<장길수의 IT인사이드>(204) 해킹에 취약한 ‘스카이프’ 앱

스마트폰의 보안 취약성이 또 다시 도마위에 올랐다. 이번에는 인터넷 전화업체인 `스카이프`다. 해킹 툴을 사용해 스카이프 앱을 설치한 스마트폰 사용자의 각종 개인 정보를 아주 쉽게 빼낼 수 있다는 게 증명된 것이다. 스마트폰의 보급에 힘입어 전세계적으로 1천만명 이상의 사용자가 자신의 스마트폰에 스카이프 앱을 설치해 사용하고 있는 것으로 알려져 파장이 적지 않을 것으로 보인다.

안드로이드 전문 블로그 사이트인 ‘안드로이드 폴리스(www.androidpolice.com)’에 따르면 안드로이드 개발자인 ‘저스틴 케이스’는 최근 자신이 개발한 ‘아주 간단한’ 해킹 툴을 사용해 ‘스카이프’ 앱을 설치한 안드로이드폰 사용자들의 스마트폰을 해킹하는 데 성공했다. 스마트폰 사용자의 이름, 전화번호, 생일, 이메일, 채팅 및 메신저 로그 상황 등 각종 개인 정보를 자신이 개발한 해킹도구를 활용해 취득한 것이다.

이번 해킹이 문제가 되는 것은 특별히 고난도의 해킹 기술이 사용된 것이 아니라는데 있다. 루트 파일에 접근하지 않고도, 그리고 별다른 승인 절차 없이도 스카이프 사용자의 개인 정보를 취득할 수 있었다는 것.

‘저스틴 케이스’가 이번에 스카이프 앱의 보안 취약성을 발견한 것도 우연히 벌어진 일이다. 그는 HTC의 안드로이드폰인 ‘썬더볼트’를 사용하고 있는데, 자신의 휴대폰에 최근 유출된 ‘스카이프 비디오’ 앱을 설치해 사용하는 과정에서 사용자 개인 정보가 아주 허술하게 다뤄지고 있다는 사실을 발견했다.

그는 여기에서 머물지 않고 현재 폭넓게 사용되고 있는 안드로이드용 ‘스카이프 앱’의 보안 수준을 테스트했다. 자신이 개발한 ‘Skypwned’라는 해킹도구를 활용해 스카이프 사용자의 각종 개인 정보들을 담고 있는 ‘sqlite3’라는 데이터베이스에 쉽게 접근할 수 있었다. 루트 파일에 접근하는 복잡한 과정이 아니라 너무도 단순한 과정을 거쳐 해킹할 수 있다는 것에 그도 놀랐다고 한다. 마치 열쇠를 현관문에 꽂아 놓은 채 외출하는 것이나 마찬가지라는 것. 그만큼 스카이프가 보안에 허술하다는 것을 증명했다는 것이다.

그는 만일 악의적인 개발자가 ‘Skypwned’ 등의 해킹 툴의 코드를 약간 변경해 외부에 확산시킨다면 스마트폰 사용자들의 개인 정보가 무방비로 유출될 것이라고 우려했다.

사실 스마트폰의 보안 취약성은 이미 여러 차례 지적된 바 있다. 지난해 12월 월스트리트 저널은 101개의 아이폰 및 안드로이드 앱을 대상으로 조사한 결과 무려 56개의 앱이 스마트폰 사용자의 고유한 ID 정보들을 사용자 동의 없이 유출하는 것을 확인했다. 앱의 종류에 따라 성별, 나이, 위치 등 정보 등이 광고주나 온라인 사업자에게 자동으로 전송되어 마케팅 도구로 활용될 가능성이 높은 것으로 파악됐다.

특히 마이 스페이스, 판도라 등 대중적으로 인기를 끌고 있는 앱이 이런 개인 정보 보호에 취약한 것으로 알려져 충격을 주었다.

이번 스카이프 앱의 보안 취약성 문제가 단발성으로 끝날지 아니면 다른 인터넷 전화 앱이나 메신저 앱 전반으로 확산될지는 좀더 두고봐야할 것 같다. 하지만 스마트폰의 보급 확산으로 사용자들의 보안 의식이 높아지고 있는 상황인 만큼 업계 전반의 경각심이 요구되는 때라는 점은 분명해보인다.

장길수 기자 ksjang@etnews.co.kr

영상바로가기 : http://www.youtube.com/v/An8SnCBj-gU?version=3