#‘피자 무료 쿠폰이 도착했습니다. 자세한 내용은 아래 주소를 클릭하세요’. 대학생 김모씨(23)는 피자를 공짜로 준다는 말에 문자메시지(SMS)에 적힌 사이트 주소를 클릭했다. 그러자 스마트폰에 악성 프로그램이 자동 설치됐고, 다음 달 요금 고지서에는 소액결제 금액 30만원이 청구되어 있었다.
스마트폰을 이용한 개인정보 유출이 급증하고 있다. 스마트폰 이용자 3000만명 시대에 접어들면서 손안의 작은 기기는 일상에서 빼놓을 수 없는 필수품이 됐다. 이용자들은 개인정보를 저장하고 쇼핑이나 모바일뱅킹을 하는 등 스마트폰 하나로 자신의 사생활을 관리한다.
이는 역설적으로 스마트폰 하나면 다른 사람의 모든 정보를 훔쳐 낼 수 있다는 뜻이다. 이를 노린 범죄는 기하급수적으로 늘고 있다. 방법은 간단하다. 문자 메시지나 스마트폰 애플리케이션을 통해 단 한 번의 클릭 만 유도하면 된다.
◇문자 하나로 수천 만원 피해= 스마트폰 해킹 범죄는 크게 두 가지 수법이 있다. ‘스미싱(Smishing)’과 ‘파밍(Pharming)’이다.
스미싱은 문자메시지(SMS)와 피싱(phishing)의 합성어로 소액결제를 유도하는 사기수법이다. 문자메시지를 통해 상품권이나 무료 쿠폰 등을 지급해 이용자 본인만 받아볼 수 있는 소액결제용 승인번호를 알아내거나 소액결제 승인 문자로 통화를 유도해 이용자도 모르는 사이 결제를 시키는 방식이다. 범죄자들은 사기 문자를 보내기 전 미리 사용자의 주민등록번호, 휴대폰 번호, 이동통신회사 등을 파악한 뒤 해킹을 시도하는 것으로 알려졌다.
특히 스미싱 사기 수법은 날이 갈수록 진화하고 있다. 처음에는 주로 피자, 커피 등의 무료 쿠폰을 준다는 문자메시지를 보내 이를 클릭하면 이용자 모르게 소액결제가 가능한 악성코드를 휴대폰에 설치하는 방식이 대다수를 이뤘다. 하지만 최근에는 연말정산 시즌이라는 점을 악용해 ‘연말정산 환급금 조회하세요’라는 문자메시지를 통해 유도하기도 한다.
또 다른 스마트폰 해킹 수법은 파밍이다. 파밍은 본래 이용자의 컴퓨터에 악성코드를 감염시켜 가짜 사이트로 접속을 유도해 개인정보를 빼가는 방식으로 최근에는 범위를 스마트폰까지 확대했다. ‘크래킹앱(악성코드가 내장된 가짜 앱)’으로 이용자를 유인한 다음 각종 개인정보를 입력하게 만든 뒤 개인정보를 빼간다.
최근에는 게임을 다운로드받았다가 은행계좌에서 2000여만원이 인출된 피해사례도 나왔다. 무심코 내려받은 게임 앱이 화근이었다. 해당 앱은 크래킹앱으로 범죄자들은 이 앱을 통해 피해자의 스마트폰에서 주민등록증 사진, 은행 보안카드 등을 빼내 공인인증서를 발급받고 피해자의 계좌를 털어갔다. 또 최근에는 보육료와 양육수당 지원을 신청받는 ‘복지로’를 사칭하는 크래킹앱이 나오는 등 파밍 수법은 점차 지능적으로 변하고 있다.
◇“당신이 어젯밤 무엇을 했는지 알고 있다”= 스마트폰 앱은 유용하지만 사생활을 감시당하는 도구로 악용될 수 있다.
최근 급속히 확산되고 있는‘스파이 앱’이 대표적이다. 이 앱이 스마트폰에 설치되면 이용자의 일거수 일투족을 감시할 수 있다.
스파이앱이 깔리면 이용자의 전화, 문자메시지의 수신 내역과 발신 내역, 사진, 메모 등이 모두 해커의 이메일로 발송된다. 해커가 이용자의 문자메시지를 중간에서 가로채거나 삭제할 수도 있다. 심지어 도청도 가능하다. 이용자가 GPS나 녹음 기능을 차단해 놓는다고 해도 해커는 손쉽게 이를 재설정할 수 있다. 또한 스마트폰으로 조작하는 가전제품을 해킹해 원격으로 제어하는 것도 가능하다.
또한 스파이 앱이 아니더라도 해커들은 정상적인 앱을 해킹하는 방식으로 스마트폰 이용자의 개인정보를 빼내가기도 한다. 최근에는 세계 5000만명이 이용하는 인기 메모 앱인 에버노트(Evernote)가 해킹 당했다. 에버노트는 자사 네트워크에서 의심스러운 활동을 발견해 차단했으며 예방차원에서 이용자들에게 비밀번호를 변경하라고 권고했다.
◇스마트폰 해킹… 예방 방법은?= 갈수록 진화하고 있는 스마트폰 해킹에 대응할 수 있는 최선의 방법은 이용자의 세심한 주의 뿐이다.
이용자는 출처가 불분명한 동영상이나 이메일은 악성코드 감염의 우려가 있음으로 다운로드를 자제해야 한다. 또한 인증된 사이트를 통해 내려받고 무료 제공 등 유리한 조건으로 다운로드할 수 있는 앱은 내려받기 전 꼼꼼하게 살펴봐야 한다. 앱의 평판도를 살펴보고 과도하게 개인정보를 수집하는 기능이 있는지를 확인해야 한다.
또한 피해 예방차원에서 백신 프로그램을 설치하고 수시로 검사를 하는 방법도 필요하다. 가능하다면 소액결제 한도액을 줄이는 것도 좋다.
스마트폰 해킹을 차단하는 기술도 활용하는 방법도 있다. 최근 앱 개발사들은 스미싱과 파밍 사기를 해결하기 위해 악성코드가 의심되는 앱이 설치되려고 하면 이를 차단하는 기술을 선보이고 있다. 이 앱은 불필요한 사용자의 개인정보 사용권한을 요구하는 앱은 설치나 실행을 차단하고 사용자에게 해당 정보를 알려주는 방식이다. 또한 경찰에서도 파밍 방지 프로그램인 ‘파밍캅(Pharming Cop)’을 무료로 배포하고 있다.
보안업계 한 관계자는 “스마트폰 해킹을 막기 위한 앱들이 많이 나오고 있고 이를 방지하기 위한 감시도 강화되고 있지만 이용자의 주의가 가장 필요하다”며 “사기로 추정되는 문자는 열어보지 않는다든지 앱을 다운받을 때 꼼꼼하게 살펴보는 등의 주의를 기울여야 피해를 최소화할 수 있다”고 말했다.