Offcanvas

랜섬웨어 / 모바일 / 보안

'안전지대 있을까?' 스마트폰 해킹 수법 8가지

2021.11.04 이호기  |  CIO KR
모바일 기기의 보안은 PC보다 오히려 뛰어난 경향을 보인다. 하지만 스마트폰이 해킹 당할 가능성은 여전히 남아있다. 8가지 스마트폰 공격 수법에 대해 알아본다.
 
ⓒGetty Images

소셜 엔지니어링(social engineering)
해커가 가장 쉽게 장치에 침투하는 방법은 사용자 스스로 문을 열게 하는 것이다. 물론 말처럼 쉬운 일은 아니다. 하지만 대부분의 소셜 엔지니어링 공격이 이것을 노리고 있다.

대체로 스마트폰 운영체제는 PC나 서버에 비해 보안 체계가 엄격하다. 애플리케이션 코드가 샌드박스 모드에서 실행되기 때문에 권한 확대를 통해 장치가 장악되는 일을 막아준다. 즉, 애플리케이션 코드가 스마트폰의 운영체제나 저장장치의 보호된 부분에 접근하려면 모바일 사용자의 승인이 필요하다. 이처럼 우수한 보안 모델에도 단점이 있다. 접근 승인을 요청하는 메세지가 너무 많이 뜨는 나머지 다수의 사용자가 이를 무시한다는 점이다.

쿠마(Kuma LLC) 보안 애널리스트 카탈리노 베가 3세는 “모바일 장치의 애플리케이션은 승인 기능이 분리돼 있다. 악성 앱이 사용자 데이터를 마음대로 할 수 없도록  하기 위해서다. 그러다 보니 ‘이 애플리케이션이 사진에 접근하도록 허용하시겠습니까?’와 같은 메시지가 자주 뜨게 되고, 사용자는 이런 메시지에 익숙해진다”라고 설명했다.

이어 그는 “(위와 같은 메시지가) 애플리케이션에 대한 접근 허용의 한 단계만 추가할 뿐”이라며, “사용자 대부분이 앱 기능을 사용하기 위해 접근 허용 요청을 쉽게 수락하는 습관이 생기게 된다. 다들 그런 적이 있으리라 생각한다”라고 말했다.

악성 광고(Malvertising)
소위 ‘악성 광고’는 속기 쉬운 대화상자를 활용한 공격이다. 브라우저든 앱 내부이든 모바일 광고 생태계용으로 개발된 인프라에 편승하는 방법이다.

딥 인스팅트(Deep Instinct) 사이버보안 홍보 책임자 척 에베렛은 “사용자가 광고를 클릭하게 만드는 것이 목적”이라며, “생각할 틈도 없이 반사적으로 클릭하게 만드는 것, 이를테면 알림이나 경고처럼 생긴 것으로 유혹한다"라고 설명했다. 이어 "가장 큰 목적은 사용자가 지레 겁먹고 링크를 클릭하도록 유도하는 것”이라고 말했다.

그가 언급한 사례는 두라크(Durak)라는 게임이다. 안드로이드 스마트폰 사용자가 보안 기능을 끄고 다른 악성 애플리케이션을 설치하게 만드는 수법이다. 그런데 두라크는 어둠의 경로를 통해 구할 수 있는 미승인 앱이 아니라 공식 구글 플레이 스토어 앱이었다. 에베렛은 “분석 결과 전체 악성 앱 중 67%가 구글 플레이 스토어에서 다운로드 되는 반면 써드파티 시장에서 온 것은 10%에 불과하다”라고 설명했다.

그는 이어 "많은 구글 플레이 소비자들은 다른 사용자들의 리뷰만 보고 앱의 안전성 여부를 판단한다. 이 방법은 통하지 않는다”라며, "반면 애플의 경우 자사 앱스토어에 올라온 앱을 면밀히 점검한다. 따라서 이용 가능한 앱의 수는 줄어들지만 악성인 것으로 보고되는 앱도 크게 줄어든다"라고 덧붙였다.

