날아든 문자 하나만 잘못 클릭해도 스마트폰 화면(모니터)이 그대로 해커에게 실시간 노출되는 것으로 확인됐다. 일명 `모니터 해킹`으로 해커가 원격제어 프로그램인 `리모트툴(Remote Tool)`을 함께 설치하면 스마트폰 모든 기능을 작동할 수 있다.
전자신문이 국내 모 보안업체 모니터 해킹과정을 지켜본 결과, 루팅(탈옥)과 리모트툴 설치로 PC 모니터에서 타인 스마트폰 화면을 동일하게 구현하고 조작이 가능했다. 예컨대 스마트폰으로 애플리케이션(앱)을 클릭하자 PC 모니터에 뜬 스마트폰 화면이 0.5초정도 시차를 두고 실행됐다. 원격 조작도 간단했다. PC모니터에 뜬 스마트폰 화면 앱을 마우스로 더블 클릭하자, 프로그램이 그대로 실행됐다. `루팅`을 이유로 실행되지 않는 앱도 있었지만 일부 시중은행 뱅킹앱을 포함 대부분 앱을 실행할 수 있었다.
모니터 해킹은 기존 데이터를 빼 가는 `데이터 유출 해킹`과 달리, 해커가 화면을 그대로 보면서 조작할 수 있어 위험성이 크다. 일례로 PC 인터넷뱅킹은 공인인증서와 보안카드 비밀번호를 입력해도 화면에 숫자·알파벳이 뜨지 않지만, 스마트폰 뱅킹은 액정을 누르는 순간 숫자가 떠서 비밀번호를 한 번만 입력해도 그대로 노출된다.
스마트폰 모든 기능을 사용할 수 있어 다양한 범죄가 가능하다. 원격으로 스마트폰 마이크 기능을 작동해, 도청장치로 사용할 수 있다. 모바일투표 경우 선거 조작도 가능하다. 간단한 프로그램을 설치하면 스마트폰 화면이 꺼진 상태에서도 원격 PC 모니터에서는 화면을 켜 놓은 상태로 조작할 수 있다는 게 보안전문가 설명이다.
업계에서는 모니터 해킹을 위한 원격 루팅·탈옥은 단문서비스(SMS) 이외에 웹사이트(모바일)·앱·바코드·QR코드 심지어 무선중계기로도 가능하다고 주장한다. 무선중계기를 공격해 주변에 이동 중인 사람 스마트폰이 와이파이망을 잡기 위해 검색하는 동안 루팅 프로그램을 설치하는 형태다. 보안업체 관계자는 “특별히 관심을 갖지 않는 이상 사용자가 루팅이 진행되고 있음을 알지 못할 것”이라고 말했다.
현재 모니터 해킹을 원천 차단하는 뾰족한 방법이 없는 것으로 파악된다. 생소한 문자나 앱, 모바일사이트 등을 실행하지 않는 정도가 대안인 셈이다.
윤석구 테르텐 사장은 “PC 해킹은 사용자가 입력하는 키 값, 화면에 표시되는 정보 2가지를 알아야 해킹이 가능했지만 스마트폰에서는 키패트가 화면에 표시되는 만큼 모든 해킹이 가능하다”며 “안티 바이러스 백신, 모바일 보안관리(MDM) 프로그램으로도 모니터 해킹을 막을 수 없어 진화된 보안 기술이 시급하다”고 강조했다.
박춘식 서울여대 정보보호학과 교수는 “키패드가 화면에 표시되는 스마트폰은 일반 휴대폰보다 해킹에 취약하다”며 “사용자는 루팅·탈옥을 삼가고 의심스러운 앱을 다운받지 않는 등 기본적인 스마트폰 보안수칙을 준수하고 보안기업에서는 모니터 해킹을 방어할 기술을 개발해, 적용해야 한다”고 말했다.
※용어설명=루팅·탈옥:스마트폰 해킹을 위한 사전 절차다. 루팅(Rooting)은 안드로이드폰 운용체계를 해킹해 관리자 권한을 얻는 행위로, 안드로이드 운용체계가 지원하지 않는 기능을 추가하거나 이미 지원하는 기능을 삭제할 수 있다. 탈옥(Jail Breaking)은 애플의 아이폰 잠금장치를 사용자 해제(해킹)하는 것이다. 잠금장치를 해제하면 한 번에 여러 프로그램을 구동할 수 있는 멀티태스킹이나 유료앱을 무료로 다운받을 수 있다. 루팅이나 탈옥을 하면 OS 업그레이드나 AS를 받을 수 없다.
김준배·장윤정기자 joon@etnews.com