[한국연예스포츠신문] 조은교 기자 = 이스라엘 보안기업 NSO그룹의 스파이웨어 프로그램 `페가수스` 공격 대상에 마크롱 프랑스 대통령 등 국가정상급 인사도 포함돼 논란이 커지고 있다.

스파이웨어란, 스파이(spy)+소프트웨어(software)를 합친 말로, 문자메시지 등의 링크를 누르도록 유도한 뒤 스마트폰 데이터를 빼가는 해킹 프로그램이다. 페가수스는 이스라엘의 보안기업 NSO그룹이 만든 스파이웨어로 해킹한 스마트폰의 카메라와 마이크까지 조종할 수 있는 것으로 알려져 있다. 원래 테러리스트·범죄자를 추적하기 위한 용도로 개발되었다. 현재 40개국 60곳 가량의 정보기관, 집행기관이 페가수스를 구매해 사용해 온 것으로 알려졌다.

미국 워싱턴포스트(WP) 등 전 세계 16개 언론사 등은 탐사 보도를 통해 이스라엘 보안 기업 NSO 그룹의 스파이웨어 '페가수스'가 언론인과 인권 운동가, 정부 관계자 등의 휴대 전화를 해킹하는 데 사용됐다고 보도했다. 이들에 따르면 에마뉘엘 마크롱 프랑스 대통령을 비롯해 여러 국가의 국왕, 총리, 기업인들도 해킹을 당했다.

워싱턴 포스트는 페가수스와 관련된 5만 개 이상의 전화번호 목록 중 67대의 스마트폰에 대한 정밀 조사를 진행한 결과, 37대가 감염됐거나 침투 시도 흔적이 있었던 것으로 파악됐다고 밝혔다. 이 중 34대는 아이폰이었고, 23대가 감염되었다. 안드로이드 3대에서도 해킹 시도 흔적이 있었다. 안드로이드보다는 아이폰이 상대적으로 해킹에 강한 것으로 알려져 있는데, 보안으로 유명한 아이폰마저도 해킹에서 완전히 자유롭지는 않다는 것이다.

한편 페가수스의 공격 대상에 우리나라 카카오톡도 포함되었다는 뉴스가 있었으나 22일 한국인터넷진흥원(KISA), 보안업계 등에 따르면 페가수스의 해킹 목록에 국내 인사나 기업 등이 포함되지는 않았으며, 해킹으로 인한 피해사례도 보고된 바 없었던 것으로 드러났다.

 

갈수록 다양해지는 해킹 수법과 피해 사례 

페가수스 사건을 통해 핸드폰 해킹에 대한 불안감이 증폭되는 가운데, 국내에서는 페가수스에 노출된 대상자는 없는 것으로 파악되고 있으나 국내 해킹 사례는 늘어나고 있는 것으로 드러났다. 올해 3월 국가정보원이 금융기관을 사칭한 악성 앱을 통해 국내 스마트폰 약 4만대가 해킹 당했다고 밝힌 바 있으며, 문자메시지를 이용해 해킹하는 스미싱도 2019년 대비 2020년 2.6배나 증가했다.

지난해에는 코로나19 여파로 비대면 생활이 일상화되면서 확진자 수치나 전염병 예방 수칙, 긴급재난지원금 등 사람들이 혹하는 정보와 함께 링크를 누르도록 유도하는 스미싱이 많았다. 최근에는 “휴대폰이 깨져 수리를 맡겼다. 그러니 이 번호로 연락해 달라"라는 문자메시지를 보내고 본인 인증에 필요한 어플을 깔아 인증을 해야 한다며 어플리케이션(앱) 설치를 권유하는 방식이 성행했다.

이처럼 스마트폰을 해킹하기 위해 악성 앱을 유포하는 사례도 늘고 있다. 특히 기존에 은행에서 하던 일들을 스마트폰 앱으로 대체되면서 금융기관을 사칭해 악성 앱을 내려받도록 유도하는 경우가 많고, 10대들이 많이 이용하는 동영상 공유 앱 틱톡에서는 보안 취약점이 발견돼 각별한 주의가 요구된다.

