기사에서 도청 애플리케이션(앱)으로 소개된 '바운스볼' 게임은 해커가 무단으로 위변조한 앱입니다. 구글 플레이 등 정식 앱 마켓에 올라간 라온 게임즈의 원조 '바운스볼' 앱은 도청 위험이 없습니다.

"스마트폰 해킹은 모방 범죄 때문에 시연을 잘 하지 않는 편입니다"

모바일 보안 전문가인 안성수씨(가명)는 스마트폰 해킹 시연에 앞서 이런 말을 건넸다. 스마트폰 해킹이 쉽기 때문에 보안전문가들은 오히려 시연을 자제한다는 것이다. 
 
이날 안씨가 소속된 서울의 한 보안업체에서 시연된 스마트폰 도청은 스마트폰 사용자 누구나 피해자가 될 수 있다는 것을 보여줬다. 
 
안씨는 구글의 운영체제(OS)인 안드로이드 기반의 스마트폰을 대상으로 시연했다. 시장조사기관인 IDC에 따르면 2012년 3분기 전세계 스마트폰의 75%는 안드로이드 기반이다. 안드로이드는 개방형 플랫폼이기 때문에 애플의 iOS보다 해킹에 더 취약한 편이다.
 
   
▲ 위·변조된 '바운스볼' 앱의 첫 화면. 원조 앱과 똑같은 게임 기능을 제공한다.
 
해커는 우선 안씨의 시연 스마트폰(이하 A폰)으로  URL이 포함된 문자메시지를 보냈다. 안씨가 문자메시지를 확인하고 URL을 누르자 자동으로 바운스볼(Bounce Ball)이라는 게임 애플리케이션(이하 앱)이 A폰에 다운로드됐다.
 
정식 앱 장터를 통하지 않고 다운로드된 이 앱은 해커에 의해 위·변조 된 게임 앱이다. 원조 바운스볼(Bouncy Ball)은 1월 첫 째주 기준 애플 앱스토어와 구글 플레이스토어의 무료 게임 카테고리에서 10위 안에 오른 게임이다. 
 
안씨는 이 위·변조된 앱을 통해 바운스볼 게임을 즐겼다. 하지만 해커가 앱에 숨겨놓은 악성코드는 게임 외에 또다른 작업을 수행하고 있었다. 바로 녹음 기능을 이용한 도청이다.
 
문자메시지로 해킹 스마트폰 제어… 사용자 인지 못해
 
해커는 문자메시지를 통해 A폰을 제어했다. 해커가 자신의 휴대전화(B폰)에서 A폰으로 녹음을 시작하라는 명령(문자메시지)를 보냈다. 곧 B폰에는 문자메시지 발송 완료라는 창이 떴지만, A폰에는 아무런 반응이 없었다. 대신 A폰은 사용자 몰래 녹음을 시작했다. 
 
이어 안씨가 녹음을 멈추라는 명령(문자메시지)를 보냈다. 녹음을 멈춘 A폰은 녹음 파일을 해커의 컴퓨터로 전달했고, A폰의 파일은 자동 삭제됐다. 
 
도청은 스마트폰 사용자가 전혀 인지하지 못한 채 가능했다. 해커는 위·변조한 바운스볼 앱에 문자메시지를 탈취(hijacking)하는 기능을 넣어, A폰에는 아무런 문자메시지가 수신되지 않았다. 또한 A폰에는 '녹음 중'이라는 표시가 나타나지 않았고, 기존의 녹음 앱도 정상 작동했다. 
 
안씨는 "최신 스마트폰에는 '시리'와 같은 음성인식 기능이 담겨있다"며 "특정 단어가 들리면 자동으로 녹음을 시작하고 파일을 전송하게 하는 해킹 앱도 만들 수 있다"고 설명했다. 
 
   
▲ 위·변조된 '바운스볼'(왼쪽)과 원조 '바운스볼'(오른쪽) 앱의 권한. 해킹 바운스볼은 문자메시지, 위치, 연락처, 오디오 등에 대한 접근 권한을 부여한다.
 
