스마트폰, 인터넷뱅킹도 해킹된다

스마트폰 회사가 불가능하다고 해온 인터넷뱅킹 해킹, 해커가 간단한 조작으로 시연…악성 코드만 심으면 나의 스마트폰이 도청장치로 쓰이고, 위치추적 당하는 피해 입어

스마트폰 해킹 시연. 태블릿 피씨을 원격조정하여 도청기로 사용. 그 위치까지 알려준다./2011.10.20/한겨레21박승화

스마트폰 해킹 시연 모습. ‘화이트해커’인 유동훈 소장은 QR코드를 찍는 방식으로 악성코드를 심어 스마트폰과 태블릿PC를 해킹했다. 유 소장은 해킹된 스마트폰과 PC로부터 개인정보 추출은 물론, 인터넷뱅킹 해킹과 도청·위치추적도 가능함을 시연했다.

현재 시간 10월21일 아침 6시30분. ‘무서운데, 참 무서운데…. 말로 표현할 길이 없네….’

스마트폰을 가만히 들여다본다. 어제는 동료와 전화 통화를 하다가 전화가 갑자기 끊겼다. 생각해보니 며칠 전에는 이유 없이 작동이 되지 않기도 했다. 폰에 충격을 준 것도 아니고 오작동을 일으킬 만한 외부 환경도 없었다. ‘해킹된 건가….’ 불안하다.

해커를 소개받은 것은 9월 말이었다. 스마트폰을 장악할 수 있다는 제보였다. 그는 화이트해커(선의의 해커를 의미, 고의적으로 인터넷 시스템을 파괴하는 해커인 ‘블랙해커’나 ‘크래커’와 대비되는 개념)였다. 11월에 열리는 국제 보안 컨퍼런스 ‘POC’에서 국내외 보안 전문가들 앞에서 시연하며 문제 해결책을 요구할 것이라고 했다.

QR코드만 찍으면 악성코드 감염

주목할 만한 대목은 인터넷뱅킹이었다. 이미 해외에서는 아이폰에 악성코드를 감염시켜 관리자 권한을 얻은 뒤 개인정보를 탈취할 수 있다는 사례가 보도된 바 있다. 하지만 지금까지 스마트폰 인터넷뱅킹은 해킹에 안전하다고 알려져 있었다. 금융서비스를 이용할 때 미리 다운받은 보안 단계가 자동으로 적용되고 서버에 전송될 때도 암호화되기 때문에 이를 알아내기란 불가능에 가깝다는 게 주된 논리다. 특히 은행업계에서는 아이폰의 운영체계 잠금장치를 푸는 ‘탈옥’이나 이와 유사한 안드로이드폰의 ‘루팅’(운영체제를 해킹해 관리자의 지위를 얻는 행위)을 할 경우 원천적으로 금융서비스를 이용할 수 없도록 하고 있어 다른 나라보다 보안 수준이 높은 것으로 평가받고 있다. 따라서 지금까지는 인터넷뱅킹 해킹이 가능하다는 주장이 제기된 바 없었다.

지난 10월20일 서울 시내의 한 사무실에서 그를 만났다. ‘스마트플랫폼보안 보안기술연구소.’ 화이트해커는 연구소 책임자인 유동훈 소장이다. 그는 약속한 시간이 되자마자 주섬주섬 폰 2개(S사·M사)와 태블릿PC 하나를 꺼냈다. 자신이 쓰는 노트북도 꺼냈다.

시연은 노트북으로 유 소장이 공격자로 설정한 서버에 접속한 뒤 시연할 폰과 태블릿에 악성코드를 감염시킨 다음, 그 폰으로 인터넷뱅킹 정보를 탈취하는 과정을 보여주는 것이다.

유 소장은 악성코드의 감염 경로부터 설명했다. 우선 QR코드(흑백 격자무늬 패턴으로 정보를 나타내는 매트릭스 형식의 이차원 바코드) 하나를 보여줬다. 그리고 거기에 S사와 M사의 폰을 갖다대고 촬영을 했다. QR코드는 지하철이나 버스정류장, 백화점, 길거리 전단지 등 최근 어디서나 쉽게 볼 수 있다. 인터넷 사이트로 쉽게 접속하게 해주는 편의성 때문에 사업자가 자사 사이트를 홍보하는 수단으로 사용한다. 요즘은 개인적으로 자신의 홈페이지를 알리려고 명함에 새기기도 한다. 마트 등이 할인 행사에 이용하는 경우도 많아 이용자가 최근 부쩍 늘었다. 유 소장이 보여준 QR코드도 특별할 건 없었다. 다만 악성코드를 담고 있었다.

