해킹이 단순한 ‘개인의 일탈’에서 ‘산업’으로 넘어온 이후, 그 표적은 우리 모두가 된 것이나 마찬가지이기 때문입니다.
사람 가리지 않는 해킹
작년, 미국의 인터넷 보안 기업인 너스(Norse)에서는 실시간 사이버 공격이 어떻게 이뤄지고 있는지를 볼 수 있는 인터랙티브 지도, 어택맵을 공개했습니다. 이 지도에서 볼 수 있듯, 사이버 공격은 이제 특정 소수의 전유물이 아닙니다. 해킹 도구를 소수가 제작하던 시절이 지나고, 툴 킷 형태로 공급이 시작된 이후, 지난 10년간 사이버 공격과 해킹은 엄청나게 급증해 왔습니다.
스마트폰에 대한 공격 역시 부쩍 증가하고 있는 추세입니다. PC로 인터넷을 이용하는 사용자와 모바일로 인터넷을 이용하는 이용자가 크로스-가 된 시점이 2011년이니, 어찌보면 당연한 일이죠. 어떻게 해킹을 하냐구요? 간단합니다. 형식적으로 따지면 PC 해킹과 비슷해요. 그러니까 … 악성 코드를 설치하는 겁니다.
물론 해킹을 하는 입장에선 다릅니다. 좀 더 복잡하죠. 간단히 말하자면 일종의 가짜 네트워크를 만들고, 그 네트워크를 이용해 해킹을 해야 합니다. 해커 자신들이 들켜서는 안되니까요. 보안 프로그램도 복잡해 지고 있고… 사실 해킹이 산업화가 되고 있는 것도 이런 이유입니다. 하나의 강력한 프로그램도 필요하지만, 그 프로그램을 지속적으로 관리하고 업데이트 하는 사람도 반드시 필요하거든요.
실제로 해킹 프로그램을 정부에 공식적으로 제공하는 회사가 해킹팀만 있는 것도 아닙니다. 예전에 위키리크스에선 핀피셔라는 해킹 프로그램이 있다는 사실을 이미 폭로한 바 있습니다. 이런 공식 해킹툴은 세계 각국에서 시민 사회를 억압하거나 반체제 인사나 언론을 추적 감시하는데 이용되는 경우가 많기 때문에, 역으로 사회단체에서도 감시를 받고 있는데요. 그 밖에도 드러나진 않았지만 각국에서 개발된 여러 종류의 프로그램이 존재하는 것으로 알려져 있습니다.
…물론 한국처럼 아예 대놓고 패킷 감청을 하는 시도도 함께 이뤄지고 있긴 합니다만- 아무튼.
이렇게 악성 코드를 심어서 요구하는 것은 돈 아니면 정보입니다. 둘 중 하나를 노리거나, 둘 다를 노리거나. 예를 들어 스마트폰 피싱 사기 같은 것은 전형적으로 돈을 요구하는 케이스입니다. 사실 해킹 프로그램 설치에 성공했다면 할 수 있는 것은 엄청나게 많죠. 랜섬웨어처럼 파일을 암호화해서 돈을 요구할 수도 있고, 상대방의 통화, 이미지, 텍스트 정보를 빼내는 것도 가능하고, 아예 특정 파일을 심는 것도 가능해 집니다. … 이건 스마트폰 해킹만 특별히 그렇게 되는 것도 아니고, 원래 해킹 프로그램에 그런 기능들은 다 있었습니다.
스마트폰 해킹을 막는 방법
그럼 이런 스마트폰 해킹을 막으려면 어찌해야 할까요?
먼저 솔직하게 이야기하겠습니다. 악성 코드 감염을 100% 막을 수 있는 그런 방법은 없습니다. 사실 최근 알려진 악성코드에 대한 내용중에는 ‘정부 레벨에서 제작한 것으로 보이는 고급 코드’가 발견되고 있다는 보고들이 있어서, 조금 긴장되기도 하는에요.
다만 감염될 가능성을 낮춰주는 방법은 존재합니다.
가장 중요한 원칙은 “암호를 설정하고, 의심스러운 것은 절대 설치하지 않는다”입니다. 위에서 스마트폰 해킹은 악성 코드 감염으로 시작된다-라고 말했잖아요? 이렇듯 스마트폰 해킹을 막는 가장 좋은 방법도 바로 악성 코드 감염을 차단하는 일입니다. … 시스템 헛점이 뚫리면 이마저도 소용없긴 합니다만.
아무튼 의심스러운 출처에서 온 링크나 첨부파일은 절대 클릭하지 않는 것이 최선입니다. 심지어 아는 사람에게 온 확실한 내용이라고 해도 의심해 보시는 것이 좋습니다. 요즘 해킹은 ‘기술’의 문제이기도 하지만, 소셜 엔지니어링이라고 해서 ‘사람의 마음을 속이는’ 일이기도 합니다.
