세상은 좀 더 편리하고 좀 더 빠른 것을 선호합니다.
요즘 대세라는 스마트폰을 구입한 고인규씨.
혼자 있는 시간이면 어김없이 스마트폰이 들려있습니다.
신문 보는 대신 트위터를 하고 목소리 대신 문자로 통화합니다.
[네, 과장님. 지금 바로 올리겠습니다]
결재서류를 스마트폰으로 전송하고 관리비며 공납금 납입도 스마트폰이면 몇 초 안에 해결됩니다.
장소와 시간의 구애에서 벗어났지만 그는 지금 해커의 표적이 될 수 있습니다.
지난해 말, 검거된 조선족 해커일당은 국내 개인 PC에 바이러스를 퍼뜨린 뒤 2008년부터 지난해 상반기까지 국내 은행의 인터넷 뱅킹 계좌 3백여 개를 해킹해 4억5천만원의 돈을 빼냈습니다.
어떻게 인터넷을 이용해 다른 사람의 계좌에서 돈을 빼내는 범죄가 가능했던 것일까요?
[권용한/금융감독원 정보화 전략실 : "지금까지 발생한 사고를 보면 시스템 자체를 해킹한 것이 아니고 개인 PC나 스마트폰 자체를 해킹한 것이기 때문에 본인이 관리를 철저히 해야 합니다]
한양대학교 컴퓨터공학부 학생들과 얼마나 쉽게 개인 PC가 해킹 될 수 있는지 실험해 봤습니다.
한 명은 해커의 역할, 다른 학생들은 사용자 역할을 맡았습니다.
지금까지 발견된 해킹 방법 중 해킹용 액티브X를 통해 개인정보를 탈취하는 실험입니다.
[강성용/한양대학교 컴퓨터공학부 4학년 : 동영상이 재생이 안 된다고 엑티브X를 설치하라든가 음악이 재생이 안 된다고 설치하라는 경우가 많은데 악성코드만 담겨있으면 얼마든지 악성행위를 할 수 있습니다]
공격자는 악성코드가 심어져 있는 해킹용 액티브X를 특정 사이트에 추가시킵니다.
사용자가 사이트에 접속하자 그림이 뜨지 않는 것을 미끼로 액티브X를 설치하라는 표시가 뜹니다.
사용자들이 의심 없이 해킹용 액티브X를 다운받자, 안보이던 그림들이 뜹니다.
하지만 PC는 사용자 자신도 모르게 바이러스에 감염되고 말았습니다.
이제 공격자는 사용자 PC의 모든 내용을 가져올 수 있게 됐습니다.
사용자가 키보드로 입력했던 아이디, 비밀번호, 계좌번호, 암호가 모두 탈취되고 말았습니다.
[강성용/한양대학교 컴퓨터공학부 4학년 : 사용자 PC에 저장되어 있는 정보라면 모든 정보를 다 가져올 수 있어요. 가장 문제 될 수 있는 것이라면 공인인증서가 PC에 저장되어 있는 경우가 있는데 그런 것도 다 가져올 수 있고요]
백신으로 검사와 치료를 시도해 봤습니다.
그러나 PC검사에서는 액티브X를 통해 심어진 악성코드들이 걸리지 않습니다.
[강성용/한양대학교 컴퓨터공학부 4학년: 가급적 액티브엑스를 다운받지 않는 게 가장 좋은 방법이고 서명이 되어있지 않으면 굉장히 위험한 엑티브X니까 다운받지 말아야 하고 서명이 되어있다고 해도 그 회사나 기관이 공신력이 있는 기관인지 꼭 확인하고 다운받아야 합니다]
인터넷뱅킹 해킹 위험이 여전한 상황에서 금융기관들의 스마트폰 뱅킹 도입경쟁도 본격화됐습니다.
올해 하반기부터는 스마트폰으로 인터넷 뱅킹이나 소액결제가 가능해졌습니다.
한국은행에 따르면 국내 인터넷뱅킹 이용건수는 해마다 증가해 올 6월 기준 하루 평균 3291만 건, 거래금액은 29조 9천억 원에 이르고 스마트폰 뱅킹 거래도 급증하는 추세입니다.
올 6월 기준 하루 평균 22만4천 건으로, 작년 말, 1만9천 건 대비 무려 626%나 증가했습니다.
10명 중 4명이 온라인을 통한 인터넷뱅킹을 10명 중 1명이 모바일을 통한 인터넷뱅킹을 이용하고 있습니다.
하지만 스마트폰 뱅킹서비스는 아직 해킹 보안프로그램 보급도 미비하고 보안성 측면에서는 안전을 장담할 수 없는 실정입니다.
사용자들은 이러한 위협에 어떻게 대비하고 있을까요.
[박성문/서울 서초구 : (스마트폰에) PC기능이 있다고 하지만 신뢰가 가지 않는것 같아요]
[한도희/서울시 강서구 : 따로 신경쓰는 건 없어요. 그냥 새로 나오는거 보고 있어요]
[염해린/서울 양천구 : 보안 쪽으로는 신경을 안 쓰고 있거든요. 제가 당할 수 있을 거라고 생각을 안 해요.]
