스마트폰의 종류는 아주 다양하지만, 사용되는 OS(운영체재)는 안드로이드기반 또는 iOS기반, 윈도우모바일 기반등으로
압축 시킬 수 있다.
이는 스마트폰의 종류는 틀려도 특정 OS를 공략하기 시작한다면 많은 피해가 된다는 이야기로 받아 들일 수 있다.
국내 보안업체인 하우리(Hauri)에서 이런 스마트폰의 취약하다는 내용을 인터뷰하여 MBC에서 단독으로 보도하였다.
MBC에서 단독보도 한 동영상은 아래에서 확인 할 수 있다.
- [보도자료] (주)하우리, 스마트폰 도청 및 해킹 위협 시연 공개
- 전세계 1억 명이 사용하는 스마트폰도 도청될 수 있다 –
국내외 스마트폰 사용자가 급증함에 따라 스마트폰 환경에서도 PC환경과 마찬가지로 다양한 보안위협이 끊임없이 발생하고 있다. 보안전문기업 하우리(대표 김희천, www.hauri.co.kr)가 최근 일상적인 통화 내용 및 회의 도청, 스마트폰 주변 소리 녹음 등 여러 환경에서 스마트폰 도청이 가능한 것을 스마트폰 해킹 시연을 통해 영상으로 공개했다.
스마트폰의 음성 녹음 기능을 이용한 악성코드 유포 시 ▲ 도청을 통한 특정사용자의 비밀회의 내용 유포 ▲ 주요 장소 접근 시 위치추적을 통한 도청 등이 가능했으며, 스마트폰의 대기 상태에서도 얼마든지 녹음이 가능하기 때문에,
이를 악용할 경우 충분히 사회적인 문제를 유발할 수 있는 것으로 알려져 더욱 충격을 주고 있다.
[그림1] 스마트폰 도청 시연 가상 시나리오 |
[그림2] 스마트폰 해킹 시연 가상 시나리오 |
또, 악성 어플이 설치된 스마트폰은 SMS 문자 메시지 발송만으로, 스마트폰 연락처에 있는 모든 사람들에게 악성코드가 포함된 링크의 문자메시지를 전달함으로써, 순식간에 많은 사람들에게 악성코드를 전파한다. 이 때, 사용자는 지인을 통해 아무런 의심 없이 문자메시지를 클릭함으로써 악성코드에 감염되게 된다. 이렇게 악성코드가 설치된 수많은 좀비 스마트폰을 이용하면 PC 환경에서와 같이 특정 웹사이트에 대해 DDoS 공격이 가능하다.
그 밖에도, 무분별한 어플리케이션 다운로드를 통해 악성코드에 감염된 스마트폰은 ▲ 개인 정보 유출(연락처 목록, 문자 메시지, 이메일 내용 등) ▲ 스마트폰 위치 추척 및 GPS 위치 정보 유출 ▲ 과금을 유발하는 문자 메시지를 발송 ▲ 각종 금전적인 피해 유발 등 다양한 위협요소를 가지고 있다.
하우리 선행기술팀 최상명 팀장은 “악성 앱으로부터 자신의 스마트폰을 지키기 위해서는 다양한 노력이 필요하다”며,
“무엇보다도 사용자 스스로가 스마트폰의 중요한 정보들이 유출될 수 있다는 점을 항상 인지하고, 스마트폰 전용 백신인
‘바이로봇 모바일(ViRobot Mobile)’과 같은 스마트폰 백신 설치와 동시에, 항상 최신버전으로 업데이트 해야 한다.”고
말했다.
하우리 김희천 대표는 “지금까지 하우리는 아이폰을 비롯하여 안드로이드, 블랙베리, 바다 등 다양한 운영체제 기반의 스마트폰 전용 백신을 개발해 왔다.”며 “앞으로도 하우리는 안전하고 편리한 모바일 환경을 만들기 위해 사전예방기능이 강화된 스마트폰 백신을 지속적으로 연구·개발해 나갈 계획이다.”라고 말했다.
한편, 하우리는 국내에서 가장 많은 모바일 샘플을 보유하고 있으며, 현재까지 약 100건(2011년, 4월말 기준)의 샘플이 업데이트 됐다. 보다 자세한 내용은 ‘하우리 홈페이지(www.hauri.co.kr)’ 및 ‘바이로봇 모바일 전용 홈페이지(m.hauri.co.kr)’를 확인하면 된다.
< 스마트폰 침해사고 대응을 위한 10계명 > 1. 의심스러운 애플리케이션 다운로드하지 않기 2. 신뢰할 수 없는 사이트 방문하지 않기 3. 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기 4. 비밀번호 설정 기능을 이용하여 정기적으로 비밀번호 변경하기 5. 블루투스 기능 등 무선 인터페이스는 사용시에만 켜놓기 6. 이상증상이 지속될 경우 악성코드 감염여부 확인하기 7. 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기 8. PC에도 백신프로그램을 설치하고 정기적으로 바이러스 검사하기 9. 스마트폰 플랫폼의 구조를 임의로 변경하지 않기 10. 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하기 |
* 출처 : 방송통신위원회-한국인터넷진흥원(KISA), 『스마트폰 정보보호 주체별 역할 안내서』(2010년 6월호 인용)
* 참고 : http://www.kisa.or.kr/notice/noticeView.jsp?mode=view&p_No=4&b_No=4&d_No=299 (KISA 보도자료)
'IT 보안소식' 카테고리의 다른 글
[정상파일변조] 변조된 사이트를 이용한 정상파일(ws2help.dll)을 수정하는 악성파일 주의!! (2) | 2011.06.19 |
---|---|
알약(ALYac), 로그인 상태를 가로채는 앱을 통한 개인정보 유출 주의 (0) | 2011.06.14 |
안드로이드(Android), 정상 어플리케이션으로 위장한 "DroidDream" 변종 "DroidDreamLight" 주의!! (0) | 2011.06.03 |
알약(ALYac), 국내 환경에서 동작하는 금융계좌 탈취용 악성코드 (0) | 2011.05.26 |
알약(ALYac), 알약 업데이트를 방해하는 악성코드 전용백신 안내(온라인게임 스파이웨어 전용) (0) | 2011.05.20 |
댓글