주간동아 726

2010.03.09

눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!

정보 훔쳐보고 이용하고, 무차별 해킹에 노출 … 한국 MS 반박 불구 취약성 여전

  • 손영일 기자 scud2007@donga.com

    입력2010-03-03 17:26:00

  • 글자크기 설정 닫기
    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!
    골프 황제에서 섹스 중독자로 추락한 타이거 우즈. 베일에 싸인 그의 사생활은 휴대전화에 저장된, 다른 여성이 보낸 문자 메시지가 발단이 돼 대중에게 낱낱이 드러났다. 그의 아내는 우연히 타이거 우즈의 휴대전화를 보고 외도 사실을 알게 됐지만, 만일 그가 문자 메시지를 저장하지 않고 받은 즉시 지웠다면 진실은 영원히 묻혔을지도 모른다.

    배우자, 이성친구 휴대전화 속 문자함은 판도라의 상자다. 그 속에 무슨 내용이 담겨 있을지 작은 의구심이 고개를 쳐드는 순간, 훔쳐보고픈 욕망에 휩싸인다. 그리고 타인의 사생활을 훔쳐보고 싶은 비뚤어진 욕망은 한 발짝 더 나아간다. 이 문자들을 상대방은 보지 못하고 오로지 나만 볼 수 있게 중간에서 가로챌 수 있으면. 커져버린 욕망은 조금씩 범죄의 수렁으로 사람을 이끈다.

    “공짜로 포르노를 다운받을 수 있는 사이트를 알려드릴게요. 이 스마트폰으로 한번 들어가보세요.”

    2월23일 스마트폰 해킹 시나리오를 보기 위해 숭실대 컴퓨터학부 이정현 교수를 찾았다. 이 교수가 건넨 스마트폰은 11월15일자 스포츠신라 웹사이트에 접속돼 있었다. 화면을 내리자 ‘8C 동영상’ ‘네티즌 포토’ 사이에서 이 교수가 말한 ‘19 HOT 포토’가 보였다. 반라의 여인이 섹시한 포즈를 취하며 어서 클릭해서 들어오기를 유혹했다.

    ‘그래, 공짜라고 하는데 들어가 구경이라도 해볼까.’



    클릭을 하는 순간 “이 정보 내용은 청소년 유해매체물로 만 19세 미만의 청소년이 이용할 수 없다”는 경고문이 떴다. 성인 인증을 받기 위해 주민등록번호와 이름을 기입한 뒤, 승인버튼을 클릭. 이제 동영상을 보려나 싶은 찰나 이 교수가 휴대전화를 가져갔다.

    다양한 루트 통해 해킹 프로그램 유입

    “지금까지 특별히 이상한 점을 느낀 게 있나요? 아마 어떤 수상함도 감지하지 못했을 겁니다. ‘19 HOT 포토’를 클릭하는 순간 ‘트로이 목마 바이러스’가 다운로드돼, 손 기자가 들고 있는 스마트폰에 설치됐습니다.”

    성인 인증을 위해 입력했던 기자의 이름과 주민등록번호는 트로이 목마 바이러스가 모바일 단말기에 저장한 상태. 이 교수는 주머니에 넣어뒀던 또 다른 스마트폰을 꺼냈다.

    “이 스마트폰을 보세요. 조금 전 입력했던 이름과 주민등록번호, 그리고 손 기자가 들고 있던 스마트폰 번호까지 다 나와 있죠? 해커의 스마트폰이 손 기자가 들고 있는 스마트폰의 트로이 목마 바이러스와 wi-fi로 통신해 빼내간 것입니다. 사이트 배너를 통해 해킹 프로그램이 설치됐지만, 블루투스·문자 메시지·멀티미디어 메시지·e메일 등 다양한 루트를 통해 해킹 프로그램이 깔립니다.”

    단지 이름, 주민등록번호, 스마트폰 번호를 알았다고 해서 당장 결제가 가능한 것은 아니다. 마음만 먹으면 이 정도 정보는 인터넷상에서 간단한 검색으로 손쉽게 얻을 수 있다. 휴대전화로 전달되는 승인문자를 어떻게 중간에 가로채느냐가 관건이다.

