# 스마트폰으로 네이버에 접속해 아이디와 패스워드를 입력하자마자 해커의 서버에도 내가 입력한 아이디와 패스워드가 실시간으로 나타난다.
3일 서울 양재동 서울교육문화회관에서 열린 국제해킹보안컨퍼런스(POC2011)에서 유동훈 아이넷캅 연구소장은 안드로이드 스마트폰용 키로거를 이용해 입력하는 키값을 가로채는 장면을 시연했다.
유 소장은 간단한 문자를 보내거나, QR코드를 스캔하게 하거나, URL을 보내는 등 일반적인 방법으로 악성코드를 사용자에게 전송했다. 키보드 보안 프로그램을 무력화시키는 안드로이드 스마트폰용 키로거는 문자, 채팅 내용과 계좌 이체 계정과 같은 중요 정보를 실시간으로 가로챈다.
스마트폰의 키보드 보안 프로그램은 키보드의 배치가 매번 실행될 때마다 바뀌어 스마트폰의 정보 입력단계에서부터 해킹이 불가능하도록 설계돼 있다. 하지만 해커에 의해 키 값을 기록하는 키로거 프로그램이 설치된 스마트폰은 배치가 바뀐 스마트폰 키보드를 화면 캡처와 키 값 기록을 동시에 수행해 사용자가 어떤 키를 누르고 있는지 실시간으로 알려준다.
즉, 스마트폰 뱅킹 이용시 사용자가 입력하는 키 값을 해커 마음대로 조종하는 맨인더미들(Min in the Middle) 공격을 시행하면 계좌정보와 이체 금액 등도 변조할 수 있다.
따라서 이 공격을 악용해 사용자가 입력하는 키 값을 조작하는 공격을 통해 공격자의 계좌로 일정 금액을 이체할 수도 있다. 공인인증서나 일회용 비밀번호(OTP)와 상관없이 계좌정보와 결제 금액 등을 바로 해커가 원하는 대로 변조해 송금시키기 때문에 돈을 가로채는 것은 식은죽 먹기다. 특히 충격적인 것은 탈옥이나 루팅 없이 정상적인 방법으로 스마트폰을 사용해도 이런 악성코드에 모르는 사이 감염될 수 있다는 점이다.
이번 발표를 진행한 유동훈 아이넷캅 연구소장은 “그간 스마트폰 해킹 시연은 악성코드를 설치해 폰에 저장된 정보를 빼오는 수준이었지만 키보드 보안프로그램을 우회해 사용자가 입력하는 정보를 실시간으로 가로챌수도 있다”며 “이를 악용하면 스마트폰 뱅킹 조작도 가능하기 때문에 보다 철저한 방어가 필요하다”고 말했다.
유 소장은 “스마트폰 키보드 프로그램을 우회하는 악성코드를 방어하기 위해서는 키보드 배열을 해커가 짐작하기 어려울 정도로 완전히 바꾸고 화면캡처도 동시에 금지시켜야한다”며 “스마트폰 펌웨어 업그레이드나 패치 등을 자주 업데이트해 악성코드 설치를 방어해야한다”고 당부했다.
장윤정기자 linda@etnews.com
