보이스피싱보다 쉽다···주진모가 당한 폰 해킹, 당신도 털린다

[이슈]by 중앙일보
중앙일보

<이미지를 클릭하시면 크게 보실 수 있습니다>


“누군가 제 휴대폰을 해킹했다면서 제 사진 수십 장을 보내왔어요. 돈을 안 보내면 이상한 사진이랑 합성해서 휴대폰에 저장된 번호 모두에게 뿌린다고 하는데 어쩌면 좋죠?”


포털 사이트에 ‘휴대폰 해킹’만 검색해도 이 같은 피해 사례가 수백 건 이상 등장한다. 최근 배우 주진모씨가 당했다고 밝힌 휴대폰 해킹 협박과 유사하다.


전문가들은 “휴대폰 해킹이 어떻게 보면 보이스피싱보다 더 쉽다”고 지적했다. 보이스피싱 수법은 워낙 널리 알려져 어느 정도 방어가 가능한데, 휴대폰 보안 문제는 대다수가 큰 신경을 쓰지 않기 때문이다.


주진모는 삼성 클라우드 계정 아이디와 비밀번호를 해킹당한 케이스다. 대부분의 스마트폰 사용자들이 휴대폰뿐만 아니라 PC·태블릿 등 자신이 사용하는 IT 기기에 동일한 환경을 갖춰놓기 위해 클라우드에 사진이나 애플리케이션, 문자와 전화번호 등을 모두 저장해놓고 필요할 때마다 다운받아서 쓰고 있다.

중앙일보

<이미지를 클릭하시면 크게 보실 수 있습니다>




클라우드 아이디·비밀번호 빼내 정보 유출


그런데 이 클라우드에 접속할 수 있는 방법으로 대다수의 사용자는 아이디와 비밀번호 정도만 사용하고 있다. 즉 아이디와 비밀번호를 아는 누구라도 해당 클라우드에 접속할 수 있게 되는 셈이다.


클라우드 자체가 해킹된 게 아니라 사용자의 개인정보만 알아내면 되기 때문에 해킹 방법도 쉽다. 아이디와 비밀번호는 휴대폰에 설치된 악성 애플리케이션 등을 통해 수집될 수도 있고 PC방과 같이 공용 컴퓨터에 숨어있는 악성코드가 작동해 그 PC를 사용했을 때 정보가 노출될 수 있다. 박대하 고려사이버대 정보관리보안학과 교수는 “아이폰은 쉽게 악성코드가 설치되지 않는데, 안드로이드폰은 허가되지 않은 앱스토어가 워낙 많고 보안 검사에 취약해 악성코드가 쉽게 설치될 수 있다”며 “이것을 이용하면 아이디와 비밀번호는 물론 지문인식과 같은 생체인식 인증 방법도 유출될 수 있다”고 말했다.



유심 복사, 악성코드 심기로도 해킹 가능


‘택배 위치 추적’ ‘민원 24 상담 가능’ 등과 같은 허위 문자를 이용해 악성코드를 다운받도록 유도하는 수법도 여전히 사용된다. 박 교수는 “일반적으로 링크를 눌러도 설치 여부를 다시 한 번 물어보는데, 보통 이것을 설치해야만 정상적으로 기능할 것이라고 유혹을 하는 메시지가 적혀 있다”며 “이래서 사람들이 쉽게 설치하는데, 이렇게 설치된 악성코드를 통해 ‘좀비휴대폰’을 만들어 다른 휴대폰을 공격하는데 사용하거나 본인도 모르는 방식으로 악용될 수 있다”고 경고했다.


아예 유심칩을 복사해 ‘쌍둥이폰’을 만드는 해킹도 있다. 이렇게 되면 완전히 똑같은 휴대폰이 하나 더 생기게 되는 셈이라, 실시간으로 문자를 주고받는 내역까지 해커가 모두 확인할 수 있다. 박 교수는 “기술력이 필요한 일이지만 아예 불가능한 것이 아니다 보니, 유심칩을 확보할 수 있다면 그것을 복사해 복제폰을 만들 수도 있다”고 말했다.



휴대폰 해킹, 사업 수단으로 활용하기도

중앙일보

<이미지를 클릭하시면 크게 보실 수 있습니다>


일각에서는 이 같은 휴대폰 해킹을 사업 수단으로 활용하기도 한다. 흥신소 같은 곳에서는 불륜이 의심되는 남편이나 아내의 휴대폰을 해킹해준다고 공공연하게 광고를 하고 있다.


이들이 사용하는 수법도 유사하다. 악성코드를 심어 휴대폰 내역을 모두 감시하거나, 남편이나 아내가 자주 쓰는 아이디와 비밀번호를 얻어내 클라우드를 해킹하고 디지털 기록을 조사하는 것이다.



해킹한 '척' 하는 사기 수법도 만연


이처럼 휴대폰 해킹 협박이 퍼지다 보니 ‘블러핑’도 있다. 휴대폰 해킹을 한 것이 아닌데도 마치 피해자의 휴대폰을 해킹한 것인 양 속여 돈을 갈취하는 작전이다. 장남수 세종사이버대 정보보호학과 교수는 “페이스북이나 인스타그램과 같은 개인 소셜네트워크서비스(SNS)를 통해 수집한 사진이나 지인 정보를 통해 마치 휴대폰을 통째로 해킹한 것처럼 협박하는 사례들도 있다”고 설명했다.



"2단계 인증, SNS 관리 신경써야"


전문가들은 수고스럽더라도 본인이 계속 보안에 신경을 써야 한다고 지적했다. 장 교수는 “최소한 클라우드 계정은 아이디와 비밀번호를 따로 쓴다거나 수시로 바꿔준다든가 하면서 본인이 개인정보 보호를 위해 신경을 써야 한다”고 지적했다. "클라우드 아이디와 비밀번호뿐만 아니라 생체인식이나 문자메시지를 통한 인증 등 '2단계 인증'을 활성화하는 것도 필요하다"고 덧붙였다.


박 교수도 “모르는 사람과 SNS를 통해 친구를 맺는 일이 매우 일상적인데, 이렇게 되면서 자신의 민감한 정보가 악용하려는 사람들에게 넘어가는 게 훨씬 쉬워졌다”며 “SNS에 가급적 민감한 개인 정보는 올리지 말고 모르는 사람의 초청이나 친구 추가 등에도 쉽게 응하지 않는 게 좋다”고 말했다.


이후연 기자 lee.hooyeon@joongang.co.kr


중앙일보 '홈페이지' / '페이스북' 친구추가


이슈를 쉽게 정리해주는 '썰리'


ⓒ중앙일보(https://joongang.co.kr), 무단 전재 및 재배포 금지

2022.08.06원문링크 바로가기

본 콘텐츠의 저작권은 저자 또는 제공처에 있으며, 이를 무단 이용하는 경우 저작권법 등에 따라 법적 책임을 질 수 있습니다.

Copyright © ZUM internet Corp. All Rights Reserved.