“아무 데서나 호기심에 QR코드를 찍어보면 곧바로 악성코드에 감염되죠.” 사이트에 들어가 프로그램을 깔거나 다른 프로그램을 실행시킬 필요가 없다. 방문하는 것만으로도 악성코드가 감염된다. 쉽게 말해 찍는 순간 악성코드가 침입하는 것이다. 악성코드가 감염되는 상황이나 그 결과를 알 수도 없다.

“악성코드를 주입하는 방법은 다양하죠.” 문자메시지나 트위터 등 소셜네트워크서비스(SNS)를 이용하는 방법도 있다. 친목을 가장하거나 미끼 상품을 던져 클릭하게 만드는 것이다. 특히 트위터 등은 사이트 주소가 간략해 의심 없이 클릭하는 경우가 많다. 사용자는 전달받은 주소를 클릭하는 순간 악성코드에 감염된다. 스마트폰 사용자가 편리함을 강조하는 전자우편 확인도 미끼가 된다. 전자우편에 링크된 사이트에 방문한다면 그 또한 악성코드에 감염되는 계기가 된다.

꺼내든 2개의 폰 모두에 악성코드를 감염시켰다. 감염된 폰은 자신의 정보를 공격자의 지시에 따라 공격자의 서버로 전송할 것이다. 실제로는 정보의 탈취가 순식간에 일괄적으로 이뤄지지만 시연하는 과정에서는 그 중간 단계를 확인하려고 의도적으로 과정을 나눠 진행됐다.

시연하는 폰에는 국내 유명 보안회사들의 백신 제품이 깔려 있었지만 소용없었다. 유 소장은 “악성코드를 담고 있는 애플리케이션을 걸러내는 것을 제외하고 직접 해킹을 통해 침투하는 악성코드 감염에 기존 백신은 사실상 무용지물”이라며 시연을 이어간다. 앱 검사 프로그램만으로는 스마트폰 해킹을 막을 수 없다는 것이다.

도청당해도 스마트폰 변화 없어

“시작합니다.”

인터넷뱅킹 침입 전 단계라 할 수 있는 정보 탈취를 시작했다. 유 소장이 자신의 노트북으로 암호화된 간단한 수치를 집어넣었더니, 스마트폰의 정보들이 유 소장이 설정해놓은 서버로 순식간에 쏟아져 들어왔다. 다운로드할 시간이 필요하지도 않았다. 엔터키를 누르는 순간, 스마트폰에 저장됐던 모든 개인정보가 넘어온 것이다. 생성된 ‘info.txt’라는 파일을 열었다. 폰의 범용가입자 식별모듈(USIM) 카드에 담긴 공인인증서와 통화내역 등이 떴다. 통화내역에는 통신사에서 보관하는 최근 1년 사이의 것만이 아니라 지금까지 해당 폰으로 통화한 모든 번호가 기록돼 있었다. 이뿐만 아니었다. 단말기 식별번호까지 있었다. 이 번호로는 폰 복제가 가능하다. 수사기관에서 조회할 때도 법원에서 발부한 영장이 필요한 핵심 개인 정보다. 이런 정보를 악성코드 감염만으로 손쉽게 탈취한 것이다. USIM 코드의 공인인증서는 금융거래에서 핵심적인 정보다.

갑자기 유 소장이 일어나 기자에게 “김치~”를 요청했다. 찍은 사진은 곧바로 공격자인 유 소장의 서버로 전송됐다. 클릭하자 그곳에 기자의 사진이 있었다. “현장감을 살리기 위한 시연”이라며 웃었다. 이런 정보들의 전송 과정에서 악성코드에 감염된 스마트폰의 변화가 전혀 없었다. 자신의 정보가 모두 해커에게 전송되고 있었지만 스마트폰은 화면이 꺼져 있었다. 눈 뜨고 코 베였다.

그때 유 소장이 자신의 다른 휴대전화를 꺼냈다. 휴대전화라고 표현한 것은 그 전화기가 ‘010’이 아닌 2G, 구형이었기 때문이다.

“스마트폰도 있습니다만, 그것도 전화 기능만 씁니다.”

휴대전화를 꺼낸 건 악성코드가 감염된 스마트폰이 원격으로 조종된다는 것을 보여주기 위해서였다. 유 소장은 자신이 예전에 받은 적이 있는 대리운전 문자를 이용해 그 문자열 안에 ‘2’라는 숫자를 넣었다. 스마트폰에 대리운전 문자가 뜨자, PC로 꺼낸 것과 동일하게 스마트폰은 그 안에 들어 있는 정보를 다시 유 소장의 서버로 전송했다.

