(서울=뉴스1) 송화연 기자 = 배우 하정우가 지난해 스마트폰 개인정보를 유출 당한 가운데, 그가 공격자와 나눈 대화내역이 공개되면서 연일 화제다. 공격자를 쥐락펴락하는 하 씨의 당당한 태도에 누리꾼들은 '통쾌하다'는 반응이지만 사실 그의 보안관리 수준은 낙제점에 가깝다.
◇"사전대입공격, 야한 영상 클릭 유도"…공격자 탈취 방식도 '가지각색'
연예인을 대상으로 한 스마트폰 개인정보 탈취공격은 올해 초 '배우 주진모 사건'으로 대중에 알려졌다. 공격자는 주 씨를 포함한 국내 유명 연예인의 스마트폰에 보관된 일부 사적 정보를 손에 넣었다.
현재 해당 사건은 조사 중으로 탈취 원인은 명확하게 밝혀지지 않았다. 다만 보안업계는 클라우드를 통해 스마트폰 내 정보가 빠져나갔다는 점에서 '클라우드 접속계정 정보가 유출됐을 가능성'에 무게를 뒀다.
보안업계는 비슷한 아이디와 비밀번호를 반복적으로 이용하는 이용자의 개인정보를 활용, 인공지능(AI) 등을 통해 경우의 수를 줄여 아이디와 비밀번호를 도출해내는 '사전대입공격'을 탈취 배경으로 지목했다. 공격자는 페이스북 등 소셜미디어를 통해 확보한 이용자의 이름과 이메일 주소, 전화번호 등을 프로그램에 집어넣어 무작위로 아이디와 비밀번호를 추출한 것으로 추정된다.
보안업계는 "최근 2년간 국내에서 발생한 암호화폐 거래사이트 공격 대부분이 서버를 직접 뚫어낸 것이 아니라 기존에 유통된 이용자들의 개인정보를 바탕으로 사전대입공격이 이뤄졌다"고 설명했다.
최근에는 유명 연예인의 음란 동영상을 미끼로 개인정보 탈취를 노리는 피싱 위협도 등장했다. 공격자는 제목에 '○○○(연예인 실명)&□□□(연예인 실명) 부적절한 관계' 등을 언급하고 본문에 자극적인 이미지를 넣어 이용자의 호기심을 자극했다.
이용자는 본문에 첨부된 이미지를 클릭하면 공격자가 제작한 피싱 사이트로 연결되고 사이트는 영상을 재생하기 위해 개인 정보를 요구한다. 이 과정에서 이용자가 개인정보를 입력하면 정보가 공격자에게 전송된다.
이 밖에도 문자메시지와 카카오톡 등을 통한 개인정보 탈취 공격은 계속되고 있다. 특히 최근 신종 코로나바이러스 감염증(코로나19) 여파로 '사회적 거리두기'가 확산되면서 '온라인' 소통이 증가하며 피싱 및 스미싱 공격 등이 증가하고 있다.
◇공격자 앞에 당당했던 하정우…침착함은 만점, 보안 관리는 낙제점
공격자는 하 씨의 클라우드에 저장된 신분증 사본과 사진 등을 확보했다. 그는 하 씨에게 수십억원의 금전을 요구하며 탈취한 정보와 맞바꿀 것을 제안했다. 그러나 하 씨는 수사기관 협조를 위해 시간을 끌었다.
이 과정에서 공격자가 당당할 수 있었던 것은 그가 확보한 '하 씨의 개인정보' 때문일 것이다. 하 씨는 스마트폰으로 신분증을 촬영해 갤러리에 보관했거나 클라우드 서비스에 저장해뒀던 것으로 추정된다.
이는 연예인뿐 아니라 일반인도 쉽게 범하는 실수다. 대다수 행정처리가 온라인으로진행되면서 이용자들은 스마트폰과 클라우드 서비스에 주민등록증, 여권, 통장 등을 보관하는 사례가 증가했다.
일부 이용자는 은행이 발급한 보안카드까지 촬영해 보관하기도 했다. 그러나 악성 앱에 감염되면 스마트폰에 저장된 이미지는 쉽게 외부로 유출될 수 있다. 따라서 추가적인 금융피해도 피할 수 없다.
한국인터넷진흥원(KISA)은 스마트폰 정보보호 실천을 위해 9가지 실천수칙을 강조하고 있다.
9가지 수칙은 △공식 앱 마켓이 아닌 출처를 알 수 없는 앱을 설치하지 말 것 △단문 문자(또는 소셜미디어) 메시지에 포함된 URL 클릭하지 말 것 △공인인증서는 USIM 등 안전한 저장장소에 보관할 것 △스마트폰 운영체제와 모바일 백신을 항상 최신으로 업데이트할 것 △스마트폰 보안 잠금(비밀번호 또는 화면 패턴)을 설정해 이용할 것 △루팅, 탈옥 등 스마트폰 구조를 임의로 변경하지 말 것 △스마트폰 앱 설치 시 과도한 권한을 요구하는 앱은 설치하지 말 것 △와이파이 연결 시 제공자 불분명한 공유기를 이용하지 말 것 △스마트폰에 보관한 중요정보를 정리할 것 등이다.
김승주 고려대학교 정보보호학부 교수는 "이용자가 아무것도 안 해도 되는 보안은 존재하지 않는다"며 "클라우드가 스마트폰과 연동된다는 것은 기본 매뉴얼이 안내해주는데 이를 이용자가 쉽게 간과하곤 한다. 클라우드 연동은 설정을 끄면 연동되지 않는데 이를 잘 모르는 경우가 많다"고 강조했다.
김 교수는 "스마트폰과 PC가 공지하는 업데이트 안내는 무조건 필수적으로 한다고 생각해야 한다"며 "이 밖에도 중요한 비밀번호는 여러 서비스에서 겹치지 않도록 주의해야 한다"고 목소리를 높였다.
hwayeon@news1.kr