 |
모바일 기기는 대부분 24시간 켜져 있고, 금융정보를 비롯해 다양한 개인정보를 다수 저장하고 있어 해커들의 타깃이 되기 쉽다. 모바일 기기에 대한 공격 기법도 날로 다양해지고 있다. 메일이나 문자 메시지로 악성 링크를 클릭하도록 유도하는 단순한 공격 패턴을 벗어나 최근에는 스마트폰의 권한을 통째로 탈취하는 악성코드도 등장했다.
모바일 보안 위협의 대부분은 안드로이드 운영체제(OS)를 탑재한 기기에 쏠려 있다. 안드로이드 자체가 보안에 취약한 OS라고 단정 지을 근거는 없다. 어떤 플랫폼이든 취약점은 존재하기 마련이고, 이를 둘러싼 공격과 방어가 반복되면서 보안성은 높아지기 마련이다.
다만, 대부분의 안드로이드 스마트폰은 수많은 제조사와 통신사별로 최적화를 거쳐 출고되는 탓에 구글이 보안 패치를 내놓더라도 일괄적으로 배포하기 어렵다. 구형 스마트폰의 경우 보안 취약점이 발견되더라도 제조사가 지원하지 않으면 그대로 방치되기 일쑤다.
또 안드로이드는 앱 내에서 권한을 공유할 수 있는 범위가 넓고, 사용자가 임의로 설치파일(APK)을 내려받아 앱을 이용할 수 있어 상대적으로 보안 위협에 노출될 가능성이 크다. 최근 '포켓몬 고'가 세계적으로 선풍적인 인기를 끌자 정식 설치 파일로 위장한 악성 앱이 등장한 것도 상대적으로 파일 접근이 자유로운 안드로이드의 장점을 악용한 사례다.
 |
악성 앱의 목적은 사용자 몰래 스마트폰의 루트(최상위) 권한을 빼앗는 것이다. 이를 통해 해커는 원하는 앱을 추가로 설치하거나 정보 탈취, 광고 노출 등의 악성 행위를 수행할 수 있다. 안랩은 2016년 상반기 동안 최상위 권한 탈취를 목적으로 제작된 악성 앱 샘플을 4만6000여개 수집했다. 이는 작년 하반기보다 4배 증가한 수치다.
지난 달에는 스마트폰에서 카드 정보를 탈취한 후 통화 기능을 제한해 은행 신고를 막는 신종 안드로이드 악성코드도 등장했다. 이 악성코드는 해외에서 최초 유포됐으나, 신고를 하지 못하도록 등록해둔 전화번호에 한국 은행도 일부 포함돼 있는 것으로 분석돼 국내 사용자들도 주의가 요구된다.
보안 업계 한 관계자는 "과거 PC에서 액티브X의 폐해로 지적된 것처럼 특정 프로그램을 설치하는 과정에서 습관적으로 동의를 누르는 것은 스마트폰에서도 마찬가지로 위험하다"며 "앱을 설치할 때마다 장문의 약관을 꼼꼼히 살피는 것은 쉽지 않은 일이지만, 적어도 설치하고자 하는 앱이 과도한 권한을 요구하지는 않는지 확인할 필요가 있다"고 조언했다.
IT조선 노동균 기자 saferoh@chosunbiz.com
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
