주간동아 970

2015.01.05

내 스마트폰으로 회사가 무너진다면

해킹한 스마트폰 통해 기업망 침투 가능

  • 구희언 기자 hawkeye@donga.com

    입력2015-01-05 10:33:00

  • 글자크기 설정 닫기
    내 스마트폰으로 회사가 무너진다면
    해킹 위협에서 안전지대는 없다. 최근 벌어진 한국수력원자력(한수원)과 미국 소니픽처스 엔터테인먼트 해킹 사건에서 알 수 있듯 노련한 해커는 보안이 약화된 작은 틈을 놓치지 않는다. 그게 아무리 작은 틈일지라도 말이다. 가뜩이나 요즘처럼 전 국민이 손안에 작은 개인용 컴퓨터(PC)를 들고 다니는 세상이라면 해커의 작업도 한층 더 수월하지 않을까. 사이버보안 전문가들에게 해킹당한 스마트폰을 가지고 기업 전산망을 뚫는 게 가능한지 물었다. 공통된 대답은 “기술적으로는 가능하다”는 것. 이러한 가정에는 “해킹당한 스마트폰을 가지고 회사 무선네트워크를 썼을 때”라는 전제가 붙었다.

    조주봉 라온시큐어 화이트햇 센터 보안기술교육팀장은 “해킹당한 스마트폰으로 회사 무선 AP(Access Point·공유 허브)에 접속하면 스마트폰을 매개체로 내부 전산망에 원격으로 접근할 수 있다”고 말했다.

    “구형 스마트폰은 최신 스마트폰에 비해 상대적으로 해킹이 쉽고, 최신 운영체제(OS)가 깔린 스마트폰은 스미싱 등으로 악성파일을 설치해야 해킹이 가능합니다. 과거의 이슈는 해킹한 스마트폰의 카메라를 조작해 사진을 찍거나 마이크로 회의 내용을 녹음하거나 통화 내역을 탈취하는 방식이었습니다. 최근에는 집 공유기를 해킹하는 공격 기법도 나왔는데, 해커가 집 공유기를 장악한 상태에서 휴대전화로 무선 AP에 접속하면 가짜 피싱사이트로 접속하게 해 정보를 빼내는 형태입니다.”

    해킹당한 사실조차 몰라

    휴대전화가 해킹당한 걸 당사자가 알 수 있을까. 조 팀장은 “눈에 띄는 현상이 전혀 없기에 알 수 없다”고 했다. 귀찮더라도 PC를 초기화하듯 정기적으로 휴대전화를 초기화하면 완벽한 보안이 가능할까. 그는 “완벽하지는 않다. 구형 스마트폰은 일정 버전 이상의 펌웨어 업데이트가 지원되지 않기 때문”이라고 말했다.



    최상명 하우리 차세대보안연구센터 센터장은 “해킹당한 스마트폰이라고 해도 사내 와이파이(Wi-Fi)를 쓰지 않고 3G(3세대), 4G만 쓴다면 외부 인터넷을 쓰는 PC나 다름없기에 그를 통해 기업 전산망에 침투하는 건 딱히 유리함이 없다”고 말했다.

    “휴대전화 번호를 안다고 그 스마트폰을 해킹하는 건 불가능해요. 스마트폰을 해킹할 때는 주로 악성코드를 활용합니다. 스미싱처럼 어떤 식으로든 해커가 문자메시지로 보낸 주소나 파일을 사용자가 클릭해야 휴대전화가 감염되죠. 와이파이를 쓰지 않고 3G만 사용하는 스마트폰이라면 파일을 옮기거나 충전하기 위해 PC에 케이블을 연결했을 때 그 PC를 통한 접속은 가능합니다. 단, 이 경우 해킹 대상이 되는 기업이 전산망을 분리해 관리하고 있다면 쉽지는 않을 겁니다.”

    요즘 기업 e메일을 구글 메일이나 네이버 메일 등 외부로 포워딩해 스마트폰으로 실시간 확인하며 업무를 하는 경우도 많다. 최 센터장은 “스마트폰으로도 온라인 사이트 접속이 가능한 회사라면 사내 e메일을 외부 계정으로 포워딩해 받는 것보다 웹으로 접속해 e메일을 읽는 게 파일 자체를 기기 내부에 남겨두지 않아 상대적으로 안전하다”고 말했다.

    해킹 위협으로부터 안전한 스마트폰은 “없다”는 게 전문가들의 공통된 의견이다. 다만 아이폰과 안드로이드폰를 비교한다면, 폐쇄성이 강한 아이폰이 해킹 확률을 ‘줄일’ 수는 있다. 아이폰은 문자메시지에 적힌 주소를 클릭해도 애플리케이션(앱)을 설치할 수 없지만, 안드로이드폰은 보안 설정에서 ‘알 수 없는 출처의 앱 설치’를 선택하면 앱을 설치할 수 있기 때문이다.