“실제로는 해커가 자신의 서버를 노출하지 않으려고 다른 서버를 해킹해 좀비로 만든 다음, 스마트폰의 정보를 그 좀비 서버로 전송하게 만들죠. 지금은 시연의 편의성을 위해 제 서버로 직접 하는 것이고요.”

이번에는 ‘3’을 넣었다. “도청을 하겠다”며 한참을 스마트폰의 보안에 대해 설명했다. 다시 ‘4’를 전송했다. 곧바로 서버에 저장돼 있는 파일 하나를 열었다. 스마트폰에 설정돼 있는 녹음 기능을 이용해 ‘3’을 보내고 나서 ‘4’를 다시 보낼 때까지의 대화를 기록한 파일이었다. 녹음되는 과정에서 스마트폰은 전혀 작동하지 않았다. 유 소장은 “몰래 녹음이 가능하다”며 “상대방의 전화기를 도청장치로 사용할 수 있는 것”이라고 말했다. 시연을 위해 시간의 간격을 뒀지만, 실시간으로 전송이 가능해 상대방의 전화기를 고성능 도청기로 탈바꿈하게 만들 수 있다고 한다.

도청에 놀란 취재진에게 유 소장은 한 가지를 더 보여줬다. 탈취한 실시간 정보 안에 들어 있는 위치 정보였다. 도청뿐만 아니라 위치추적도 실시간으로 가능하다는 것이다. 그 안에 들어 있는 위도·경도를 구글 지도를 이용해 검색해보니 취재 현장의 주소가 찍혔다. 카메라를 이용하면 사진과 동영상을 작동시킬 수 있고, 메신저 또한 실시간으로 탈취가 가능했다. 해커가 못하는 것은 해킹된 폰에서 구현할 수 없는 것뿐이었다. 이 모든 작업은 원격으로 가능했다. 스마트폰의 해킹은 PC의 해킹을 넘어 한 개인의 모든 걸 장악하는 것과 다를 바 없었다. 유 소장은 “선보인 대부분의 기술이 관리자 권한이 없이도 가능한 것”이라며 “폰 안으로 침입해 악성코드만 설치하면 끝”이라고 설명했다.

기자를 포함한 취재진은 눈 뜨고 코를 베이고 또 베였다.

11월 초 한국에서 해킹·보안 국제 콘퍼런스인 POC가 열린다. 이날 스마트폰 해킹 시연도 예정돼 있다. 2010년에 열린 ‘POC 2010’ 모습.

허무하게 뚫린 공인인증서

지금까지는 워밍업이었다. 본격적으로 인터넷뱅킹 해킹에 들어갔다. 장악된 것을 보여주기라도 하듯 자신의 노트북 창에 ‘reboot’를 입력하니 스마트폰이 꺼졌다 켜졌다. 인터넷뱅킹 해킹을 시작한다는 신호였다. 해킹에 사용되는 악성코드는 “하이재킹(가로채기) 기능이 들어가 있는 키로거”라고 설명했다. 지금까지 전세계적으로는 해커 사이에 사용자의 사용 기록만 전송받는 프로그램 ‘키로거’가 유통되고 있었다. 악성코드에 감염된 사용자가 스마트폰 키에 문자나 숫자를 입력할 때 그 내용을 고스란히 전송받을 수 있는 악성코드 프로그램이다. 지금까지는 기록만을 전송받을 수 있었다면, 유 소장이 선보이는 ‘하이재킹 키로거’는 그것을 실시간으로 자신의 서버로 전송받는 동시에 공격자가 원하는 정보로 교체할 수도 있다. 관리자 권한 없이 장악할 수 있다는 점도 한 걸음 나아간 것이다. 유 소장이 시연으로 감염된 스마트폰에 인터넷뱅킹 앱을 실행시키고 ‘너희은행’ ‘1234-5678’이라고 눌렀다. 해당 정보의 전송을 누르는 순간, 장악한 해커는 ‘그의은행’ ‘5678-1234’로 문자 자체를 순식간에 변환시켰다. 금액도, 예금주도 변환됐다. 원래는 인지할 수 없는 속도로 움직였다. 보여주려고 세팅한 것이었으니 확인할 수 있었을 뿐이다. 범죄에 이용한다면? 끔찍했다.

