지난 2010년 4월 국내에서 스마트폰 악성코드에 의한 첫 번째 피해 사례가 발생한 이후 스마트폰 사용자들의 폭발적 증가로 변종 바이러스 피해가 속출하고 있다.
최초의 바이러스는 윈도우 모바일 기반 스마트폰용 악성코드인 ‘트레드다이얼(TredDial)’로 사용자 몰래 스마트폰에서 50초마다 국제 전화번호로 전화를 걸어 휴대전화 요금이 과도하게 청구되도록 한 것이었다. 이 악성코드는 첫 발견된 후 일주일 만에 변종이 추가 발견됐다. 삼성전자 옴니아를 포함해 윈도우 모바일 운영체제(OS)를 탑재한 스마트폰에서 작동하며, 모바일게임 `3D 안티 테러리스트 액션`과 `코드팩`에 포함돼 배포된 것으로 알려졌다.
그 동안 국내에서 모바일 악성코드가 발견된 적은 없었다. 반면, 스마트폰이 활성화된 해외의 경우 모바일 악성코드가 점점 증가하고 있다. 전 세계적으로 알려진 모바일 악성코드의 수는 2004년 15건, 2005년 131건, 2006년 353건, 2007년 381건, 2008년 429건, 2009년 상반기 524건으로 매년 증가세를 보이고 있다.
해외에 비해 국내 악성코드 피해 사례가 발생하지 않은 것은 국내 스마트폰 시장이 초기 단계이었기 때문이다. 그러나 2010년 3월 기준 국내 스마트폰 이용자가 130만 명을 돌파한 이후 스마트폰 이용자수가 급격하게 증가하고 있다. 특히, 국내 이동통신 관계자들은 연내 스마트폰 이용자가 3000만 명을 넘을 것으로 예상하고 있다.
![[그림] 스마트폰을 목표로 하는 악성코드 형태](/newshome/wys2/file_attach/2012/09/20/1348117466-93.jpg)
그 동안 보안 업계에서는 모바일 환경에서의 보안 대책 수립 필요성을 강력하게 주장해왔다.
악성코드 제작자 및 해커의 목적은 금전적인 이익이다. 스마트폰 안에는 각종 개인정보 및 금융정보 등 악성코드 제작자들이 매력적으로 느낄 데이터들이 가득하다. 더욱이 과금 시스템 무단 도용, 무선망을 이용한 데이터 탈취 등 해킹에 편리한 환경이다. 특히, 향후 스마트폰을 이용한 금융 거래를 활발해지면 이를 노리는 트로이목마와 스파이웨어가 지속적으로 증가할 것으로 보인다.
피해 사례를 보면 스마트폰의 개인정보 유출을 노리는 악성코드는 대개 어플리케이션을 다운받아 실행할 때 발생한다 . 그림에 있는 단추를 클릭하자 마자 곧바로 스마트폰에 저장된 모든 전화번호로 같은 내용의 스팸 문자가 발송되고 이보다 더욱 큰 문제는 내 스마트폰에 저장된 연락처와 문자메시지 등 개인정보까지 유출된다는 데 있다 . 그뿐만 아니라 최근 스마트폰 뱅킹 이용자 1 천 367 만 명 (2012 년 1 분기 기준 , 한국은행 ) 으로 급증하면서 위 • 변조된 금융 앱으로 거래 시스템에 접속을 시도하고 최악의 경우 은행에 들어 있는 잔액을 몽땅 털어간다.
두 번째 피해사례는 탈옥한 아이폰을 대상으로 키 입력을 가로채는 ‘ 키로커 ’. 아이폰 바탕화면이 변경되는 ‘ 웜 ’ 바이러스가 있더라도 탈옥하지 않았다면 기본적으로 애플은 앱스토어에 올라가는 앱을 일일이 검사하기 때문에 악성 앱이 나타날 위험이 적다 .
하지만 안드로이드용 스마트폰은 공식마켓 외에도 비공식마켓에서 앱을 다운로드 하기 때문에 ‘ 인스타그램 ’ 과 ‘ 구글플러스 ’, 아케이드 게임 ‘ 템플런 ’ 등 유명 앱으로 가장하거나 런던올림픽 관련 앱으로 위장되어 올라와 악성코드가 심어질 확률이 높다 . 최근에는 공식마켓에서도 악성 앱이 나타나며 구글플레이에 등록된 17 개 악성 앱은 삭제되기 전에 70 만 번이나 다운로드 되기도 했다 .
이제 스마트폰은 ‘내 손안의 PC’라고 할 만큼 활용도가 다양해졌다. 그러나 스마트폰의 보안 대책은 미비한 상황이다. 일반적인 PC의 경우 각종 보안 프로그램이 설치되어 실시간 악성코드를 감시하고 이를 치료하고 있다.
일부에서는 각종 보안 규제들이 스마트폰 활성화에 걸림돌이 될 것이라는 지적도 있다. 보안과 편의성은 양날의 칼과도 같다. 그만큼 안전하면서도 편리한 환경을 구현하기란 쉽지 않은 일이기 때문이다. 하지만 안전한 환경에서 스마트폰을 사용할 수 있는 인프라 구축이 무엇보다 중요하다.
스마트폰 이용자들 또한 보안에 대한 인식을 강화해야 한다. PC에 보안 제품을 설치하고, 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭하는 것처럼 스마트폰에서도 이러한 노력이 필요하다. 보안업체 및 단말기 제조사에서 제공하는 백신을 설치하고, 프로그램이나 파일 다운로드 시 반드시 안전 여부를 확인해야 한다. [최치선 기자 [email protected] ]
*안철수연구소가 권하는 스마트폰 보안 수칙 10계명
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다. 2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다. 3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다. 4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다.
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다.
6. 스마트폰의 잠금 기능[암호 설정]을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능을 켜놓으면 자동 감염되므로 필요할 때만 켜놓는다. 8. ID, 패스워드 등을 스마트폰에 저장하지 않는다. 9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다. 10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.
