보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
혹시 내 스마트폰도? 안전한 설날을 보내기 위한 모바일 보안 수칙!
최근 국내 연예인들의 스마트폰이 해킹당해 문자메시지 등 개인정보가 유출되었다는 피해 사례가 속속 보고되고 있습니다. 하지만 유명 연예인을 겨냥한 모바일 해킹 사고는 이번이 처음이 아닌데요. 지난 2014년, 할리우드 연예인 100여 명의 아이클라우드(iCloud) 계정에 백업된 개인 사진이 유출되어 세상이 떠들썩했던 적이 있습니다.
최근 이러한 모바일 해킹 사고가 연이어 발생하자 일반 사용자들도 '혹시 내 휴대폰은 문제가 없는가'라는 걱정으로 불안에 떨고 있습니다.
이번 사태는 연예인들의 클라우드 서비스가 직접 해킹되어 발생한 것은 아니라고 알려져있는데요. 그렇다면 오늘은 이번 사태의 원인은 무엇인지, 또 모바일 보안 위협에는 어떤 것들이 있는지, 마지막으로는 사용자들이 지켜야 할 보안 수칙까지 알아볼까요?
1. 나날이 교묘해지는 수법, '악성코드 클릭' 주의!
우선 모바일 보안을 위협하는 가장 일반적인 방법은 악성코드를 모바일 기기에 심는 방법입니다. 해커들이 택배 위치 추적 등과 같은 허위 문자를 이용해 악성코드를 다운받도록 유도하며, 사용자가 이를 실행하면 문자, 사진, 동영상 등 개인정보가 해킹되고 나아가 소액 결제 피해를 보기도 합니다.
대표적인 예로는 '스미싱(Smishing)'을 들 수 있습니다. 스미싱이란 문자메시지를 통해 악성 코드가 담긴 링크를 보내는 기법으로 링크는 대개 택배 알림, 모바일 청첩장, 무료 쿠폰 제공 등으로 위장됩니다. 특히 스미싱은 설날이나 추석 연휴를 앞두고 택배 배송 확인 문자로 사칭해 활개를 칩니다. 기분 좋은 설날을 보내기 위해서는 이러한 스미싱 공격에 각별한 주의가 필요합니다.
보안 tip! 불분명한 링크 클릭에 각별히 주의하고, 모바일 백신앱을 꼭 깔아두세요.
2. 사이버 범죄자들이 가장 선호하는 공격 기법, '크리덴셜 스터핑'
다음으로 알려드릴 모바일 보안 위협은 이번 국내 연예인 스마트폰 해킹 사고의 주 원인으로 추정되는 '크리덴셜 스터핑'입니다. 이번 사태는 초기에 스미싱이나 악성앱 감염으로 인한 위협노출 등 다양한 형태가 추정되었지만, 다른 곳에서 유출된 개인정보로 인한 2차 피해, 즉 크리덴셜 스터핑의 가능성에 무게가 실리고 있는데요.
* 크리덴셜 스터핑(Credential Stuffing)이란?
공격자가 여러 가지의 경로로 수집한 사용자들의 로그인 인증 정보(Credential)를 다른 사이트의 계정 정보에 마구 대입(Stuffing)하는 공격 방식
일반적으로 모바일 사용자들은 인터넷에서 자신만 사용하는 고유의 아이디를 갖고 있으며, 편의를 위하여 다양한 사이트에 동일한 로그인 인증 정보를 공통으로 사용하는 경우가 많습니다. 만약 해당 사이트가 해킹을 당해 계정 유출 사고가 발생했다면, 해킹당한 사이트와 동일한 계정 정보(아이디, 비밀번호)를 사용하는 곳들의 개인정보는 잠재적 위협에 노출되었다고 볼 수 있습니다.
보안 tip! 2단계 인증을 활성화하고, 비밀번호를 자주 변경해주세요.
3. 각종 보안 위협의 주범! '탈옥폰' 및 '복제폰'
마지막으로는 '탈옥폰' 및 '복제폰'을 각종 모바일 보안 위협의 주범으로 꼽을 수 있습니다.
'탈옥폰'이란 사용자가 유료 앱을 무료로 다운로드하거나 기존 운영체제에서는 수행할 수 없는 작업을 하기 위해 모바일 기기의 기본 운영 체제를 임의로 변경한 폰을 말합니다. 이러한 환경에서는 공격자가 아무런 제한 없이 정보를 탈취하고 백도어 악성코드를 설치함으로써 메모리 상의 기록을 복제해 사용자의 정보를 손쉽게 탈취할 수 있게 됩니다.