모바일 해킹 공격은 사회적 이슈와 결합해 악성코드를 유포하는 방식이 많이 쓰이고 있다. 광고 서버, 인증서 탈취, 공급망, 인터넷 공유기, TV셋톱박스 등을 해킹한 후 이를 활용하거나 앱 마켓 업데이트 관리 시스템의 신규 취약점을 이용해 유포되기도 한다. 최근에는 공격자들이 악성코드를 숨겨 앱 마켓 사업자의 눈을 피해 활동하는 정황도 포착되고 있어 공식 앱스토어에서 다운로드하였다고 해서 안심할 수 없는 상황이다.

전문가들은 “어떻게 보면 휴대폰 해킹이 보이스피싱보다 더 쉽다”고 지적하기도 했다. 보이스피싱과 같은 범죄는 수법이 잘 알려져 있어 대처가 비교적 쉽지만 핸드폰 해킹은 잘 알려져 있지 않아 대응이 어렵고, 사용자의 개인정보만 알아내면 되기 때문에 해킹 방법도 쉽기 때문이다.

핸드폰 전체를 해킹할 수도 있지만 삼성이나 애플의 클라우드 서비스 아이디와 비밀번호를 알아내면 대부분의 정보에 접근할 수 있다. 아이디와 비밀번호는 휴대폰에 설치된 악성 애플리케이션 등을 통해 수집될 수도 있고, PC방과 같이 공용 컴퓨터에 숨어있는 악성코드가 작동해 그 PC를 사용했을 때 정보가 노출될 수 있다. 박대하 고려사이버대 정보관리보안학과 교수는 “아이폰은 쉽게 악성코드가 설치되지 않는데, 안드로이드폰은 허가되지 않은 앱스토어가 워낙 많고 보안 검사에 취약해 악성코드가 쉽게 설치될 수 있다”라며 “이것을 이용하면 아이디와 비밀번호는 물론 지문인식과 같은 생체인식 인증 방법도 유출될 수 있다”라고 말했다.

여기에 더불어 해킹을 하지 않았더라도 SNS를 통해 얻은 핸드폰 번호와 사진으로 협박하는 경우도 있다. 핸드폰을 해킹해 얻은 사진을 유포하겠다거나 음란물에 얼굴을 합성해 유포하겠다는 등 피해자를 협박하며 돈을 요구하는 사기 메일인 혹스(HOAX)가 성행하기도 했다.

 

스마트폰 해킹 시 증상은

그렇다면 악성코드에 감염되었을 때 스마트폰에서는 어떤 증상이 나타날까. 대부분의 악성코드들은 우리 눈에는 보이지 않는 곳에서 동작해 감염됐어도 모르고 지나칠 가능성이 높다. 글로벌 보안기업 크라우드스트라이크(CrowdStrike)와 보안프로그램 ‘알약’의 개발사 이스트시큐리티에 따르면 다음의 증상이 대표적이다. ▲건드리지 않았는데도 스마트폰이 혼자 켜지거나 화면이 움직여 작동하는 현상 ▲배터리가 갑자기 빨리 닳는 현상 ▲데이터 사용량 급증 ▲모르는 사이 패스워드가 바뀐 경우 ▲파일이 손상돼 동작하지 않는 현상 등이 스마트폰에서 발견되면 해킹을 의심해 보아야 한다.

 

2차 범죄에 노출 위험성 큰 해킹, 관련 규정 보충 및 강화 필요 

스마트폰 해킹의 가장 큰 문제는 단순히 사용자의 정보를 빼내는 것에서 그치지 않고, 정보를 이용한 2차적인 범죄에 노출될 수 있다는 것이다. 대표적인 것이 보이스피싱이다. 이번 달 한 자영업자는 코로나19로 인한 매출 감소로 운영하던 가게를 매물로 내놓았다. 그로부터 이틀 뒤, 자신을 부동산 업자라고 소개하는 한 남성의 전화를 받았고 "원래 권리금보다 천만 원을 더 받을 수 있다"며 '권리금 평가 인증서'를 요구했다. 이후, 인증서 발급 명목으로 부동산 업자라고 칭한 사람의 계좌로 입금했지만, 보이스피싱 사기였다.