앱 다운로드시 권한 표시… "권한이 과도하면 의심해야"
 
만약 해커가 위·변조 앱에 사진·영상 찰영 기능까지 추가한다면 카메라를 이용한 사찰, 스토킹도 가능하다. 안씨는 "3G 통신망 때는 용량이 작은 음성 파일이 적합했지만, LTE 시대가 오면서 영상 파일 전송도 더욱 쉬워졌다"고 설명했다. 
 
안씨는 해킹을 방지하기 위해선 앱을 다운로드할 때 권한 설정을 유의 깊게 살펴봐야 한다고 당부했다. 애플, 구글의 규정상 앱을 다운로드하기 전에 앱의 권한이 표시된다. 이때 앱의 기능과 어긋난 권한이 과도한 경우 의심을 해야 한다. 안씨는 "예를 들어 단순한 게임 앱인데 카메라, 위치설정 등 제어할 수 있는 권한을 가지고 있다면 앱 개발사에 문의를 하는 등 확인을 해야 한다"고 설명했다. 
 
실제 위·변조된 바운스볼 앱에는 문자메시지, 위치, 연락처, 메모리, 오디오 등을 수행할 수 있는 권한이 부여되어 있었다. 그러나 원조 바운스볼 앱에는 인터넷에 접속할 수 있는 권한 하나만 있다. 
 
이와 같이 과도한 권한을 가진 앱은 현재 정식 앱 장터에서도 흔하게 유통되고 있다. 예를 들어 '네이버 앱스토어', '우리은행' 앱은 사진영상 촬영과 녹음 기능에 접근할 수 있는 권한이 있다. 안씨는 "개발사가 앱에 관련 기능을 넣어두지 않더라도 권한 자체를 열어두는 경우는 있다"며 "앱 개발사들도 목적에 맞는 권한만 넣은 앱을 만들어야 오해를 줄일 수 있다"고 조언했다. 
 
   
▲ '네이버 앱 스토어', '우리은행' 앱은 카메라와 녹음기능에 접근할 수 있는 권한을 가지고 있다.
 
개인이 할 수 있는 해킹 방지 대책은?
 
해킹을 막기 위해서는 스마트폰 사용자의 각별한 주의가 필요하다. 특히 앞으로 늘어날 것으로 예상되는 금융사기는 보상을 받을 수 없기 때문에 자체적인 보안 대책을 숙지해야 한다. 
 
첫째, 탈옥이나 루팅을 자제한다. 탈옥이란 아이폰의 시스템 잠금장치를 해제하는 것이며, 루팅은 안드로이드 휴대전화의 운영체제를 해제해 관리자 권한을 얻는 것을 말한다. 유료앱을 무료로 다운로드하는 등 탈옥·루팅을 통해 사용자 맞춤형 스마트폰을 만들 수 있지만 일반적으로 해킹에 취약해진다. 다만 전문가라면 탈옥·루팅으로 보안을 강화할 수도 있다. 
 
둘째, 정식 앱 장터를 통해서만 앱을 다운로드한다. 애플과 구글은 앱 장터를 꾸준히 모니터링해서 위·변조된 앱을 추려내고 있다. 정식 앱 장터에도 간혹 악성 앱이 올라오기는 하지만 현재로선 가장 안전한 경로다. 
 
셋째, 백신 앱을 사용한다. 앱 장터에는 V3, 네이버 백신, 알약 등 보안업체에서 무료로 제공하는 백신 앱이 있다. 백신 앱을 내려받아 '실시간 감시' 모드를 켜두는 것만으로도 해킹 위협을 상당히 줄일 수 있다. 
 
넷째, 의심이 가는 URL은 누르지 않는다. 안드로이드 기반 스마트폰의 경우 앱 장터가 아닌 웹을 통한 앱 다운로드가 가능하다. 최근에는 할인 쿠폰을 다운로드 하라는 문자메시지를 눌렀다가 악성 앱을 내려받아 20여만 원이 자동 결제되는 금융사기가 발생했다. 
 
방송통신위원회, 한국인터넷진흥원 등은 '스마트폰 이용자 10대 안전 수칙'을 제시하고 있다.

 

저작권자 © 미디어오늘 무단전재 및 재배포 금지