백신 설치, 앱 권한 확인 등 스스로 주의해야
(시사오늘, 시사ON, 시사온=박시형 기자)
스마트폰으로 할 수 있는 일이 무궁무진해졌다. 사진이나 금융거래는 기본이고, 일정이나 메모, 본인인증처럼 지극히 개인적인 정보도 모두 스마트폰으로 들어갔다. 덕분에 스마트폰은 가장 중요한 도구로 인정받고 있다. 파손되거나 잃어버리면 생활에 심각한 타격을 받는다. 특히 해킹이라도 당하면 개인정보 유출은 물론이고 2차 피해까지 입을 수 있다.
해킹 위험에 노출된 스마트폰
백신업체 안랩은 최근 ‘어도비 플래시 플레이어’를 사칭한 ‘스마트폰 랜섬웨어’ 사례를 발견했다. 랜섬웨어는 컴퓨터에 저장된 문서나 그림 파일 등에 암호를 걸고 돈을 보내주면 풀어주는 신종 사이버 범죄다.
사용자가 스마트폰에 해당 앱을 설치하면 랜섬웨어에 감염되고, “100달러를 5일 안에 입금하라”는 문구가 담긴 감염화면으로 전환돼 조작이 불가능해진다. 스마트폰의 버전, 모델명, 사용국가 등의 정보는 공격자에게 자동 전송된다.
'명절 선물 반송'이나 '청첩장'을 사칭한 문자로 해킹을 시도하는 일은 이제 일상적인 일이 됐다.
이스트소프트에 따르면 올 상반기 ‘알약 안드로이드’를 통해 사용자가 신고한 스미싱 공격은 총 6만6380건이다. 스미싱 대부분이 스마트폰에 저장된 보안카드, 공인인증서 등 금융정보를 훔치는 악성코드를 담고 있었다. 특히 정상적인 금융 앱을 악성 앱으로 바꾸는 방식이 44%나 됐다.
이처럼 직접적인 해킹을 통해 스마트폰을 공격하기도 하지만 과도한 정보를 요구한 뒤 개인정보를 빼내 제3자에게 넘기는 경우도 있다.
앱에는 이 기능 없는데
과도한 접근 권한 요구
지난 2013년 미국 연방거래위원회(FTC)는 브라이티스트 플래시라이트 프리((Brightest Flashlight Free) 앱이 위치정보를 무단 수집해 제3자에게 유출했다고 발표했다. 제작사는 사용자가 이 앱을 켤 때마다 위치정보와 단말기 식별 정보를 수집해 광고 네트워크 등에 넘겨준 것이다.
국내에서도 일부 플래시 앱이 위치, 유심 정보, 개인 일정 등을 빼내 해외로 전송하는 명령어가 감춰져 있다는 논란이 일기도 했다.
그럼에도 기능을 뛰어넘은 권한을 요구하는 앱은 여전히 존재한다.
새정치민주연합 김기식 의원은 지난 7월 말 기준 구글플레이 인기 상위 30개 앱을 분석한 결과 평균 19.4개의 접근권한을 요구했다고 밝혔다.
권한을 가장 많이 요구한 중국 백신 앱 '360 Security'는 연락처 확인, 문자메시지 확인, 통화기록, 사진·동영상 촬영 등 44개나 됐다. 국내 스팸방지 앱 '후후' 역시 일정 수정 권한과 주소록, 위치, 문자, 통화기록, 저장파일, 사진 영상 촬영, 녹음 등 스마트폰 주요 기능에 접근할 수 있도록 했다.
뿐만 아니라 기업, 국민, 농협, 수협 등 금융 앱은 문자, 사진 인터넷 활동기록, 주소록, 통화기록 등 20여 개의 접근권한을 요구했다.
사진·동영상 촬영이나 위치 정보 등은 이들 앱 기능과 무관한데도 특별한 이유 없이 포함돼 있었다. 사용자가 이를 거부하면 앱 설치가 되지 않는다.
향후 안면 인식이나 지문, 홍채 등의 생체인증 기술이 본격 도입될 경우 제작사가 지금처럼 임의로 정보를 수집할 수 있다면 치명적인 문제가 나타날 수 있다.
보안은 아무도 챙겨주지 않는다
한국소비자원에 따르면 스마트폰 이용자의 70% 이상이 자신도 모르게 개인정보가 수집, 이용될 수 있다는 불안감을 가진 것으로 조사됐다. 범죄가 갈수록 고도화되고 있어 발견하기 어려워졌기 때문이다.
전문가들은 이용자 스스로가 먼저 주의를 기울일 필요가 있다고 말한다.
가장 중요한 것은 공식 스토어에 등록된 앱만 이용하는 것이다. 구글이나 애플, 그 외 스토어들은 심의를 통해 이상 작동 여부를 파악 후 판매를 승인한다. 과도한 정보 수집을 한다면 같은 기능의 다른 앱을 이용하는 것이 안전하다.
