S사의 임원들은 회의 때 태블릿PC를 들고 회의실로 간다. 태블릿PC로 공유한 자료들을 보며 발표를 하고 토론을 이어간다. 외국계 A보험사의 K부장은 무선인터넷이 연결되는 PC를 들고 고객을 찾는다. 현장에서 수익률과 그래프 등을 비교하며 설명하니 고객들은 훨씬 쉽게 받아들인다. 영화에서나 보던 근사한 장면들이다. 그런데 해커가 그 순간을 노리고 있다면? 지난 2008년 서울 명동입구 하나은행 허브센터와 외환은행 본점 앞에 차 한 대가 서 있었다. 이 차는 무선랜카드와 AP를 장착한 노트북을 이용해 은행 인터넷 무선 공유기에서 흘러나오는 데이터를 모으고 있었다. 암호화된 데이터지만 이를 해독해 고객 계좌 정보를 이용해 인터넷뱅킹으로 예금을 인출하려고 했던 것으로 알려졌다. 범인들은 현장에서 검거돼 별다른 피해는 없었지만 은행이 완전히 뚫릴 수 있던 순간이었다.

미국에선 같은 해 무선인터넷을 해킹해 대규모 신용카드 정보를 빼내는 사건이 발생했다. 해커들은 차량으로 주택가를 돌며 무선인터넷에 접속하는 ‘워 드라이빙(war driving)’ 수법으로 은행과 상점 온라인망에 접속해 보안시스템을 무력화한 뒤 4100만 명의 정보를 빼냈다. 당시 유명 서점인 반즈앤노블과 패션몰 TJ맥스 등이 타깃이 됐는데 TJ맥스의 경우 이전에도 유사한 사건을 겪어 법적 보상금 등으로 1억3000만달러를 지출했고, 추가로 2300만 달러를 내게 될 것으로 전해졌다. 스타벅스처럼 무선공유기를 설치해 놓고 무선랜 접속을 허용하는 곳에서도 해킹은 이뤄지고 있다. 언제 어디서든 인터넷에 접속할 수 있다는 편리함은 있지만 커피 한 잔 마실 정도의 시간에 귀중한 정보가 빠져나가는 것이다.

전문가들은 암호화를 하지 않는 무선 신호를 분석하여 개인정보나 위치정보 등 다양한 정보를 빼내거나 도청을 하는 것은 ‘식은 죽 먹기’라고 한다. 최근엔 무선랜의 가청 신호 범위를 수km까지 확장할 수 있는 신호 증폭기도 등장해 도청이나 데이터 스캐닝이 쉬워졌다는 것. 무선랜 접속 정보를 이용해 다른 공격에 쓸 수도 있다고 한다.

스마트폰의 성능이 고도화되면서 컴퓨터로 처리할 간단한 업무나 전자상거래까지 대체하고 있다. 이미 많은 증권사들이 스마트폰을 이용한 모바일 트레이딩에 나섰고 최근엔 키움증권이 카카오톡을 이용한 주식거래까지 시작했다. 그렇지만 전문가들은 스마트폰이 해킹에 아주 쉽게 노출되는 대표적인 IT기기라는 입장을 보이고 있다.

시스코 모바일 보안 허점 강조 시스코는 2014 연례 보고서를 통해 많은 기업들이 “사업적 이익을 얻기 위해 BYOD(Bring-Your-Own-Device) 및 모빌리티 트렌드를 어떻게 활용하는 것이 가장 좋은 것인지 고심하고 있지만 두 가지가 범죄자에게 유리하게 작용하고 있는 것으로 보인다”고 지적했다.

모바일 플랫폼이 확산될수록 해커들이 말웨어를 설계하기가 더욱 쉬워지고, 모바일 앱을 다운로드할 때 기본적으로 경량 클라이언트가 엔드 포인트에 구축되며 코드가 다운로드될 뿐 아니라 많은 사용자들이 보안을 전혀 고려하지 않은 채 모바일 앱을 주기적으로 다운로드하면서 해킹에 노출된다는 것이다.