그 다음 아이폰/블랙베리를 쓰거나…-_-; 안드로이드 스마트폰의 경우 가급적 항상 최신 상태로 업데이트 하시는 것이 좋습니다. 아니면 아예 2G 폰이나 타이젠폰 같은 별로 안쓰이는 OS의 폰을 쓰는 방법도 있겠죠. 다른 이유 없습니다. 많은 보안 헛점들을 최신 업데이트에서 고쳐주기 때문입니다. 하지만 안드로이드 폰은 항상 업데이트가 느리죠…
모바일 백신을 추천할 수 밖에 없는 이유가 거기에 있습니다. 개인적으로 추천하는 것은 AVAST지만, 이건 또 유료로 쓰지 않으면 불편해서… 그리고 공공 와이파이 사용시 중요 정보를 절대 확인하지 않거나, VPN을 이용할 것을 권하기도 합니다. 의외로 많은 해킹이 공공 와이파이를 이용해서 이뤄집니다. 이건 예전에 PC방에서 네이트온 아이디와 패스워드가 많이 해킹 당했던 거랑 똑같은 이유랍니다.
* PC 사용자의 경우 엠네스티 인터네셔널에서 제공하는 디텍트 2.0을 사용해서 검사해보시면, 해킹팀의 해킹툴을 잡을 수 있다고 합니다. 이미 우회하는 버전을 내놨을지도 모르지만요.
혹시라도 있을지 모를 기기 분실등에 대비해서, 안드로이드 스마트폰에서 기본적으로 제공되는 기가 관리자등의 기능을 꼭 사용 상태로 설정해 주시는 것 역시 강력하게 권합니다(솔직히 안보이는 스마트폰 찾을때 더 많이 도움이 되긴 합니다.). 기왕이면 루팅하지 않고 사용하실 것을 권하지만… 또 루팅하시는 분들은 이런 부분을 각오하고 하시는 분들이라, 더 드릴 말은 없습니다.
그래도 못믿겠다- 싶은 분들을 위해선 이런 하드웨어도 나와있습니다.
지난 2014년, 미국 국가 안보국(NSA)이 독일 총리 및 주요 정치인들을 도청했던 사실을 들키고 난 다음, 독일 정부에서는 보안을 강화한 특수 스마트폰을 대량으로 주문했습니다. 그 스마트폰이 바로 블랙베리에서 독일의 시큐스마트사를 인수한 다음 만든 보안용 폰인데요. 일반인에게 판매되는 가격은 대당 약 300만원에 달하는 고가의 제품입니다.
세상에서 가장 안전한 스마트폰이라고 자처하는, 블랙폰2라는 제품도 있습니다. 사실 안드로이드 OS를 개조한 다음 보안 소프트웨어를 얹은 제품인데요. 중요한 파일은 암호화해서 별도의 공간에 보관할 수도 있고, 메세지나 주소록, 전화 통화등을 암호화해서 할 수 있도록 해준다고 합니다. … 이미 블랙베리 CEO가 우리 폰이 더 안전해!라고 디스를 하긴 했습니다만.
어찌되었건 이미 세상은 이렇게 변했습니다. 모바일 백신만 한번 돌려봐도 애드웨어 앱이라고 잡히는 앱들의 숫자도 늘었고, 악성코드 운영자(?)들은 좀비 PC 처럼 쓰기 위해서라도 우리 스마트폰을 감염시키고 싶어합니다. 그에 비해 보안, 특히 안드로이드 스마트폰쪽 보안은 상당히 약하다고 해도 과언이 아니구요. 가장 좋은 것은 보안 인프라가 변하는 것이지만, 시스템이 변하기 전까진 우리 자신을 스스로 지키는 수 밖에 없겠죠.
….사실 스마트폰 잠금화면도 귀찮아서 안하는 사람들이 많은 세상에서, 보안 문제는 항상 불편함을 감수해야 하기에 꼭 해야한다 말아야 한다 말하기가 조금 어려운 점은 있습니다. 어쨌든 자기 선택이고, 자기가 책임을 지면 되니까요. 하지만 전 작년에 개인정보 유출(링크)을 한번 당해보니, 세상에 믿을 놈은 없다…-_-라는 생각을 갖게 되었습니다. 저 같은 피해를 원치 않으시는 분들에게는, 정말 정말 스마트폰 보안에 신경쓰시기를 권해 드립니다.
최소한 절대, 아무 링크나 누르지 않는 습관만 들이셔도… 많이 막을 수 있을 겁니다.