    “휴대전화 소액결제는 월 15만원 정도로 한도가 정해져 있습니다. 휴대전화 결제를 하려면 승인번호를 전송받아 다시 입력해야 합니다. 지금부터 보일 것은 승인번호를 전송하는 문자를 해커가 가로채는 장면입니다.”

    이 교수의 제자인 숭실대 컴퓨터학부 이형찬(27), 정진혁(26) 참여연구원이 시연을 도왔다. 이들이 바로 승인번호 가로채기, 문자 공유, 스마트폰 시스템 다운 기능 등을 갖춘 트로이 목마 바이러스를 만든 주인공이다.

    정진혁 연구원이 해커 역을 맡았다. 정 연구원은 훔쳐낸 이름과 주민등록번호를 이용해 휴대전화 소액결제가 가능한 싸이월드에 가입했다. 훔쳐낸 개인정보를 이용하지만, 아이디와 비밀번호는 정 연구원이 임의로 설정했다. 가입 안내 위쪽에는 “타인의 주민등록번호를 부정 사용하는 자는 3년 이하의 징역 또는 1천만원 이하의 벌금이 부과될 수 있다”고 적혀 있지만 아랑곳하지 않았다.

    문자 훔쳐보고, 단말기 시스템 다운 공격

    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!

    ① 배너를 누르는 순간 트로이 목마 바이러스가 사용자의 스마트폰에 깔린다. ② 성인인증을 요구해 성명과 주민등록번호를 입력하는 순간, 트로이 목마 바이러스는 이들 개인정보와 스마트폰 번호를 해커 스마트폰으로 전송한다.

    “싸이월드 도토리 500개(5만원 상당)를 손 기자가 들고 있는 스마트폰으로 결제해보겠습니다.”

    정 연구원은 자신이 든 스마트폰 메뉴에서 ‘SMS Intercept’, 즉 문자가로채기 기능을 눌렀다. 도토리 500개(5만원)에 체크를 해놓은 다음, 미리 빼낸 기자의 이름과 주민등록번호, 피해자 스마트폰 번호를 입력했다. 이어 승인번호 전송도 눌렀다.

    곧바로 정 연구원의 스마트폰으로 ‘인증번호는 323345입니다’라는 문자 메시지가 전송됐다. 기자가 들고 있는 스마트폰에는 문자 메시지가 왔다는 어떤 표시도 없었다. 해커 스마트폰에 전송된 승인번호를 입력하면 상품구매는 완료된다. 정작 본인은 알 수 없는 상황에서 모든 상황이 종료됐다. 다음 달 휴대전화 사용 명세서가 오기 전까지는 얼마나 결제됐는지 확인 불가.

    “사실 손 기자가 들고 있는 스마트폰으로 문자가 발송됐습니다. 다만 트로이 목마 바이러스가 문자를 눈에 보이지 않게 숨겨놓은 다음, 해커의 스마트폰으로 전송한 것입니다. 이런 종류의 해킹 프로그램은 대학생도 어렵지 않게 만들어낼 수 있습니다.”

    “공주님, 내일 미실을 제거할 준비가 끝났습니다.”

    김유신은 결전의 날에 앞서 내밀한 준비사항을 덕만에게 문자로 보낸다. 모든 것이 순조롭다고 생각한 유신. 애석하게도 그는 이 문자를 미실도 볼 수 있다는 사실을 알아채지 못한다. 그러나 미실은 유신의 움직임을 사전에 포착해 그의 휴대전화에 문자 메시지를 공유할 수 있는 트로이 목마 바이러스를 심어놓았다. 유신의 거사 계획은 사전에 탄로나 미실이 먼저 유신을 공격한다. 덕만을 왕으로 만들려는 유신의 계획은 실패하고 만다.

    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!

    ③ 해커는 사용자 정보를 가지고 임의로 사이트에 회원가입한 뒤, 휴대전화 소액결제를 한다. ④ 승인번호전송을 누르기 전, ‘SMS Intercept’ 기능을 이용해 전송되는 승인번호 문자를 중간에 가로챈다.

    인기리에 종영된 드라마 ‘선덕여왕’의 경우를 코믹하게 재구성해봤다. 언론을 통해 e메일 해킹의 위험은 여러 번 알려졌지만, 여전히 휴대전화 문자 메시지만은 ‘사용제한’을 걸어놓으면 안전하다고 생각한다. 미실의 사례는 공상과학 영화에서만 벌어지는 일이 아니다. 해커를 담당한 정 연구원은 사용자의 문자 메시지 공유기능을 실제로 보여줬다.

