 파일은 안드로이드에서만 실행/설치됩니다. 어플리케이션 프로그램이 압축되어 패키징 되어 있는 파일이죠.

문자 메시지의 URL 을 클릭하게 되면, 악성코드 .apk 파일이 스마트폰으로 내려받아지고, 설치하겠다는 메시지를 무시하고 진행하시면, 바로 설치됩니다.

이 때, 알 수 없는 출처의 앱을 사용하도록 허용하시면, 구글Play 사이트가 아니라 개인 사이트에서도 .apk 파일을 내려받아 설치할 수 있기 때문에, 설치 후 실행되는 순간부터 악의적 해커들의 먹잇감이 되는겁니다.

위에서 처럼 보안을 강화하시는 것이 우선이고, 알지 못하는 링크는 클릭하지 않는게 필수입니다. 그리고 구글Play에 올라와 있는 앱 중에서도 사용자를 속이는 앱이 있습니다. 무턱대고 설치하지 마시고, (공짜에 현혹되지 마시고) 꼭 필요한 앱만 이용하시길 바랍니다.

백신이 있다면 설치하셔도 많은 도움이 되겠지요. 다만, 주의하실 점은 백신은 악성코드가 나타난 다음에야 치료법이 나오기 때문에 먼저 피해를 당할 수 있으니 백신만 무조건 믿는 것도 바람직하지 않습니다.

자녀와 학생, 아이들에게 가르쳐야

한가지 짚고 넘어갈 부분이 있습니다. 이런 보안 문제는 본인의 실천보다 더 중요한 것이… 자녀분들이나 학생들에게 반드시 가르치셔야 합니다.

주변 사람들의 스마트폰을 열어보면, 자녀들이나 아이들이 만지작거리고 나서 악성코드가 설치되는 경우를 흔하게 봅니다.

판단이 부족한 아이들이 무료 게임으로 위장한 프로그램을 설치하거나 스미싱 문자메시지의 링크를 무작정 누르거나, 앞서 말씀드린 보안 설정을 해제하고 게임을 설치하는 등…

오늘부터 주변 사람들에게 널리 알리시고, 아이들의 스마트폰도 한 번 점검해보시고, 부모의 스마트폰을 아이들에게 맡기지 않는 것이 제일 좋습니다.

아이폰은 안전한가?

반면에… 애플의 아이폰에 사용되는 iOS는 MacOS를 기반으로 경량화하였기 때문에, 태생부터 매우 까다롭고 강력한 안전장치가 마련되어 있습니다…

  • 앱이 실행되는 공간을 엄격히 구분하여 다른 앱을 건드릴 수 없도록 되어 있기 때문에 악성코드가 설치되더라도 다른 공간의 정보를 빼내기 어렵게 되어 있고,
  • 앱스토어에 올라오는 앱은 애플사에서 일일이 확인하여 올리기 때문에, 악성코드를 미리 걸러낼 수 있는 장치가 마련되어 있습니다.

때로는 그 안전장치 때문에 아이폰이 불편하다고 느끼는 분도 계시지만, 불안전과 불편함 중에 선택하라면 저는 불편함을 택하겠습니다. 물론, 100% 안전하다고 보기는 어렵습니다만 사용자가 악의적 해커들의 타겟이 아닌 이상 안전하다고 보시면 됩니다.

다만, 탈옥이라 불리는 iOS 운영체제의 안정장치를 해제하는 방법을 이용하신다면, 스미싱 피해를 당할 수 있습니다.

보안에 자신이 없으시다면 탈옥하지 마시고 순정 상태의 아이폰을 이용하시면서 iOS 업데이트를 꾸준히 해주시기를 권장합니다.

아이든 어른이든

인터넷과 컴퓨터, 스마트디바이스들의 적극적 활용보다 더 중요한 것은
올바른 활용입니다.

장비와 앱을 능숙하게 다루는 것이 능력이 아니라,
장비의 동작을 충분히 이해하고 필요한 앱을 제대로 활용하는 것이 능력입니다.

 

 

모바일 디바이스들의 센서

최근 출시되는 모바일 디바이스에 내장된 다양한 기능의 센서들은 단순히 하드웨어 제조 기술을 강조하기 위한 것이 아니라 사용자에게 제공하는 서비스를 풍족하게 하기 위해서다.

국내 제조사들이 센서를 집적시켜 모바일 디바이스를 제작하기 시작한 것은 2009년 애플의 iPhone이 상륙하면서 시작되었다고 봐도 무방할 듯 싶다. 그 이전까지 카메라와 마이크(?), DMB리시버 정도 탑재된 것이 전부라고나 할까?

“아니다! 이것도 우리가 먼저 만들었다!”라고 증거를 제시하더라도 부착한 그 센서가 사용자에게 얼마나 다양한 서비스를 제공했는지 이어서 설명할 수 없다면, 그냥 넣어두시길…

소니sony의 바이오vaio 노트북에는 가속센서가 내장되어 있었다. 노트북 동작 중에 추락을 감지, 하드디스크의 헤더를 안전하게 파킹parking 시키는 것이 목적이었다.

  • 사용자의 위치를 수신하기 위한 GPS
  • GPS센서를 돕는 나침반 센서
  • 휴대전화의 기울기를 측정하기 위한 자이로 센서
  • 여러 애플리케이션SW들의 서비스를 지원하기 위한 가속도 센서
  • 통화와 사용을 구분하기 위한 근접 센서
  • 주위의 밝기에 따라 화면의 밝기를 조절하는 빛 감지 센서

애플리케이션SW(이하 앱)들은 사용자의 간단한 승인만으로 그 센서들을 자유롭게 이용할 수 있고, 네비게이션앱, 지도앱, 게임앱, 증강현실앱, 스포츠앱 등의 제작을 통해 사용자에게 엄청난 즐거움과 편리함을 제공하고 있다.

mn_EB150356_640

위에 제시된 예시는 음료수 빨대와 붙이는 메모지, 셀로판 테이프와 스마트폰, 수평계앱으로 특수 제작된 고성능 과학 실험 장치이다. 어떤 과학실험을 할 수 있을지 맞춰보시길.

[힌트] 각도기와 실, 그림자막대, 지표면판, 나침반, 지구의가 없어도 스마트폰에 내장된 자이로 센서와 수평계앱을 이용해 기울기를 측정할 수 있고, 나침반 센서와 나침반앱을 이용해 동-서-남-북의 방위를, GPS와 지도앱을 이용해 지구상의 위치를 알 수 있다는 사실.

가속도 센서를 이용하면, 긴 실을 매달아 진자 운동을 일으키고 가속도의 변화를 구할 수도 있고, 정지하는 물체의 가속도, (스마트폰의 생명에 지장이 없는 한도에서) 낙하하는 물체의 가속도도 측정할 수 있다. 밝기 센서를 이용해 원하는 장소의 밝기를 측정하거나, 마이크를 이용해 소음도를 측정하는 것도 가능하다.

나침반 센서로 자기장의 방향을 측정할 수 있을까? 라는 의문을 해결하기 위해 자석을 가져다 대 보았지만, 제대로 동작하지 않았고 나침반 간섭 오류가 발생했다. 자기장의 방향까지는 곤란할지도…

모바일 디바이스에 내장된 훌륭하고 정교한 각종 센서들을 응용하여 교육활동에 적용할 수 있는 방법을 제시해 보았다.

 

맥노턴.