유명 배우인 주진모의 스마트폰 해킹 사건도 있었다. 2020년 1월 배우 주진모의 스마트폰이 해킹되었고, 해커들은 탈취한 개인자료로 금품을 요구했다. 다만 해당 사건은 별도의 악성파일 등을 이용한 것이 아닌, 다른 곳에서 유출된 아이디와 패스워드를 삼성 클라우드에 대입해 계정을 탈취한 것으로 밝혀졌다.

이처럼 스마트폰을 노린 해킹 공격은 꾸준히 일어나고 있다. 경찰청이 발표한 해킹 발생 및 검거 현황에 따르면 2019년 해킹 범죄 발생 건수가 전년 대비 22.3% 늘어난 2664건으로 증가했다. 2020년 9월까지 누적 해킹 범죄도 2384건이 발생해 2019년 대비 21.7% 늘어나면서 증가세를 이어가고 있는 것으로 나타났다.

그러나 경찰이 검거한 해킹 범죄 사범은 갈수록 감소하고 있다. 경찰의 해킹 범죄 검거율은 2017년 40%대를 넘어서기도 했지만, 지난 2020년 1~9월 검거율은 17.6%에 그쳤다. 경찰청 관계자는 "이는 보다 지능화되고 있는 해킹 범죄의 위협이 쉽게 가라앉지 않고 있음을 보여주고 있다"고 분석했다.

심준보 화이트 해커 연합 ‘하루’ 회장은 “우리나라는 해킹 예방에 초점을 맞추다 보니, 정작 해킹에 당하고 난 뒤에 어떻게 할지와 피해 산정, 처벌 등에 대한 고민은 후순위에 미뤄둔다”고 꼬집었다. 우리나라에서는 해킹을 통한 정보 등의 훼손 및 누설, 정보통신망 침입에 대해 최대 5년 이하의 징역, 5천만원 이하의 벌금에 처할 수 있고, 악성프로그램을 전달 또는 유포한 경우 7년 이하의 징역, 7천만원 이하의 벌금에 처할 수 있다.

특히 해킹에 의해 사생활에 관련된 영상 등이 유출된 경우에는 피해자가 디지털 장의사나 업체에 직접 삭제를 요청해야 하는 실정이다. 갈수록 진화하고 다양해지는 해킹 수법에 대해 빠르게 대응할 수 있는 방법을 찾아야 하고, 피해자 구제도 강화될 필요성이 있다.

또한 페가수스 사건을 계기로 전 세계적으로 민간 업체의 상업용 스파이웨어 규제 강화 목소리가 커지고 있다. 미첼 바첼레트 유엔 인권최고대표는 “감시 기술의 판매·이전·사용과 관련해 엄격한 규제 및 감독, 인가가 필요하다”고 말했다.

스파이웨어에 대해 민간인이 대응할 수 있는 방법은 거의 없다. 모르는 사이에 정보를 해킹당하고, 그 정보가 어떻게 이용될지 본인은 모르는 것이다. 따라서 인권침해 측면에서 스파이웨어의 활용을 즉각 중단하고 기업의 사생활 침해로부터 개인을 보호해야 한다. 이를 위해 관련 기업들이 책임을 질 수 있도록 법적 규제를 마련해야 할 것이다.

 

내가 할 수 있는 예방 방법은?

해킹을 100% 막기는 어렵지만, 해킹을 예방하기 위해 과학기술정보통신부와 한국인터넷진흥원은 다음과 같은 보안 수칙을 권고하고 있다. 소프트웨어 업데이트를 꾸준히 하고, 알 수 없는 상대방이 보낸 링크나 앱은 클릭하지 말아야 한다. 앱을 설치할 때도 접근권한을 꼼꼼히 살펴봐야 한다. 각 사이트마다 비밀번호를 다르게 설정하는 것도 필요하다. 더불어 공공 와이파이 등 아무 네트워크에 자동으로 연결되지 않도록 하는 것이 좋다. 가능하다면 셀룰러 네트워크만 접속하도록 하고 자동 와이파이 연결 옵션은 끄는 것이 제일 좋다.