    그는 우선 해커 스마트폰에서 ‘SMS Sniffing(문자 메시지 공유기능)’을 선택했다. 이형찬 연구원이 기자가 들고 있는 스마트폰으로 ‘안녕하세요’라는 문자를 보내자, 기자의 스마트폰과 정 연구원의 스마트폰으로 문자 메시지 내용이 동시에 전송됐다.

    심지어 해외 웹사이트에선 타인의 문자 메시지를 볼 수 있는 기능을 상용화해 활발히 거래 중이다. ‘http://flexispy.com’ 사이트에 들어가자, 벌거벗은 남자와 속옷 차림의 여자가 사랑스러운 눈으로 서로를 쳐다보는 광고가 보인다. ‘This Could Be You!’ ‘I Knew It’이라는 광고문구가 ‘문자 메시지를 공유하는’ 소프트웨어를 파는 사이트임을 한눈에 드러낸다.

    “해외에서도 배우자 혹은 이성친구가 바람피울까봐 걱정하는 사람이 문자 메시지 공유기능을 많이 의뢰합니다. 문자 메시지 공유기능을 설정해놓으면 상대방의 휴대전화를 직접 들여다보지 않더라도 자신의 휴대전화에서 실시간으로 확인할 수 있습니다. 상대방이 문자 메시지를 받고 삭제할지라도 자신에게 온 문자는 고스란히 남습니다.”

    작동원리는 ‘http://mobile-spy.com’에 자세히 설명돼 있다. 예컨대 남편이 이 소프트웨어를 구입해 아내의 휴대전화에 몰래 다운받아 설치하면, 아내에게 오는 문자 메시지는 해당 소프트웨어 업체 서버에 저장된다. 남편은 서버에 로그인해 들어가 어떤 문자가 아내에게 왔는지 확인한다. 물론 아내는 자신의 문자가 열람된다는 사실을 알지 못한다.

    모바일 보안 인식 2% 부족한 정책 당국

    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!

    ① 관리자는 A스마트폰에 문자공유 기능 소프트웨어를 설치한다. ② 문자 메시지가 오면 해당 소프트웨어는 업체 서버로 문자 메시지를 전송한다. ③ 관리자는 서버 로그인을 통해 A스마트폰에 온 문자 메시지 내용을 확인한다.

    “농담으로 여자친구나 제자가 스마트폰을 선물하면 받지 말라고 얘기합니다. 이런 프로그램을 깔고 선물할 수도 있으니 말이죠.(웃음)”

    한국에서는 아직 법적으로 허용되지 않았지만, 해커들이 마음만 먹으면 손쉽게 이런 기능이 들어간 해킹 프로그램을 만들어낼 수 있다. 이미 상용화한 만큼 기술 노하우를 습득하기는 다른 경우보다 훨씬 쉬운 편이다. 이 밖에 ‘Contact Stealing’ 메뉴를 선택하면, 트로이 목마 바이러스와 wi-fi를 통해 피해자 스마트폰에서 주소록 정보를 가져온다.

    “흔히 ‘벽 돌아간다’는 표현을 하죠. 해커가 ‘Make a Brick’ 메뉴를 선택하면 해커 스마트폰은 wi-fi를 통해 트로이 목마 바이러스에 피해자 스마트폰을 리부트하도록 명령을 전달합니다. 물론 프로그램을 어떻게 설정하느냐에 따라 전원이 아예 꺼지게 할 수도 있습니다.”

    이것을 응용해 ‘특정 어구가 포함됐을 때’만 반응하도록 설정하는 것도 가능하다. 문자 메시지 내용 중 ‘소녀시대’라는 특정 문자가 삽입되면 시스템이 다운되는 식이다.

    “손 기자 휴대전화로 ‘방금 소녀시대 신곡을 들었는데 이번 앨범도 대박 날 듯~’이라는 문자 메시지를 트로이 목마 바이러스에 감염된 스마트폰으로 보내보세요.”

    전송이 완료되는 순간, 기자가 들고 있던 스마트폰이 꺼지면서 거짓말처럼 리부트됐다.

