국회의원 출마를 선언한 태영호 전 영국주재 북한 대사의 스마트폰이 해킹된 사실이 최근 확인됐다. 앞서 배우 주진모의 휴대전화가 해킹돼 협박당한 사건도 화제가 되면서 스마트폰 보안에 대한 관심이 어느 때보다 뜨겁다. 전문가들은 23일 “스마트폰 계정의 아이디와 비밀번호가 노출되지 않도록 하고, 출처가 불분명한 문자 링크는 가급적 접속하지 말라”고 조언했다.
유명인의 경우 해킹 그룹의 타킷이 되는 경우가 많다. 태 전 대사의 스마트폰 해킹은 보안기업인 이스트시큐리티가 북한 추정 해킹조직의 서버를 역추적하던 과정에서 확인됐다고 한다.
해킹수법은 알려지지 않았지만 업계는 ‘스피어 피싱(Spear Phishing)’ 공격 수법일 가능성이 크다고 본다. 스피어 피싱은 스마트폰이나 컴퓨터에 악성코드를 설치해 내부 정보를 빼내는 수법이다.
아마존 창업자인 제프 베이조스도 이렇게 당한 것으로 보인다. 베이조스는 2018년 빈 살만 사우디아라비아 왕세자로부터 모바일 채팅앱 ‘왓츠앱’ 메시지를 받은 뒤 방대한 정보가 유출됐다고 주장했다.
상황은 대부분 비슷하다. 피해자가 방심한 사이 문자 메시지의 인터넷주소(URL)을 누르고 동의하면 자신도 모르는 사이 모든 정보를 외부 유출할 수 있는 악성코드가 설치된다. LG전자 관계자는 “출처가 불분명한 문자 링크는 가급적 접속하지 않아야 한다”며 “출처를 알 수 없는 앱이나 과도한 권한을 요구하는 앱은 설치하지 않아야 해킹을 방지할 수 있다”고 말했다.
앱은 공식 앱스토어를 통해서만 내려받는 것도 필요하다. 인터넷 사이트에서 URL을 통해 앱을 다운받다가 악성코드를 함께 내려 받을 수 있기 때문이다. 스마트폰용 백신 프로그램을 주기적으로 업데이트하는 것도 필요하다.
다른 PC나 보안이 취약한 인터넷 사이트에서 얻은 계정 정보인 아이디와 비밀번호로 스마트폰 클라우드 서비스를 해킹당할 수도 있다.
해킹을 목표로 한 이가 특정 홈페이지에서 얻은 계정 정보로 해당 개인의 삼성·구글·아이클라우드 등 스마트폰과 연동되는 클라우드 서비스에 접근하는 것이다. 일반인들은 여러 홈페이지에서 동일한 아이디와 비밀번호를 쓰는 경우가 많기 때문이다.
주진모를 비롯해 국내 유명인들의 스마트폰 해킹사고는 이 수법에 당한 것으로 알려져 있다.
삼성전자 관계자는 “스마트폰 계정의 아이디와 비밀번호를 다른 인터넷 홈페이지 서비스와 다르게 설정하고 하고 타인에게 노출되지 않도록 관리하는 것이 가장 중요하다”고 강조했다. 문제는 의외로 많은 이들이 비밀번호를 ‘123456’ ‘password’ 등과 같이 기억하기 쉬운 걸로 한다는 것이다.
또 자기만의 정보를 활용하더라도 생년, 생일, 학번, 이름 등을 조합해 아이디나 비밀번호를 만들고 있다. 기본 개인 정보만 있으면 누구나 쉽게 추정할 수 있는 것들이다. 이에 따라 업체들은 비밀번호는 주기적으로 변경할 필요가 있고 보안 강화를 위해 2단계 인증을 설정할 것을 권장한다.
강주화 기자 rula@kmib.co.kr