스파이 된 스마트폰, 알고보니 24시간 나를 훔쳐본다!

[[진화하는 스미싱, 24시간 주의보] 3분기만 악성코드 2850개]

전국 CC(폐쇄회로)TV, 신용카드 결제 내역만으로 한 사람의 하루 일과를 파악할 수 있는 세상이다. IT(정보기술)가 발달할수록 내 일거수일투족을 누군가 훔쳐볼 수 있다는 우려도 커진다. 그런데 정작 우리가 24시간 갖고 다니는 스마트폰도 내 '스파이'가 될 수 있다는 사실에는 둔감하다.

이른바 '스파이앱'은 스마트폰에 저장된 내 정보를 모두 감시하고 해커에게 전송하는 역할을 한다. 일정관리, 문자, 통화내역, 금융거래정보까지 저장된 만능 스마트폰임을 감안하면 사용자도 모르는 사이에 모든 개인 정보가 감시당하고 있는 셈이다.

◇나를 지켜보고 있는 '스파이앱' 당신의 스마트폰에도?

보안업계에 따르면 스마트폰에 설치된 스파이앱은 문자메시지, 사진, 주소록, 통화내역은 물론 통화 녹음까지, 거의 모든 정보를 감시하고 조작도 할 수 있다. 불법이지만 실제 일어나고 있는 일이다.

스파이앱은 루팅한 안드로이드폰이나 '탈옥'한 아이폰 등을 대상으로 한다. 스파이앱이 스마트폰에 설치된 다른 앱에 접근할 수 있도록 잠금 장치가 열려 있어야하기 때문. 스파이앱은 해당 스마트폰에 대한 모든 권한을 획득한 후에 스파이앱 설치를 위해 필요했던 정보를 모두 삭제하기 때문에 사용자도 본인 스마트폰에 무슨 일이 일어나는지를 알 수가 없다.

이후 해커 등 스파이앱을 심어놓은 사람이 타인의 스마트폰을 감시하면서, 언제 어디서 무엇을 하고 누구와 통화를 하는지 모든 사생활을 엿보는 것이다.

스파이앱은 현재 해외사이트 어디서나 쉽게 구매할 수 있다. 안랩에 따르면 영국, 미국, 홍콩 등 여러나라 웹사이트를 통해 월 사용료 수십 달러에 판매되고 있다. 한국어를 지원하는 웹사이트를 운영하기도해 국내에서도 얼마든지 접근할 수 있다. 물론 자녀와 직원 등을 모니터링하기 위한 앱이라고 소개하지만, 현실에서는 사용자가 모르는 사이 감시하는 수단으로도 악용될 소지가 크다.

가족이나 지인간에 스파이앱을 설치하는 것뿐아니라 스미싱을 통해 대량 유포되는 사례도 발견되고 있다. 문자메시지나 모바일 메신저 등에 인터넷주소(URL)를 첨부해 내려받도록 유도하는 것이다.

이스트소프트는 지난달 29일부터 스미싱 공격을 통해 스파이앱이 유포되는 것을 최초로 확인했다고. 해당 공격을 분석한 결과 스미싱을 통해 9월부터 총 6개의 변종 스파이앱이 유포됐던 것으로 확인됐다. 이번에 발견된 스파이앱과 변종앱은 모두 동일한 제작자 또는 동일 그룹에서 제작된 것으로 파악하고 있다.

◇급증하는 스미싱, 방법도 다양해…'분리수거'로 낚시

안랩에 따르면 악성코드가 지난 3분기 스미싱 악성코드가 총 2850개 발견됐다. 이는 전년 동기(2011개) 대비 약 41.7%가 증가한 수치다. 악성코드는 스파이앱과 같은 악성앱을 사용자 모르게 설치하고 스마트폰 속 각종 정보를 빼돌리는 역할을 한다.

분석결과 신종 스파이앱 관련 보다는 여전히 금전적 이득을 챙기기 위한 악성코드가 79.1%를 차지하고 있다. 정상적인 은행 앱을 악성 앱으로 바꿔치기 해 금융정보를 탈취하고 금전피해를 유발하는 '뱅쿤(Bankun)'류가 46.5%로 가장 많았다. 이밖에도 SMS를 탈취해 모바일 결제를 해커가 시도할때 피해자가 알지 못하도록 인증번호나 기타 정보 획득을 시도하는 'SMS스틸러'가 뒤를 이었다.

악성코드를 유포하기 위한 스미싱 SMS 내용도 갈수록 다양해지고 있다. 최근 가장 이슈가 된 내용은 '분리수거 위반'이었다.

연립주택에서 혼자 살고 있는 직장인 구모씨(35)는 지난 주말 '민원 24, 분리수거 위반이 적발됐다'는 내용의 SMS 속 URL에 접속했다가 낭패를 봤다. 위반 내용을 본다고 접속한 것이 악성코드를 유포하는 사이트였던 것. 스마트폰은 먹통이 되고 원치않은 앱들이 다운로드 되더니 스팸전화와 SMS 폭탄까지 맞았다.

이러한 '생활 밀착형' 스미싱은 주로 층간 소음이나 쓰레기 무단투기 등 실제 생활에서 쉽게 발생할 수 있는 민원을 사칭한 내용으로 사용자들을 끌어들인다. 법원출두 명령이나 택배, 초대장 등 기존 스미싱 문구에 대한 경각심이 높아지면서 새로운 주제를 고안해낸 것.

지난 3분기에 수집된 스미싱 SMS 중 가장 많이 발견된 문구는 '택배 사칭'으로 전체의 36%를 차지했다. 이어 청첩장, 돌잔치, 생일 초대장이 22%를 차지했다. 이밖에도 예비군/민방위 훈련 문구도 꾸준히 등장하고 있다.

보안업계 관계자는 "연말연초가 되면 연말정산, 세금 등 관련한 내용으로 스미싱 SMS가 급증하기 때문에 주의가 필요하다"고 당부했다.

진달래기자 aza@

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>