아예 유심칩을 복사한 '복제폰'도 모바일 해킹 사고의 원인이 될 수 있는데요. '복제폰'이란 다른 사람의 신상정보를 몰래 빼내 만든 불법 휴대폰입니다. 즉, 신상정보를 도용당한 사람의 휴대폰과 똑같은 휴대폰이 한대 더 생기는 것이라 실시간으로 문자를 주고받는 내역까지 해커가 모두 확인 가능해 각종 범죄 위협에 노출될 가능성이 큽니다.
보안 tip! 스마트폰 사용환경을 임의로 바꾸지 않으며, 기기 수리 및 교체 전에는 중요한 정보를 삭제하길 권장드립니다.
이렇게 모바일을 둘러싼 각종 보안 문제들이 발생하고 있는 가운데, 이러한 보안 위협에 맞서기 위해서 사용자들에게는 어떠한 노력이 필요할까요?
안전한 모바일 이용을 위한 보안 수칙 TOP4
1) 사용하는 모든 소프트웨어를 최신 버전으로 유지하기
해커는 보안에 취약한 낮은 버전의 OS나 앱을 노리고 악성앱 공격을 시도할 수 있습니다. 이에 항상 대응하기 위해서는 안드로이드 OS와 사용하는 앱을 최신 버전으로 유지해야 합니다.
2) 모바일 전용 보안앱을 최신 버전으로 유지하고 주기적으로 검사하기
각종 악성앱으로부터 모바일을 보호하기 위해서 모바일 백신 설치는 기본입니다. 백신을 설치한 후에는 신종 악성앱에 대응하기 위해 주기적인 DB 업데이트가 선행되어야 하며, 정기적으로 검사를 진행하는 것이 좋습니다. 모바일 백신 알약M에서 제공하는 검사 기능을 이용해보는 것도 좋은 방법입니다.
알약M의 '바이러스 검사' 기능은 클라우드 검사를 통해 더 빠르고 강력하게 바이러스를 탐지합니다. 사용자가 별도로 DB업데이트를 하지 않은 상황에서도 클라우드 실시간 조회를 통해 최신 DB로 검사가 가능하고, 각종 신종 악성 앱 위협에도 빠르게 대응할 수 있습니다.
3) 출처가 불명확한 문자/메신저 내 링크(URL) 주의하기
모바일 기기 사용량이 증가하면서 스미싱 문자, 메신저, 스팸 메일 등에 악성파일을 첨부하거나 랜섬웨어 다운로드로 연결되는 악성 링크를 삽입한 공격이 확산되고 있습니다. 따라서 출처가 불분명한 문자나 메일, 메시지는 바로 열지 않고 주의하는 습관이 필요합니다. 또는 모바일 백신 알약M의 '스미싱 탐지' 기능을 통해 내 스마트폰에 수신되는 알림 메시지가 스미싱인지 아닌지를 판단할 수 있습니다. 수신된 알림 메시지가 스미싱으로 탐지될 경우, 해당 메시지를 보낸 앱 명과 메시지 내용을 탐지창을 통해 즉시 확인할 수 있습니다.
4) 2단계 인증 활성화 / 비밀번호 자주 바꾸기
본인이 이용하는 사이트마다 비밀번호를 모두 다르게 설정하기가 힘들다면, 최소한 2단계 인증을 설정해 놓아야합니다. 2단계 인증이란, 계정 정보 이외에 또 다른 정보(예를 들어 SMS로 전송되는 인증코드 등)를 입력해야만 본인 인증을 하는 방식입니다. 만약 계정 정보가 유출되었다고 하더라도 추가적인 정보를 확인할 수 없기 때문에 계정에 로그인할 수 없게 됩니다. 이번 연예인 모바일 해킹 사고와 관련해서도 삼성 측은 역시 안전한 계정 사용을 위해 2단계 인증을 설정하길 권고하고 있습니다.
(출처: 랜섬웨어 예방수칙 보호나라 http://www.boho.or.kr/ransomware/prevention.do)
이렇게 오늘은 각종 모바일 보안 위협의 종류부터, 모바일 보안 수칙까지 알아보았는데요. 무엇보다 해킹 예방의 기본은 백신을 깔고 제 때 업데이트해주는 것이라는 점, 잊지 마셔야 할 것 같습니다.
그리고 또 한가지 중요하게 드릴 말씀!
이스트시큐리티를 성원해주시는 모든 분들께 설날을 맞아 감사의 인사를 드립니다 :)
2020 경자년 새해에도 하시고자 하는 일 모두 성취하시길 바라며, 안전하고 즐거운 설날 보내시길 바랍니다.
이스트시큐리티는 사용자 여러분이 모바일을 더 안전하게 이용하실 수 있도록 늘 노력하겠습니다.
감사합니다.