국내 스마트폰 사용자가 급증하면서 보안에 대한 우려도 높아지고 있다. 그러나 대부분 스마트폰 사용자들이 ‘나는 예외’라고 대수롭지 않게 생각하는 경향이다.
한 외국계 기업에서 근무하는 조진호㉘씨도 마찬가지였다. 날마다 보도되는 해킹사고도 남의 일인 줄로만 알았다. 그러나 무심코 설치한 애플리케이션(이하 앱) 하나 때문에 악성코드 감염 피해를 입게 됐다.
최근 많은 직장인들이 이용하고 있는 스마트폰 뱅킹 앱을 이용한 조진호씨. 스마트폰 뱅킹앱을 실행해 거래를 진행하기 위해 계정에 로그인을 했다. 그리고 로그인 프로세스를 완료하기 위해 모바일 기기에 인증이나 보안 컴포넌트를 다운로드 받으라는 권유를 받았다.
보안 때문이라는 메시지에 다운로드를 선택한 조진호씨. 무사히 거래를 끝냈고 그 이후에도 몇 번이나 뱅킹 서비스를 이용했다.
그러던 어느 날 갑자기 모 사이트에 가입했다는 확인 문자를 수신하게 됐다. 스팸메시지라고 무시하려 했지만 몇 차례 사이트 가입 확인 문자가 발송되자 이를 수상하게 여겨 알아보던 중, 온라인 뱅킹 시스템을 겨냥한 트로이목마형 악성코드인 ‘제우스’에 스마트폰이 감염된 사실을 알았다.
■스마트폰 뱅킹 변종 악성코드 '제우스' 활개
9일 관련업계에 따르면, 다양한 모바일 기기들의 등장으로 이를 업무에 활용하는 기업들은 모바일 보안에 신경을 쓰고 있지만 개인 사용자들은 무방비 상태로 노출돼 있다. 아직까지 개인 사용자를 대상으로 한 모바일 보안위협이 일반 사용자들이 체감할 만한 수준이 아니기 때문에 그만큼 의식하지 못하고 있다는 것이다.
그러나 최근 모바일을 통해 은행거래를 이용하는 스마트폰 사용자들이 늘어나면서 모바일화된 제우스 변종등장으로 실질적인 피해가 나타나기 시작했다. 제우스는 사용자 키 입력 값을 탈취해 저장하는 ‘키로거’ 기능이 있어 앱에 접속해 로그인 정보를 입력하면 정보를 훔쳐 내 이를 악용하는 원리를 이용하고 있다.
현재 스마트폰 뱅킹 제공하는 많은 금융권에서 보안을 강화해 제공하고 있지만, 사용자가 다운로드 받은 앱이 합법적인 앱으로 위장한 경우 속수무책 당할 수 밖에 없다. 이 때문에 사용자들이 앱을 다운로드 받을 때 특히 주의해야한다고 전문가들은 당부했다.
■현금피해 사례도 나와
최근 해외에서는 실제로 현금피해를 입히는 악성앱도 등장했다. 악성앱은 유명한 온라인 게임의 보너스 앱이나 온라인 보안 도구 앱으로 위장해 사용자가 내려 받도록 유도했다. 그런 다음 1분에 1통씩 결제 문자 메시지를 발송해 실제 결제가 이뤄지도록 해 피해를 입은 방식을 이용했다.
그러나 더욱 큰 문제점은 당장은 사용자들이 피해사실을 알지 못한다는 점이다. 계좌에서 돈이 빠져나간지도 모르고 있다가 뒤늦게 요금 청구서를 통해서야 알 수 있다.
한 스마트폰 이용자는 “모바일이 전 생활 영역에 활용되기 시작했지만, 실질적으로 보안에 대한 의식없이 사용하는 것이 사실이다”면서 “피해를 당하고 나서야 악성코드가 있는 건 아닐까 의심해보고 보안조치를 취하지만 피해를 입기 전에 사용자가 알 수 있는 대응책이 있어야 할 것 같다”고 말했다.
이 밖에도 스마트폰에서는 합법적인 앱광고가 위장한 앱이나 보안을 위한 것으로 속이는 앱 등 다양한 신종 수법이 등장하고 있는 추세다.
관련기사
- iOS 보안 결함..."애플도 안전지대 아냐"2011.11.09
- 안드로이드 '모바일 보안위협' 증가2011.11.09
- 내 스마트폰 안전 지키는 보안 10계명2011.11.09
- 안드로이드 보안결함…"단기간 개선 어려워"2011.11.09
실제로 많은 사용자들은 주변이나 자신이 피해를 입기 전에 피해정도를 체감하기는 어렵다. 보안 전문가들은 사용자들이 모바일을 이용할 때 보안의식을 가지고 이용하도록 지속적인 보안 의식교육이 필요하다고 입을 모은다.
이미 올해 초 열린 RSA보안 컨퍼런스에서 웹루트 제품 마케팅담당 패트릭 케네디 수석책임자는 “스마트폰 사용자들은 곧 커다란 보안위협을 경험하게 될 것”이라면서 “스마트폰 악성코드는 아직 초기단계지만 어떤 보안위협이 발생할지 아무도 예측할 수 없어 앱을 설치하기 전에 사용자들이 꼼꼼히 확인해 주의할 수 밖에 없다”고 조언한 바 있다.