“오늘날 보안팀은 기기와 장소에 상관없이 모든 애플리케이션 또는 리소스에 접속하려는 모든 사용자를 보호하기 위해 ‘모두에서 모두로의 문제(any-to-any problem)’를 해결하려고 노력하고 있다. … 특히 제한된 IT 예산으로는 어려운 일이다.”

시스코는 모빌리티로 인해 사용자와 데이터의 보안이 침해될 수 있는 새로운 방식이 나타난다고 경고했다. 무선 채널을 이용하여 해당 채널에서 교환되는 데이터를 엿보고 해당 데이터에 액세스한다는 것. 또 직원 소유 장치를 분실 또는 도난당했을 때 보안 장치가 없는 경우 지적 재산 및 기타 민감한 데이터의 손실 가능성이 생기는 등 여러 가지 보안 문제가 새로 생겨나고 있다고 했다.

실제 다른 경로로 획득한 개인정보를 바탕으로 스마트폰에 문자를 보내 피싱을 하는 스미싱은 대중화된 범죄다. 추석을 앞두고 ‘택배 알림’ 문자를 보낸 스미싱이 기승을 부리기도 했다. 최근엔 아예 사용자가 버튼만 누르면 화면에도 뜨지 않는 스파이앱을 깐 뒤 정보를 통째로 빼가고 있다는 얘기도 들린다.

스마트폰 세계에선 안드로이드 기기가 주공격대상이 된 것도 주목할 필요가 있다. 시스코는 스마트폰을 해킹할 목적으로 설계된 말웨어의 99%가 안드로이드 기기를 겨냥하고 있다고 밝혔다. 하지만 다양한 기기를 대상으로 공격하는 모바일 말웨어도 있다. 피싱이나 라이크재킹(Likejacking)처럼 특정 웹사이트로 강제로 끌고 가는 말웨어도 있다. 감염 경로별로는 웹을 통해 감염되는 멀웨어 유형의 발생률은 안드로이드 기기가 71%로 가장 많았다.

시스코의 자회사인 소스파이어에 따르면 2013년 발생한 전체 웹 말웨어 가운데 특정 기기를 겨냥한 모바일 말웨어는 1.2%에 불과하다. 아직 스마트폰을 겨냥한 해킹은 초기 단계라는 것이다. 그만큼 앞으로 스마트폰 해킹이 급증할 가능성이 크다는 것이다.

스마트폰을 충전할 때 PC 전원을 이용할 경우 PC에 잠복해 있던 웜이나 바이러스가 스마트폰으로 침투할 수 있는 것으로 알려졌다.

만물인터넷 시대, 자동차도 해킹 가능성 한편 만물인터넷 시대가 되면서 우리 주변의 모든 전자기기가 해킹에 노출될 가능성이 커졌다. 자동차나 냉장고까지 컴퓨터로 제어하는 시대지만 역으로 자동차나 냉장고까지 해커들의 위협에 노출되고 있다는 것이다. 해킹당한 자동차가 운전자도 모르는 상황에서 갑자기 방향을 돌려 옆 차선을 달리던 차를 들이받는다든지, 반대편 차선으로 넘어갈 수도 있다는 얘기다.

현대차는 이 때문에 자사의 커넥티드 카 시스템인 ‘블루링크’와 기아차 ‘UVO’에 이를 적용할 자동차 해킹방지 기술을 계열 현대오토에버를 통해 개발에 나섰다. 현대차 최고경영진은 지난해 국내 모 대학이 스마트폰에 악성코드를 감염시키는 방법으로 달리는 차를 해킹해 마음대로 조종하는 시연을 하자 충격을 받고 완벽한 방어 체계 구축을 지시한 것으로 알려졌다.

세계적으로 자동차 업계는 물론이고 구글까지 무인카를 개발하고 있다. 그러나 구글의 안드로이드 체계가 해킹에 매우 취약할 뿐 아니라 자동차의 스마트폰을 연결한 커넥티드카가 보편화되고 있다는 점에서 자동차 해킹 가능성은 보안 영역을 넘어 사회적 안전까지 위협할 수도 있다. 정보보안이 물리보안과 연결되는 또 다른 부분이다.

[정진건 기자]

[본 기사는 매일경제 Luxmen 제48호(2014년 09월) 기사입니다]
[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]