커지는 스마트폰 해킹 공포…“금융·틱톡 앱 사용 주의”

(그래픽=이스트시큐리티 알약 블로그 캡처)

[이데일리 이후섭 기자] 스마트폰을 해킹하기 위해 악성 애플리케이션(앱)을 유포하는 사례가 늘고 있다.

특히 비대면 시대 `손 안의 금융` 생활이 확산되면서 금융기관을 사칭해 악성 앱을 내려받도록 유도하고 있으며, 동영상 공유 앱 틱톡에서는 취약점이 발견돼 각별한 주의가 요구된다. 출처를 알 수 없는 앱은 설치하지 말고, 2단계 로그인 인증을 설정하는 등 보안 수칙을 철저히 준수할 필요가 있다.

지난해 스미싱 탐지 95만건…“해킹 의심사례 접수도 많아”

24일 한국인터넷진흥원(KISA)에 따르면 지난해 악성 앱 설치 인터넷주소(URL)를 포함한 스미싱을 탐지한 건은 총 95만843건으로 전년(36만4000건) 대비 2.6배 이상 늘었다. 앞서 국가정보원 사이버안보센터도 최근 금융기관을 사칭한 악성 앱을 통해 국내 이동통신사에 가입된 약 4만대의 스마트폰이 해킹당한 정황을 발견했다고 밝히기도 했다.

KISA 관계자는 “스마트폰 해킹 피해가 의심된다는 개인의 신고 사례도 118상담센터로 많이 접수되고 있다”고 설명했다.

스마트폰에는 외부 해킹 시도를 막는 솔루션이 탑재돼 있고, 지난해 양자보안 스마트폰이 출시되는 등 직접적인 해킹 위험에 노출될 확률은 높지 않다. 이에 공격자들은 교묘하게 위장된 악성 앱을 스마트폰에 설치하도록 유도하고, 설치된 앱을 통해 정보를 탈취하는 방식을 사용하고 있다.

국정원에서 발견한 공격도 국내 금융기관의 인터넷뱅킹 앱을 사칭한 가짜 앱을 내려받게 한 후 이를 통해 통화기록과 문자메시지, 저장문서 등을 가로챘을 뿐 아니라 스마트폰 통화를 도청한 정황도 포착됐다. 국정원은 국내 보안업체와 공조해 해당 악성코드에 대한 백신을 업데이트하는 등 후속 조치를 완료했다.

진화하는 악성 앱 공격…“공식 마켓도 안심 못해”

모바일 해킹 공격은 최근 사회적 이슈와 결합해 악성코드를 유포하는 방식이 많이 쓰이고 있다. 광고 서버, 인증서 탈취, 공급망, 개발·유통사 홈페이지, 인터넷 공유기, TV셋톱박스 등을 해킹한 후 이를 활용하거나 앱 마켓 업데이트 관리 시스템의 신규 취약점을 이용해 유포되기도 한다. 특히 최근에는 공격자들이 코드 난독화 등 악성코드를 숨겨 앱 마켓 사업자의 눈을 피해 활동하는 정황도 포착되고 있어 공식 앱 마켓에서 앱을 내려받았다고 해서 안심할 수 없는 상황이다.

이미 내려받은 앱에서 취약점이 발견돼 외부 해킹 공격에 노출될 수도 있다. 보안 전문기업 이스트시큐리티에 따르면 최근 이집트의 한 보안 연구원이 틱톡 안드로이드 앱을 테스트하던 중 외부 연계 시 원격코드 실행으로 이어질 수 있는 다수의 취약점을 발견했다. 해당 연구원은 틱톡 보안 팀에 취약점을 제보했고, 틱톡은 취약점으로 드러난 코드 수정 및 삭제 등의 조치를 취했다.

이에 더해 앞으로는 공격자가 모바일 개발자를 대상으로 개발 중인 앱을 아예 공격할 것이라는 전망도 나온다.

시장에 출시되기 전에 앱에 악성행위를 수행하는 코드를 심어놓는 것으로, 사용자는 속수무책으로 당할 수 밖에 없게 된다.

금융보안원은 지난 1월 발간한 보고서를 통해 “모바일 기기의 금융 앱 설치 여부를 확인해 사회공학적 내용을 포함한 알림 푸쉬 및 피싱페이지 접속을 유도하는 공격이 예상된다”며 “사용자가 자주 입력하는 계정정보, 개인정보, 카드정보를 사전에 저장해 쉽게 불러오는 `자동완성(Autofill) 기능`을 악용해 정보를 탈취하는 피싱페이지도 늘어날 것”이라고 내다봤다.



함부로 내려받지 말고, 2단계 인증으로 보안수칙 철저히

고도화되는 악성 앱 공격 피해를 최소화하기 위해서는 일상 속에서 보안수칙을 지키는 것이 최선의 방법이다.

우선 공식 앱 마켓이 아닌 곳에서의 앱 설치는 최대한 피해야 한다. 또 앱 설치 시에 과도한 권한을 요구하는 앱은 의심할 필요가 있으며, 문자나 소셜네트워크서비스(SNS) 메시지에 포함된 인터넷주소(URL)를 함부로 클릭해서는 안 된다.

앱 마켓에 몰래 들어가 악성코드를 뿌리는 앱도 있어 스마트폰 보안 설정도 철저히 해야 한다. 민감한 개인정보는 최대한 스마트폰에 저장하지 않도록 하고, 로그인 인증을 2단계로 설정해 보안을 강화해야 한다.

악성 앱 감염이 의심될 경우에는 계정 패스워드를 변경하고, 스마트폰을 초기화하는 등 신속히 대처할 필요가 있다.