    조 팀장은 “기업의 마인드 차이일 수 있는데 애플은 감시와 통제 정책으로 모든 앱을 검수하고 올리기 때문에 사용자가 불편함을 느낄 수 있지만, 안드로이드는 사용자 편의성을 중시해 개방적이다 보니 보안 관련 이슈가 발생하는 편”이라고 말했다. 최 센터장은 “아이폰이 상대적으로 스미싱에서 안전한 편이지만, 탈옥(iOS의 제한을 풀어 서명되지 않은 코드를 실행 가능하게 하는 것)한 아이폰이라면 주의가 필요하다”고 말했다.

    한수원 해킹 사건은 직원들이 단체로 받은 e메일에 첨부된 파일을 무심코 클릭했다가 악성코드에 감염되면서 발생했다. 따라서 해킹으로 인한 피해를 막으려면 개개인의 보안의식을 강화하는 게 가장 중요하다. 조 팀장은 “다수가 근무하는 직장에서는 일괄적인 통제가 쉽지 않기 때문에 직원들의 보안의식을 높이기 위한 주기적인 교육이 필요하다”고 말했다.

    “회사에서 허용하지 않는 앱을 쓰지 않도록 하고, 와이파이를 쓰거나 테터링을 할 때도 주의가 필요합니다. 자신이 하는 행동이 문제가 될 수 있다는 사실을 알려줘야 합니다. 또 회사는 외부에서 기업 전산망에 접근할 수 없도록 시스템을 구축해야 하고요.”

    최 센터장은 “기업들은 회사 주요 자료가 있는 내부망과 일반 직원이 쓰는 외부망을 분리해놓아야 한다. 기업이 아무리 보안을 강화했다 해도 e메일 클릭을 잘못하면 끝나기 때문에 개개인의 보안의식도 중요하다”고 말했다.

    “대기업은 회사 건물에 진입하면 기기가 자동으로 제어되는 모바일 단말기 관리(MDM) 기능으로 내부 보안을 강화하고 있습니다. 회사 내에 들어오면 스마트폰 카메라나 녹음 프로그램 등이 작동하지 않는 거죠. 이럴 경우 개인이 따로 신경 쓰지 않아도 되지만 그런 시스템이 구축되지 않은 곳이라면 주의가 필요합니다.”

    임종인 고려대 정보보호대학원 원장은 “스마트폰을 통한 기업 전산망 해킹이 이론적으로는 가능할 수 있겠지만, 회사에서는 대부분 e메일 등을 쓸 수 있는 망과 주요한 정보에 접속할 수 있는 망을 분리해 관리한다. 그렇기에 설령 스마트폰으로 회사 와이파이를 장악하더라도 이런 시스템이 잘 갖춰진 기업이라면 중요한 자료까지 해킹할 수는 없다”고 말했다.

    백신과 암호화 보관 앱 사용

    개인이 최대한 안전한 스마트폰 사용 환경을 만들려면 어떻게 하는 게 최선일까. 지인이 보낸 문자메시지라도 첨부된 링크는 클릭하지 않고, 모바일 백신을 늘 최신 버전으로 업데이트해 실시간으로 켜둬야 한다. 또한 공인인증서나 회사와 관련한 주요 자료는 되도록 스마트폰에 저장하지 않는 것이 좋다.

    최 센터장은 “모바일 백신을 켜두면 배터리가 빨리 닳고 속도가 느려져 불편하게 여기는데 깔아놨다고 끝나는 게 아니라 실시간으로 켜놔야 한다. 요즘에는 보안카드를 사진으로 찍어 스마트폰에 저장해두는 사람도 많다. 하지만 해킹당하면 자료를 그대로 뺏길 수 있으니 암호화해 보관할 수 있는 앱을 활용해 이중잠금을 해두는 게 좋다. 그래야 해커가 자료를 가져가더라도 악용하는 걸 막을 수 있다”고 말했다.

    임 원장은 “현재 스마트폰에 백신 6개를 깔아서 사용하고 있다”며 “백신을 2~3개쯤 깔아두고 사용하되 정기적으로 업데이트해 최신 버전을 유지해야 한다. 첨부파일도 함부로 열어서는 안 된다. 무료 온라인 사이트에서 파일을 다운로드하다 악성코드에 감염되는 경우가 잦으니 주의가 필요하다”고 당부했다.



    댓글 0
    닫기