상당수 스마트폰 사용자들은 네스팟·아이피타임 같은 익숙한 공용 AP로 위장한 불법 무선랜 AP(액세스포인트)에 무심코 접속, 무선 AP에 대한 경계심이 매우 취약한 것으로 드러났다.
8일 한국인터넷진흥원)이 건국대학교에서 개최한 ‘웹사이트 보안강화 컨퍼런스’에서 에프에스케이시큐리티 최진원 선임연구원은 무선랜 AP 해킹 시험을 통해 스마트폰 사용자에게 이같이 경고했다.
그는 “최근 서울 시내 모 멀티플렉스 극장에서 극장 측 허락을 받고 모의 해킹을 실제 실시해 본 결과 생각보다 많은 스마트폰 사용자들이 아무 의심 없이 가짜 AP에 접속한 것으로 드러났다”고 말했다.
특히, 네스팟·아이피타임 등 익숙한 공용 AP인 것으로 위장해 불법 무선랜 AP를 설치하자 약 45초 만에 180여명이 넘는 스마트폰 사용자들이 몰려들어 최 연구원의 노트북은 한 때 다운되기도 했다.
최 연구원은 접속자 중에서 탈옥한 아이폰만을 찾은 후 22번 포트를 이용해 SSH 접속을 시도했다. 탈옥하게 되면 SSH라는 서비스가 아이폰에 탑재되는데 악의적인 해커들은 이 SSH를 통해 아이폰에 저장된 개인정보를 엿볼 수 있다.
최 연구원은 “가짜 AP에 접속한 스마트폰 사용자들의 SSH 아이디를 살펴보니 처음 탈옥할 때 자동 설정되는 비밀번호인 ‘알파인(Alpine)’를 그대로 쓰고 있는 사용자가 다수 발견됐다”고 말했다.
최 연구원은 “알파인 SSH 비밀번호를 입력한 후 스마트폰 내부에 저장한 아이디·패스워드·주민등록번호 같은 개인정보들을 모조리 들여다 볼 수 있었다”며 “반드시 탈옥폰의 SSH 비밀번호를 변경해야 안전하다”고 말했다.
그는 스마트폰 앱의 취약점도 지적했다. 가짜 AP에 접속한 스마트폰 사용자중 앱을 이용해 티켓 예매·마일리지 현황 등을 조회한 내용을 상당수 발견했다. 앱에 보안조치가 전혀 없어 스마트폰 사용자의 패킷도 그대로 들여다 볼 수 있었고 마일리지 변경·예매 현황 변경 등의 조작이 가능했다.
최 연구원은 “악의적인 의도를 가진 해커라면 다른 사용자의 마일리지를 0으로 조작할 수도 있고 내 마일리지를 100만원 이상 설정할 수도 있다”며 “예매 현황 처리 및 변경 등을 해커 맘대로 변경이 가능하기 때문에 앱 개발 단계부터 보안을 고려한 앱들을 개발해야한다”고 설명했다.
앱 업데이트 시에도 보안 취약점이 존재해 악성 코드를 내려받을 수 있다는 지적이다. 해커가 ARP 스푸핑을 이용해 스마트폰 사용자가 앱 업데이트를 요청했을 때 가짜 서버를 만들어두고 악성코드가 삽입된 업데이트 DB를 사용자에게 보내주면 사용자는 의심 없이 이를 다운받아 설치하고 악성코드에 감염돼 이후 해커에 의도대로 움직이는 좀비 스마트폰으로 변할 수 있는 과정을 최 연구원이 직접 시연했다.
물론 앱스토어를 통해 정상적인 단계를 밟아 다운받는 앱 업데이트는 안전하지만 탈옥한 아이폰이나 루틴한 안드로이드폰의 경우 이같은 위험이 존재한다는 설명이다.
최 연구원은 “대다수의 앱 개발자들이 보안을 전문적으로 공부한 사람들이 아니라 앱 개발에 도전해보는 일반 사용자들이기 때문에 보안까지 고려한 앱을 만들기는 쉽지 않다”며 “또한 시큐어코딩을 배울 수 있는 기회도 드물고 전문 개발자라 해도 시큐어코딩을 넣느니 앱에 또 다른 기능을 하나더 추가하는 것이 더 이익이라는 인식이 대부분이라 보안을 고려한 앱을 개발 및 보급토록 하는 정책적인 배려가 시급하다”고 말했다.
장윤정기자 linda@etnews.co.kr