    이 교수가 시연을 통해 선보인 해커용 스마트폰과 피해자용 스마트폰은 모두 윈도 모바일 6.1 운영체제를 갖추고 있다. 이 교수가 윈도 모바일 6.1 운영체제를 탑재한 스마트폰이 해킹에 취약하다며 스마트폰 해킹 시나리오 5가지를 공개하자 파문은 일파만파로 커졌다.

    한국 마이크로소프트(MS)는 즉각 이 교수 보안연구팀에서 시연한 해킹이 가능하려면 △ 스마트폰에 특정 프로그램(닷넷 프레임워크3.5)이 설치돼 있어야 하며 △ 스마트폰 사용자가 자신의 번호를 스마트폰에 입력해놓은 상태에서만 가로채기 수법이 가능하고 △ 해킹 프로그램이 설치되도록 포트(모뎀과 컴퓨터 사이에 데이터를 주고받을 수 있는 통로)를 인위적으로 열어둔 상태에서만 가능하다고 주장했다.

    이 교수는 “해킹 과정을 쉽게 보여주기 위해 다른 기능을 뺀 채 닷넷 프레임워크3.5를 사용했지만, 이 프로그램을 사용하지 않더라도 해킹하는 데는 아무런 문제가 없다. 비록 자신의 스마트폰 번호를 주소록에 저장하지 않더라도 해킹 프로그램에 몇 가지 모듈을 설치해두면 스마트폰 내부에 존재하는 스마트폰 번호를 알 수 있다. 해킹 프로그램과 포트는 상관이 없다”고 반박했다.

    이중삼중 보안 프로세스 구축해야

    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!

    5가지 스마트폰 해킹 시나리오를 발표한 숭실대 컴퓨터학부 이정현 교수팀. 스마트폰 해킹 트로이 목마 바이러스를 만들어낸 정진혁(가운데), 이형찬(오른쪽) 연구원.

    PC와 마찬가지로 휴대전화 운영체제를 지닌 스마트폰은 기존 PC가 가진 해킹 위험을 그대로 지닌다. 스마트폰에 침투한 해킹 프로그램만 해도 스파이웨어, 바이러스 웜, 트로이 목마를 비롯해 수백 종에 이른다. 지금까지 발견된 모바일 해킹 프로그램만 600여 종이다.

    반면 국내 전자금융 정책을 담당하는 정책 당국의 보안에 대한 인식은 2% 부족하다. 액티브 엑스(Active X)가 그 대표적 사례. 액티브 엑스는 PC에 응용 프로그램을 설치해 웹 기반의 콘텐츠를 PC상에서 이용할 수 있게 하는 인터넷 기술로, 인터넷에서 이뤄지는 전자상거래 결제는 액티브 엑스를 통한 공인인증서로만 할 수 있다. 2009년 7월 분산서비스거부(DDoS)를 통해 액티브 엑스의 취약성은 일반인에게도 널리 알려졌다. 숙주 사이트가 좀비 PC를 만드는 과정에서 해킹 프로그램을 심는 데 액티브 기술이 악용됐던 것.

    이미 PC상에서 문제가 있는 것으로 검증됐음에도 금융감독원, 방송통신위원회 등 금융보안 관련 정부기관은 액티브 엑스 설치 여부를 두고 여전히 고심 중이다. 보안전문가들은 “윈도 모바일 운영체제를 제외하고 다른 브라우저에서는 액티브 엑스를 설치할 수 없다. PC 운영체제 보안 논리에서 벗어나지 못했음을 여실히 드러내는 사례”라고 지적했다.

    근본적으로 스마트폰 보안 문제를 해결하기 위해 이 교수는 “액티브 엑스, 키보드 해킹 방지 프로그램, 백신을 모두 스마트폰에 넣으려고 하는 지금의 관점에 대전환이 필요하다”고 말했다.

    “심하게 말하면 지금껏 나온 (모든) 백신은 해킹에 ‘사후약방문’입니다. 현재 출시한 모바일 백신은 해킹 프로그램 변종이 생기면 이를 보고해 리스트를 업데이트한 다음 동일한 해킹 프로그램이 침입할 때 방지하는 식입니다. 만일 리스트에 없는 해킹 프로그램이 침입하면 전혀 대응을 할 수 없는 것이죠.”

    이 교수는 특정 소프트웨어가 운영체제에서 실행되는 과정에서 ‘설치-시행-샌드박스’를 통해 이중삼중으로 해킹 프로그램을 걸러주는 보안 프로세스를 구축해야 한다고 강조했다.