스미싱(Smishing)
공격자들이 활용하는 방법은 또 있다. 링크를 사람들이 누르도록 유도하려고 SMS 문자 메시지를 전송하는 것이다. 앞서 말한 내용과 전혀 다른 차원의 소셜 엔지니어링 수법인 SMS 피싱, 즉 스미싱(smishing)은 잘 속는 사람과 그렇지 않은 사람 모두를 낚을 수 있다.

와이어(Wire)의 최고위기관리자(CRO) 라스무스 홀스트는 “사이버 범죄자들이 의도와 목적에 따라 여러 가지 방법으로 SMS 피싱을 활용한다”라고 말했다. 홀스트는 “맬웨어를 장치에 설치하는 것이 목적이라면 대개 파일을 첨부하고, 그것을 사용자가 클릭해 다운로드하도록 유도하는 메시지를 보낸다. 사이버 범죄자들은 믿을 만한 사람을 사칭하기도 한다. 이를테면 고용주나 관리자인 척하면서 직원에게 첨부 문서를 검토해 달라고 하는 식이다"라고 설명했다.

이어 그는 "2년 전 제프 베조스는 믿을 만한 연락처에서 온 동영상 파일 하나를 다운로드 받았다가 스마트폰이 해킹 당했다"라며, "모바일 브라우저의 ‘제로데이 취약점(zero-day exploits)’을 악용하는 해커들이 링크 클릭을 유도해 사용자 동의가 없어도 악성 파일을 휴대전화 안에 심을 수 있다"라고 덧붙였다.

맬웨어(Malware)
사용자에게 버튼 클릭을 유도해 스마트폰의 보안 장벽을 낮추게 하는 속임수가 통하지 않는다면 해커들은 다른 대상을 노릴 것이다. 특히 기기 제조사의 제한을 해제하는 '탈옥(jailbreak)' 또는 '루팅(rooting)'을 통해 스마트폰 보안 장벽을 일부러 낮춰 놓은 사람이 유력한 타깃이다.

본래 '탈옥'이나 '루팅'은 스마트폰을 개인 취향에 맞게 설정하고 비공식 출처에서 원하는 앱을 설치할 수 있도록 해준다. 하지만 이 기능은 스마트폰을 봉쇄 상태로 유지해 주는 보안 샌드박스 기능을 느슨하게 만드는 속성이 있다.

애클립시즈(Eclypses) 창립자 겸 최고혁신책임자 데이빗 슌베르거는 “해커들은 사용자가 맬웨어를 다운로드 하도록 유도하기 위해 무료 VPN처럼 사용자들의 관심을 끌 만한 애플리케이션을 만든다”라고 말했다.

슌베르거는 “일단 악성 애플리케이션이 장치에 다운로드 되면 해당 장치의 루팅 또는 탈옥 여부를 확인한다. 루팅 또는 탈옥한 장치로 확인되면 개인 식별 정보 등 민감한 자료를 빼낸다. 탈옥한 장치는 운영 체제가 손상되기 때문에 비밀번호, 대화 내용, 은행 및 결제 정보와 같은 입력 데이터에 쉽게 접근이 허용된다"라고 설명했다.

프리텍스팅(Pretexting)
만일 사용자가 본인의 장치에 대한 통제권을 순순히 내놓지 않는다면, 공격자는 모바일 서비스 제공업체를 활용할 수 있다. 2000년대 중반 영국 타블로이드 신문들이 소위 ‘블래깅(blagging)’ 기법으로 유명인사와 범죄 피해자들의 모바일 음성 사서함에 접속한 사건이 유명한 사례다.

프리텍스팅(pretexting)은 공격자가 피해자의 개인정보를 짜깁기한 내용으로 사칭하는 수법이다. 이런 식으로 공격자는 통신 서비스 업체에 연락해 피해자 계정에 대한 접근 권한을 얻어내려고 시도한다.