스마트폰 뱅킹은 아직 초기단계기 때문에 해킹 피해사례는 발견되지 않고 있지만 보안 업체들은 스마트폰을 노리는 해커들의 공격이 올해 본격화될 것이라고 경고하고 있습니다.
[이성근/안철수연구소 모바일개발팀 : 4월부터 스마트폰 악성코드가 꾸준히 증가하고 있고 안드로이드나 윈도우즈 모바일이 악성코드에 취약할 수 있기 때문에 해킹이 발생할 가능성은 충분히 높습니다]
지난 4월, 스마트폰에서 무단으로 스마트폰 악성코드 발견 국제전화를 거는 악성코드가 국내 최초로 발견돼 보안 문제에 경종을 울렸고 지난 8월에는 SK텔레콤이 나서 안드로이드용 바이러스 주의보, 트위터를 통해 스마트폰에 대한 바이러스 해킹 주의보를 내렸습니다.
같은 시기 세계 각국 또한 스마트폰 안전주의보를 발령했습니다.
지금까지 스마트폰을 노린 바이러스는 확인된 것만 4백건이 넘습니다.
[이성근/안철수연구소 모바일개발팀 : 사용자가 개인정보를 빼 가는지 PC에서도 알기
힘들지만 폰에서는 더 알기 힘듭니다. 그게 스마트폰이 가지는 보안의 허점입니다]
최신형 스마트폰도 바이러스를 이용해 해킹이 가능한지 실험해 봤습니다.
스마트폰 응용프로그램 장터인 안드로이드 마켓.
무료 음란물과 게임이 넘쳐납니다.
게임 하나를 내려 받았더니 갑자기 스마트폰의 작동 속도가 느려집니다.
바이러스에 감염된 겁니다.
[김인경/한양대 전자통신컴퓨터공학 석사과정 : 스마트폰에 악성코드를 심거나 축적된 데이터를 이용해 암호를 알아내서 공격이 충분히 가능하고 지금도 해커들에 의해 이뤄지고 있다고 보면 됩니다]
사용자가 와이파이 존에서 암호를 사용하지 않는 무선 랜을 통해 인터넷 사이트에 접속해 아이디와 비밀번호를 입력합니다.
이 스마트폰을 감염시킨 공격자는 얼마나 빨리 사용자의 아이디와 비밀번호를 탈취할 수 있을까요.
[네, 찾았습니다. 아이디랑 패스워드랑]
단 30초 만에 사용자가 접속했던 사이트 주소는 물론 아이디와 비밀번호까지 해킹됐습니다.
해커가 공격한 것은 스마트폰이 아닌 AP, 즉 무선 인터넷 중계기.
[김인경/한양대 전자통신컴퓨터공학 석사과정 : 무선인터넷은 정보를 공중으로 보내서 중계기로 수신하기 때문에 노트북에서도 스마트폰에서 보내는 정보를 수신 할 수 있습니다]
아이디와 비밀번호 뿐 아니라, 공인인증서와 보안카드 찾아내는 만약 스마트폰에 공인인증서와 보안카드가 저장돼 있다면, 어렵지 않게 빼낼 수 있습니다.
그렇다면 스마트폰 보안수칙에는 어떤 것들이 있을까요?
첫번째 암호화된 AP나 3G 데이터망을 통해 인터넷에 접속합니다
두번째는 핸드폰업체에서 공식 인증한 애플리케이션을 다운받는것입니다
인터넷 뱅킹이나 스마트폰 뱅킹이나 기본적으로 해킹에 의한 금융 사고를 완벽하게 통제할 수 없다면 사용자는 어떤 주의를 해야 할까요.
만약 해커가 아이디와 비밀번호, 암호를 해킹 당한다 해도 공인인증서나 보안카드가 없다면 인터넷 뱅킹 범죄는 일어날 수 없습니다.
[강필용/한국 인터넷 진흥원 전자인증팀 팀장 : 인감도장이나 인감증명서가 유출돼 타인이 도용해서 사용하면 알지 못하는 거래행위가 발생할 수 있는데 인감도장을 금고에
저장하듯이 사이버 환경에서도 안전하게 저장하고 관리해야 합니다]
본인확인과 거래의 인증수단이 되는 공인인증서는 해커의 표적이 될 수 있는 PC나 스마트폰에 저장하지 않아야 합니다.
시중에서 쉽게 구할 수 있는 보안토큰에 공인인증서를 보관하는 것도 좋은 대책입니다.
공인인증서가 바깥으로 유출되지 않고 결제행위가 토큰 안에서만 이뤄지도록 하는 휴대용 PC 또 보안카드를 복사해 저장해 두지 말고 따로 휴대해야 합니다.
온라인이 오프라인을 지배하는 세상은 더 가까워지고 있습니다.
그 편리함을 맛보기 전에 보안에 신경을 쓰지 않는다면 피해마저 덤으로 얻게 될 것입니다.