머지않아 스마트폰 구입 즉시 백신 등 보안 프로그램을 설치하는 것을 당연하게 받아들이는 시대가 올 전망이다.
'내손 안의 PC'인 스마트폰에 대한 해킹과 악성코드 등의 보안 위협이 현실화될 조짐이기 때문이다.
하지만, 최근 국내에서 아이폰 열풍에 따라 스마트폰 시대의 서막이 열리고 있지만, 아직 무선인터넷 보안은 걸음마 상태다.
따라서 스마트폰 확산 속도에 발맞춰 무선인터넷에 대한 보안이 제대로 이뤄지지 않는다면, PC보다 더 큰 피해를 당할 수 있는 보안 위협에 노출될 수 있다.
아직 국내에서는 스마트폰 해킹 등에 따른 피해 사례가 보고되지는 않았지만, 해외에선 이미 갖가지 경고음이 들리고 있다.
해외에서 발견된 모바일 악성코드는 2004년 27건, 2005년 146건, 2006년 342건 등으로 현재까지 800∼900여종이 확인된 것으로 알려졌다.
특히 노키아의 운영체제(OS)인 심비안용 악성코드가 2004년 6월 모바일에서 처음으로 발견되는 등 초기에는 심비안용 악성코드가 주를 이뤘고, 윈도 모바일용 악성코드도 같은 해 7월 처음으로 발견됐다.
2008년 중국어 버전 윈도 모바일에서는 트로이목마 형태의 모바일 바이러스 `인포잭'이 발견되기도 했다. 단말기의 시리얼 정보나 OS 정보를 외부로 빼내고 원격 조종이 가능하며, 인증받지 않은 파일을 설치하도록 만드는 악성코드이다.
지난해 러시아의 보안업체 카스퍼스키랩은 노키아 스마트폰에서 사용자의 무선 계정을 활성화시켜 데이터 요금을 과금하는 악성코드를 발견했다고 보고한 바 있다.
지난해 말에는 호주의 한 학생이 해킹된 아이폰를 겨냥해 웜을 만들어 퍼트렸다. 80년대 팝 스타인 릭 애슬리의 사진을 복사하는 정도의 기능이었지만, 아이폰 보안에 구멍이 생겼다는 것을 보여주는 사례다. 해커가 마음만 먹는다면 치명적인 악성코드를 심어둘 수 있다는 것이다.
이 같은 사례는 국내에서도 발견될 여지가 높다. 국내 아이폰 이용자 중 일부는 이미 아이폰을 해킹해 사용하기도 한다. 이 경우 악성코드에 감염될 확률은 높아진다.
그러나 여러 모바일 운영체제 가운데 아이폰에 사용되는 맥 OS X는 다소 보안에 안정적이라는 평가다. 앱스토어의 애플리케이션 심사 과정도 엄격해 악성코드가 숨어들기는 어렵다.
그러나 올해 안드로이드 OS를 기반으로 하는 스마트폰이 쏟아질 경우 '보안 주의보'는 다소 격상될 것으로 보인다.
안철수연구소 관계자는 "아이폰은 보안위협에서 안전한 축에 든다"면서 "윈도 모바일과 개방형인 안드로이드는 여러 곳에서 취약점이 발견된 만큼 이를 노리는 해커들이 있을 것"이라고 말했다.
스마트폰 해킹의 주요 경로는 물론 무선인터넷이다. 스마트폰은 자유롭게 무선인터넷에 접속할 수 있는 만큼 해킹 가능성은 언제나 열려 있다. 이용자가 암호화가 안 된 무선AP에 접속할 경우 해킹의 '먹잇감'이 될 수도 있는 셈이다.
가짜 무선AP를 이용한 해킹도 주의해야 한다. 해커가 특정 회사 인근에서 그 회사가 쓰는 무선AP 이름과 같은 무선AP를 만들어 해당 회사원의 접속을 유인할 수 있다. 이는 무선랜 특성상 무선AP 이름을 사용하는 데 대한 제약이 없는 것을 이용한 것으로, 일부 회사원들은 속수무책으로 당할 수 있다.
또 인터넷 전화를 도청하거나 아이디와 패스워드 등 민감한 정보를 빼내가는 것도 경계해야 할 수법이다. 이는 해커가 특정 회사의 무선AP 인증키를 빼내 접속하는 방식으로 이뤄진다. 특정 회사의 무선AP에 접속해 들어가면 사용자의 정보를 모니터링하고, 인터넷 전화의 통화 내용까지 저장할 수 있다.
개인 정보가 유출되면 금융사고로 이어질 수 있다. 스마트폰에는 개인 식별을 위한 정보와 금융 정보가 저장될 수 있기 때문이다. 이 경우 이용자들은 자동으로 각종 요금이 부과될 수 있는 피해를 볼 수 있다.
무선인터넷 해킹은 단순히 개인 정보를 가져가는 것에 멈추지 않고, 회사 정보 또한 누출될 수 있다.
최근 문서나 프레젠테이션 파일 등도 스마트폰에서 직접 보고 작업할 수 있게 되면서 업무용 문서 등의 유출도 가능하다.
문제는 휴대전화에서는 PC와 달리 악성코드 감염 여부를 인지하기 어렵다는 데 있다. 단말기에 오작동이 발생하더라도 이를 악성코드에 따른 것인지, 제조나 서비스상의 오류에 따른 것인지를 분간하기 쉽지 않다.
이는 악성코드 발견 및 분석, 치료 방법 연구를 위한 표본 확보가 늦어지는 원인으로 작용할 수 있다.
이 때문에 각 기업이 인증시스템 설치 등으로 보안 환경을 강화할 필요성이 제기되고 있다. 또 이용자의 경우 스스로 보안 수칙을 준수하는 것도 중요한 과제로 떠오르고 있다.
보안업체에서는 ▲PC로부터 파일을 전송받을 경우 악성코드 감염 여부 확인 ▲스마트폰 잠금 기능을 통한 다른 이용자의 접근 방지 ▲최신 백신 엔진 유지 ▲사용하지 않을 경우 무선AP 차단 등을 해야 한다고 당부하고 있다.
최근에는 국내외 보안업체에서도 무선인터넷 보안 솔루션을 강화하고 있다.
미국의 룩아웃은 윈도 모바일과 안드로이드에서 불량 소프트웨어를 차단하고, 사용자들이 원격으로 휴대전화의 데이터를 백업하거나 삭제할 수 있는 툴을 제공하기 시작했다.
안철수연구소는 윈도 모바일과 심비안 등에서 사용될 수 있는 '안랩 모바일 시큐리티'를 개발해 지난해 대만의 파이론사에 공급하는 등 무선 인터넷 보안 솔루션 강화에 나서고 있다.
시만텍도 윈도 모바일 스마트폰 이용자들을 위한 '노턴 스마트폰 시큐리티'를 선보인 바 있다.