보안 항목에서 ‘알 수 없는 소스’의 설치는 허용하지 않도록 해 두고, 필요에 따라 '앱 운영' 기능으로 접근 권한을 제한하는 것이 좋다. 다만 필수 권한을 끄면 앱이 오작동할 수 있다.
그리고 가능한 모바일 백신을 설치해 악성코드의 유입을 사전에 차단하도록 해야 한다. 일부 이용자들의 경우 스마트폰에 앱을 설치한 뒤 사용하지 않고, 업데이트조차 하지 않는 경우가 있다. 이때 해당 앱 취약점을 파고들어 침투하는 경우가 있으니 아예 삭제하거나 업데이트하도록 한다.
또 스마트폰에는 최소한의 개인정보만 남겨둬야 한다. 찾기 불편하다는 이유로 은행용 보안카드나 신분증 등을 사진으로 찍어 보관하는 경우가 있는데 여차하면 유출로 이어져 2차, 3차 피해로 확대될 수 있다.
방송통신위원회는 ‘스마트폰 앱 개인정보 보호 가이드라인’을 내놓고 스마트폰 정보에 접근할 수 있는 권한의 범위를 서비스에 필요한 범위 내로 최소화하도록 했다.
통신사들은 스미싱 피해를 예방하기 위해 범죄사이트로 알려진 인터넷 주소에 접속하면 이를 차단하고 위험을 안내하고 있다. 일부 스마트폰 제조사는 내부에 보안영역을 만들어 접근이 허용된 애플리케이션만 설치되도록 했다.
최근 스마트폰 화면 대형화 추세에 주변에서 엿보는 사례가 많아지자 정면에서만 화면이 보이는 보안필름 판매량도 크게 늘고 있다.
SK텔레콤 관계자는 “최선의 방법은 본인 스스로가 늘 확인하는 것”이라며 “이상 징후가 발견될 때는 백신 검사를 하고, 무턱대고 인터넷 주소를 누르거나 스마트폰을 타인에게 넘겨주는 등의 행위는 하지 않는 것이 바람직하다”고 말했다.
또 다른 골칫거리 도난·분실
스마트폰을 쓸 때는 보안뿐만 아니라 도난·분실이나 파손에 대해서도 늘 신경을 써야 한다. 금전적인 피해와 축적된 정보를 모두 잃어버려 생활에 지장을 줄 수 있기 때문이다.
스마트폰 도난·분실 후 회수율은 5%대에 그치는 것으로 알려졌다. 사라진 95%는 주로 해외로 밀수출된다. 개인정보도 같이 넘겨지기 때문에 유출 문제도 심각하다.
이를 막기 위해 도입된 것이 킬 스위치(Kill Switch)다. 잃어버린 스마트폰을 원격으로 잠그거나 내부 파일들을 삭제하는 기능을 가지고 있다. 스마트폰을 득한 사람이 사용할 수 없도록 만들어버리는 것이다. 온라인 상태라면 위치추적도 가능하다.
실제로 지난 2월 주요 외신들은 뉴욕 검찰청 발표를 인용해 킬 스위치 도입 후 지난 1년간 스마트폰 도난 건수가 뉴욕 16%, 샌프란시스코 22%, 런던 40%씩 감소했다고 보도했다.
또 스마트폰에 축적된 정보를 클라우드 서비스나 PC 등에 늘 백업하는 습관을 들이는 것도 좋다. 스마트폰 특성상 백업만 잘해도 복원을 통해 큰 불편 없이 이용할 수 있다.
분실·파손 피해는 보험사에
일부 불합리한 측면 존재
분실·파손에 대한 금전적인 피해는 스마트폰 보험을 통해 보상받을 수 있다. 스마트폰 교체 시 보험에 가입해 두면 월 2000원대~5000원대의 이용료로 75~80%를 보상받을 수 있다.
가령 아이폰6(79만 원) 구매 후 보험에 가입했다면 완전히 부서져 쓸 수 없게 되더라도 15만8000원을 부담하고 새 단말기로 교체 받을 수 있다. 지난해 도입된 단말기유통구조개선법 때문에 단말기 가격이 급등하자 스마트폰 보험 가입자도 크게 늘었다.
다만 일부 단말기의 경우 단종 등으로 재고가 없어 다른 단말기로 받아야 하는 불합리한 측면도 생겨나고 있다.
한 통신사 직영점 관계자는 “스마트폰을 분실한 뒤 보험으로 보상을 받을 때 원래 쓰던 기종보다 낮은 사양을 받아 불만이 높다”며 “이 때문에 고객들에게 파손보험만 들라고 권유하기도 한다”고 말했다.
좌우명 : 필요하면 바로 움직여라.