당신의 스마트폰이 당신을 도청·촬영한다

 

이날 안씨가 소속된 서울의 한 보안업체에서 시연된 스마트폰 도청은 스마트폰 사용자 누구나 피해자가 될 수 있다는 것을 보여줬다. 

 

안씨는 구글의 운영체제(OS)인 안드로이드 기반의 스마트폰을 대상으로 시연했다. 시장조사기관인 IDC에 따르면 2012년 3분기 전세계 스마트폰의 75%는 안드로이드 기반이다. 안드로이드는 개방형 플랫폼이기 때문에 애플의 iOS보다 해킹에 더 취약한 편이다.

 

해커는 우선 안씨의 시연 스마트폰(이하 A폰)으로  URL이 포함된 문자메시지를 보냈다. 안씨가 문자메시지를 확인하고 URL을 누르자 자동으로 바운스볼(Bounce Ball)이라는 게임 애플리케이션(이하 앱)이 A폰에 다운로드됐다.

 

정식 앱 장터를 통하지 않고 다운로드된 이 앱은 해커에 의해 위·변조 된 게임 앱이다. 원조 바운스볼(Bouncy Ball)은 1월 첫 째주 기준 애플 앱스토어와 구글 플레이스토어의 무료 게임 카테고리에서 10위 안에 오른 게임이다. 

 

안씨는 이 위·변조된 앱을 통해 바운스볼 게임을 즐겼다. 하지만 해커가 앱에 숨겨놓은 악성코드는 게임 외에 또다른 작업을 수행하고 있었다. 바로 녹음 기능을 이용한 도청이다.

 

문자메시지로 해킹 스마트폰 제어… 사용자 인지 못해

 

해커는 문자메시지를 통해 A폰을 제어했다. 해커가 자신의 휴대전화(B폰)에서 A폰으로 녹음을 시작하라는 명령(문자메시지)를 보냈다. 곧 B폰에는 문자메시지 발송 완료라는 창이 떴지만, A폰에는 아무런 반응이 없었다. 대신 A폰은 사용자 몰래 녹음을 시작했다. 

 

이어 안씨가 녹음을 멈추라는 명령(문자메시지)를 보냈다. 녹음을 멈춘 A폰은 녹음 파일을 해커의 컴퓨터로 전달했고, A폰의 파일은 자동 삭제됐다. 

 

도청은 스마트폰 사용자가 전혀 인지하지 못한 채 가능했다. 해커는 위·변조한 바운스볼 앱에 문자메시지를 탈취(hijacking)하는 기능을 넣어, A폰에는 아무런 문자메시지가 수신되지 않았다. 또한 A폰에는 '녹음 중'이라는 표시가 나타나지 않았고, 기존의 녹음 앱도 정상 작동했다. 

 

안씨는 "최신 스마트폰에는 '시리'와 같은 음성인식 기능이 담겨있다"며 "특정 단어가 들리면 자동으로 녹음을 시작하고 파일을 전송하게 하는 해킹 앱도 만들 수 있다"고 설명했다. 

 

앱 다운로드시 권한 표시… "권한이 과도하면 의심해야"

 

만약 해커가 위·변조 앱에 사진·영상 찰영 기능까지 추가한다면 카메라를 이용한 사찰, 스토킹도 가능하다. 안씨는 "3G 통신망 때는 용량이 작은 음성 파일이 적합했지만, LTE 시대가 오면서 영상 파일 전송도 더욱 쉬워졌다"고 설명했다. 

 

안씨는 해킹을 방지하기 위해선 앱을 다운로드할 때 권한 설정을 유의 깊게 살펴봐야 한다고 당부했다. 애플, 구글의 규정상 앱을 다운로드하기 전에 앱의 권한이 표시된다. 이때 앱의 기능과 어긋난 권한이 과도한 경우 의심을 해야 한다. 안씨는 "예를 들어 단순한 게임 앱인데 카메라, 위치설정 등 제어할 수 있는 권한을 가지고 있다면 앱 개발사에 문의를 하는 등 확인을 해야 한다"고 설명했다. 

 

실제 위·변조된 바운스볼 앱에는 문자메시지, 위치, 연락처, 메모리, 오디오 등을 수행할 수 있는 권한이 부여되어 있었다. 그러나 원조 바운스볼 앱에는 인터넷에 접속할 수 있는 권한 하나만 있다. 

 

이와 같이 과도한 권한을 가진 앱은 현재 정식 앱 장터에서도 흔하게 유통되고 있다. 예를 들어 '네이버 앱스토어', '우리은행' 앱은 사진영상 촬영과 녹음 기능에 접근할 수 있는 권한이 있다. 안씨는 "개발사가 앱에 관련 기능을 넣어두지 않더라도 권한 자체를 열어두는 경우는 있다"며 "앱 개발사들도 목적에 맞는 권한만 넣은 앱을 만들어야 오해를 줄일 수 있다"고 조언했다.