과거에 타블로이드 신문들은 단지 특종 기삿거리를 노려 이런 기법을 사용했다. 하지만 범죄자들은 동일한 수법으로 더 큰 피해를 입힐 수 있다. 인포섹 인스티튜트(InfoSec Institute)의 정보보안 담당자 아담 콘케는 “공격자가 인증에 성공하면 통신사는 이를 믿고 ‘SIM 교체’라는 과정을 통해 피해자의 전화번호를 공격자가 소유한 장치로 이전해준다. 그렇게 되면 전화통화, 문자 메시지, 접근 코드(은행 등 금융서비스 제공업체가 SMS를 통해 사용자 스마트폰으로 보내는 이중 인증 코드)가 원래 사용자가 아닌 공격자에게 간다"고 설명했다.

블루투스를 통한 침투
사용자의 승인을 받아 내기 위한 속임수를 쓰지 않고도 스마트폰을 해킹할 수 있는 방법이 있다. 바로 무선 네트워크에 침투하는 것이다. 무선 기술을 활용한 기법은 모두 공격 대상에 물리적으로 가까워야 한다는 조건이 있는데, 공공 장소에서는 가능할 때도 있다. 

기술 및 보안 전문가이면서 맥키퍼(MacKeeper) 알렉산드르 마클라코프 CIO는 “블루투스 연결은 스마트폰의 허점 가운데 하나다. 해커들은 특수한 방법을 사용해 블루투스로 작동하는 장치에 연결한 후 해킹하는 경우가 많다”라고 말했다.

그는 이어 “흔한 해킹 방법이다. 많은 사람들이 블루투스 연결을 켜 놓기 때문이다"라며, "블루투스 연결이 통제되지 않는 스마트폰으로 해커들이 몰래 침투할 수 있다”라고 경고했다.

중간자 와이파이 공격
중간자(Man-in-the-middle) 와이파이 공격 역시 잠재적인 무선 공격 기법이다. 사이버보안 전문가이자 맬웨어폭스닷컴(MalwareFox.com) 기술 작가 피터 발타자르는 “많은 사람들이 무료 공공 와이파이로 연결하곤 하는데, 이러한 습관은 심각한 문제로 이어질 수 있다"라며, "영악한 해커들이 공공 와이파이 연결을 통해 스마트폰에 침투할 수 있기 때문이다”라고 말했다. 

실제로 해커들은 휴대폰을 직접 장악하지 않아도 통신망에 침투해 사용자에 대한 정보를 대거 얻어낼 수 있다. 물론 TLS 1.3을 사용하는 통신의 경우 이런 식으로 정보를 가로채기가 훨씬 더 어렵다. 다만 현재 TLS 1.3 프로토콜이 보편적으로 적용되고 있는 것은 아니다.

악성 케이블
아직 실제 공격 사례는 발견된 적 없지만 의외의 공격 방법이 존재한다. 평범해보이는 충전 케이블을 이용해 스마트폰을 해킹하는 것이다. 2019년 사이버 보안 콘퍼런스인 데프콘에서 보안 연구원 마이크 그로버가 해킹 공격용 OMG 케이블을 공개했다. 내부에 해킹 칩을 탑재해 사용자가 케이블을 연결하는 순간 해킹이 시작된다. 특정 프로그램을 실행하거나 특정 사이트에 들어가게 할 수 있으며 키 입력값을 훔쳐볼 수 있는 버전도 존재한다.

최근 마이크 그로버는 라이트닝 케이블에 이어 USB-C 포트에도 연결할 수 있도록 OMG 케이블을 업그레이드했다고 발표했다. 공공 장소의 충전 케이블도 쉽게 믿기 어려워진 셈이다. 

* 본 기사는 IDG 산하 미디어 중 하나인 CSO에 게재된 Josh Fruhlinger의 글을 기반으로 작성됐다. Josh Fruhlinger는 미국 LA에 거주하는 작가 겸 에디터다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.