    “확인되지 않은 코드를 지닌 소프트웨어가 설치되려고 하면 자동적으로 설치되는 것이 아니라 정식 인증을 받게 합니다. 심비안처럼 설치를 하더라도 자동 실행되는 것이 아니라 확인되지 않거나 정식 서명을 받지 않은 소프트웨어는 실행이 안 되게 다시 한 번 걸러주는 운영체제로 바꿔야 합니다.”(상자기사 참조)

    샌드박스(Sand Box)는 미확인 코드 소프트웨어가 실행되더라도 보호된 영역 안에서만 프로그램이 작동하게 하는 보안 소프트웨어로, 프로그램의 폭주나 악성 바이러스의 침투를 막는다.

    PC 운영체제는 MS의 윈도 모바일이 석권했지만, 스마트폰 운영체제는 춘추전국시대다. 심비안의 노키아, 아이폰의 애플, 안드로이드의 구글 등 스마트폰마다 모두 다르다. 누가 스마트폰 운영체제 표준을 제시하며 승자로 도약할지는 모르지만, 한 가지 분명한 것은 보안성을 갖춘 운영체제가 승리에 한발 다가가리라는 점이다.

    아이폰은 안전할까

    윈도 모바일 6.1 해킹에 취약


    눈앞에서 문자 가로채 결제 스마트폰이 이럴 수가!
    스마트폰 해킹 시나리오가 공개되자 윈도 모바일 6.1을 사용하는 삼성 옴니아폰에 불똥이 튀었다. 상대적으로 아이폰은 보안성이 강한 것처럼 비쳤다. 사람들은 윈도 모바일 시스템이 개방적이기 때문에 보안성도 약할 수밖에 없다고 생각했다. 과연 운영체제 플랫폼의 개방성이 클수록 스마트폰의 보안성은 약한 것일까?

    애플 아이폰은 앱스토어를 통해서만 애플리케이션을 다운받을 수 있다. 누구든 개발한 애플리케이션을 앱스토어에 등록하려면 해당 애플리케이션의 코드를 리뷰하고 정해진 일정 수준의 규칙을 따라야 한다. 애플이 허락하지 않으면 사용자가 원한다고 해도 특정 애플리케이션을 쓸 수 없다. 해킹 프로그램이 들어 있는 애플리케이션을 올리더라도 애플이 설치를 허락하지 않는다. 설치가 되지 않기 때문에 실행 또한 당연히 되지 않는다. 폐쇄적이긴 하지만 보안성만큼은 강하다.

    상대적으로 윈도 모바일을 제공하는 MS나 안드로이드를 제공하는 구글은 플랫폼이 개방돼 있다. 소스가 공개되지 않은 윈도 모바일에 비해, 소스가 공개된 안드로이드가 더 개방적인 플랫폼이다. 사용자가 원하는 애플리케이션 등 다양한 프로그램을 사용하고 연결할 수 있도록 열어놨다. 따라서 해킹 프로그램이 들어 있는 애플리케이션을 만들어 올려놓고 다운받아 설치하는 것까지는 큰 문제가 없다.

    노키아의 운영체제인 심비안이 확인되지 않거나 서명되지 않은 소프트웨어 프로그램의 ‘실행’을 막는 것과는 달리, 윈도 모바일과 안드로이드는 자동 실행이 된다. 다만 안드로이드는 샌드박스 내에서만 실행이 돼 샌드박스가 적용되지 않는 윈도 모바일보다 보안성이 우수하다. 단순히 플랫폼의 개방성만으로 보안성 정도를 판단할 수 없는 것.

    심비안이 처음부터 보안성이 뛰어났던 건 아니다. 600여 개로 추정되는 스마트폰의 해킹 프로그램 중 90% 이상이 심비안에서 발견됐다. 과거 심비안 6.0, 7.0 버전을 썼던 것에서 나온 것. 당시 심비안 운영체제도 지금의 윈도 모바일처럼 설치-시행에 아무런 제한이 없었으며 샌드박스도 적용되지 않았다. 하지만 심비안 9.0 버전부터 새롭게 운영체제를 깔면서 2007년 이후 해킹 프로그램은 거의 발견되지 않았다.




    댓글 0
    닫기