공인인증서가 필요한 금융서비스도 문제될 것이 없었다. 이미 탈취한 정보 안에는 공인인증서 프로그램이 들어 있었다. 금융서비스를 진행할 때 보안을 위해 변환되는 문자열 배치 또한 소용없었다. 유 소장은 그때그때 캡처하도록 악성코드에 프로그래밍해 손쉽게 정보를 낚았기 때문에 문자열 배치 변환을 실시간으로 알 수 있었다. 요컨대 현재 은행업계에서 말하는 PC 수준의 보안은 유 소장의 해킹에는 무용지물이라는 것이다. 보안 단계를 우회했고, 암호화되기 전 단계에서 해킹으로 정보를 가져왔다. 시연된 폰은 탈옥 등 운영체계를 벗어난 것도 아니었다.

지금까지 스마트폰 인터넷뱅킹은 안전하다고 알려진 통상의 관념을 깨는 현장이었다. 인터넷뱅킹만이 문제가 아니었다. 최근 쇼핑몰 등 구매 편의성을 극대화하려고 아이디·패스워드·카드번호 등만으로 결제가 가능하도록 한 시스템의 경우에는 탈취한 정보로 손쉽게 거래할 수 있다.

흔적이 남지 않을까. 그렇다면 사후적으로라도 내가 어떤 정보를 잃어버렸는지, 누가 내 정보를 탈취해갔는지는 알 수 있지 않을까. 대답은 “불가능에 가깝다”였다. 유 소장은 “당연히 스마트폰에서 전송될 때 해당 서버의 기록이 남을 수 있다”면서도 “하지만 그 서버 기록을 해커가 손쉽게 지울 수 있고, 다른 서버를 경유하는 방법을 이용하면 사실상 어떤 정보를 가져갔는지, 어디로 가져갔는지 추적하는 것이 어려워진다”고 말했다.

세계적 수준의 해커가 고난도 기술을 적용해 만든 것이라면 이를 보편적인 위험으로 보기는 힘들지 않을까? 유 소장은 “대학 전공자 수준이 아니라 컴퓨터에 기초적 지식만 있으면 툴 사용법 위주의 교육으로 어렵지 않게 지금 시연한 모든 것을 따라할 수 있다”고 말했다. 에서 모든 사진 자료를 모자이크 처리한 이유이기도 하다. QR코드부터 휴대전화를 이용한 해킹까지 시연되는 모든 과정이 공개되는 순간 모방 범죄의 가능성까지 우려되기 때문이다.

문제는 또 있다. PC에서 악성코드에 노출되면 포맷이나 업데이트를 통해 치유할 수 있는 것과 달리, 현재의 스마트폰 프로그램에서는 악성코드를 잡을 수 없고 설치된 앱만 초기화하는 포맷 또한 악성코드를 없앨 수 없다는 점이다. 유 소장이 2G폰을 고집하는 이유는 그래서다. 한번 감염되면 치료하기 어렵고 어떤 정보가 어떻게 유출될지 모른다는 불안감을 늘 갖게 된다는 것이다. “현재는 스마트폰 해킹에 적절한 대처 방안이 없어 스마트폰을 안 쓴다고 보면 되죠. 하하.”

‘좀비 폰’으로 쓰일 수도

감염된 폰은 피해만 보는 게 아니다. 악성코드에 감염된 폰은 특정 사이트를 공격하는 데 쓰이기도 한다. 좀비 폰으로 쓰이는 것이다. 피해는 일파만파로 커질 수 있다. 애플이나 구글 등이 규제하는 범위를 이탈하는 방법을 일컫는 탈옥이나 루팅을 했다면 위험성은 더 커진다.

정부는 2015년까지 정부·민간 부문에 약 998억원의 예산을 투입해 ‘스마트 모바일 시큐리티 종합계획’을 추진하고 있다. 안철수연구소, 하우리, 잉카인터넷 등 민간 보안업체들도 안드로이드 백신, 키보드 보안 등 대책을 내놓고 있다. 하지만 전문가들은 회의적이다. 장여경 진보네트워크센터 활동가는 “현재의 보안 대책으로는 스마트폰의 개인정보 보호가 불가능하다”며 “스마트폰 안에 개인정보를 최소화해야 한다”고 말할 정도다.

2010년 에 따르면, 2009년 상반기에 발견된 전세계 스마트폰 악성코드는 520여 종에 이른다. 악성코드의 수는 기하급수적으로 늘고 있다. 대부분은 금전적 이득을 노리는 것이다.

글 하어영 기자 haha@hani.co.kr
사진 박승화 기자 eyeshoot@hani.co.kr