숭실대 컴퓨터학부 연구진은 윈도우즈모바일 6.1을 채택한 국산 스마트폰 4종에 해킹을 시도해 모두 성공했다고 1일 밝혔다.
연구진은 정상파일처럼 들어가 정보를 빼내는 악성코드인 '트로이 목마' 프로그램을 성인자료로 위장해 웹에 배포했다.
이후 이들 프로그램을 클릭하고서 '검증되지 않은 소프트웨어'라며 설치 여부를 묻는 경고창에 동의하면 스마트폰에 악성코드가 설치되고 성인인증 절차가 진행되는 방식으로 해킹을 시도했다.
연구진은 이런 방법으로 스마트폰 사용자의 주민등록번호 등 개인정보를 입수하고서 인터넷 쇼핑몰을 통해 월 결제한도액인 20만원까지 상품을 샀다.
이 과정에서 쇼핑몰이 발송한 휴대전화 문자메시지(SMS) 인증코드와 결제확인문자도 중간에 가로채 버려 사용자는 피해 사실을 전혀 눈치 채지 못했다.
악성코드는 문자메시지를 엿보거나 주소록을 빼내고, 스마트폰의 동작을 강제로 정지시키는 행위도 쉽게 했다.
실험을 주도한 이정현 교수는 "윈도우즈모바일은 다른 운영체제(OS)와 달리 확인되지 않은 코드도 일단 설치만 되면 제한 없이 실행되도록 하고 있어 해킹에 매우 취약하다"고 말했다.
이 교수는 "실험에 사용된 해킹툴은 대학 3~4학년 전공자라면 어느 정도 만들 수 있을 정도로 초보적이라 심각성이 더해진다"며 문제가 해결될 때까지 당분간 스마트폰 결제나 주식거래, 신상정보 입력 등을 삼가도록 당부했다.
저작권자 © 컨슈머타임스(Consumertimes) 무단전재 및 재배포 금지
