모든 모바일 서비스는 보안 기능을 대부분 갖추고 있다. 모바일 서비스를 하는 기업들 모두가 보안이 완벽하지 못하다. 결국 사용자 역시도 자신의 개인 정보를 보호할 수 있는 능력을 갖춰야 한다.

국립국악원
smartphone_security_01

우리 생활에는 없어서는 안 될 제품 중 하나는 바로 스마트폰이다. 과거 PC가 하던 역할을 일부 이어받은 스마트폰은 일상생활을 비롯해 비즈니스까지 모든 영역에서 활용되고 있다. 하지만 이렇게 편리한 제품에도 약점이 존재하니 바로 보안 문제다.

스마트폰의 개인 정보를 위협하는 것으로는 스파이앱이 대표적으로 꼽힌다. 도청 어플리케이션으로 불리는 스파이앱은 개인뿐 아니라 기업 정보까지 손을 뻗치고 있는 상황이다. 특히 최근에는 검색을 통해 누구나 쉽게 구매가 가능한 상태다.

smartphone_security_02

이제는 생활의 일부가 된 스마트폰

보안 문제는 스마트폰 OS와 어플리케이션 제공 기업들이 책임져야 하는 문제다. 하지만 이들 기업 또한 완벽하지 않은 것도 사실이다. 그렇기 때문에 사용자들 역시 이러한 보안 문제에 미리 대비해야 큰 피해를 방지할 수 있다.

도청과 감청, 녹취의 차이는?

먼저 스마트폰 사용자들이 보안 문제에 대해 민감한 부분은 바로 도청 부분이다. 도청은 잘 알려져 있듯이 통신비밀 보호법을 위반하는 행위 중 하나다. 기본적으로 도청이라 하면 허락되지 않은 상황에서 대화를 비롯해 우편물, 전기통신을 무단으로 열람하거나 녹취한 것을 의미한다.

특히 스마트폰 사용자는 자신도 모르게 설치되는 스파이앱을 통해 도청에 노출된다. 스파이앱의 기본 기능은 통화 내용은 물론, 녹음이나 문자 메시지, 각종 메신저 어플리케이션 등에 영향을 미친다. 한번 설치가 되면 발견하기 전까지는 이를 설치한 사람에게 모든 정보가 노출되게 된다.

smartphone_security_03

최근 스마트폰 어플리케이션은 스미싱 정보를 알려주기 때문에 미연에 방지하는 역할도 한다

예를 들어 배우자 감시를 비롯해 경쟁 기업의 정보를 빼내기 위해 사용되어 이슈가 되는 것이 보통이다. 당연히 동의없이 타인의 정보에 손을 대는 것이기 때문에 처벌 대상이 된다. 통신비밀 보호법 제 16조에 따르면 공개되지 않은 타인의 정보를 무단으로 취득했을 시 10년 이하의 징역에 해당된다.

감청은 도청과 마찬가지지만 다소 다르다. 감청이라는 단어 자체가 부정적으로 들려 불법으로 생각되기 쉽지만 원래 취지는 법원에서 영장이 발부된 이후에 진행되는 도청이다. 이미 법원의 허가가 있는 만큼 통신비밀 보호법에 따른 개인의 허가가 필요가 없다. 물론 영장이 없으면 불법 감청이 되므로 도청과 동일하게 봐도 무방하다.

smartphone_security_04

보이스피싱도 개인 정보를 요구하기 때문에 주의할 필요가 있다

단, 개인 녹취는 기본적으로 사용자의 권리이기 때문에 통신비밀 보호법에 영향을 받지 않는다. 간혹 개인 녹취가 통신비밀 보호법 위반이라고 잘못 알려져 있는데, 이는 특수한 경우에 해당한다. 기본적으로 개인 녹취는 자신과 상대방의 대화를 녹취하는 것이다.

최근 스마트폰을 이용해 녹취하는 경우를 심심치 않게 보게 된다. 특히 통화 녹음 기능 어플리케이션은 보이스피싱에 효과적으로 사용된다. 해당 통화 내용이 녹음 될 뿐 아니라 미연에 이를 알려주는 역할도 하기 때문에 유용하다.

여기서 중요한 점은 녹취 당사자가의 목소리가 들어가 있다면 통신비밀 보호법 적용을 받지 않는다는 점이다. 단, 주의할 부분은 녹취 당사자와 상대방을 제외한 사람이 이를 녹취하면 안된다. 어떤 상황이든 녹취 당사자와 직접 상대방의 목소리를 녹음해야 하며, 제3자가 이를 녹음해서는 안된다. 이 경우에는 도청이 된다.

유념해야 할 점은 iOS와 안드로이드 모두, 기본 전화 어플리케이션에서는 녹음 기능을 지원하지 않는다. 별도로 다른 어플리케이션을 사용해야 하는데, 그 이유는 각 지역에 따라 관련 법률이 다르기 때문에 녹음기능이 제외됐기 때문.

smartphone_security_05

탈옥을 하게 되면 통화 녹음 어플을 사용할 수 있지만 권장하지는 않는다

iOS는 시스템 자체에서 이를 막고 있기 때문에 루팅을 하지 않으면 사용이 불가능하다. 앱스토어에도 이런 기능 등을 제외되기 때문에 별도로 외부 녹음기를 연결해 사용하지 않는 이상 순정 상태에서는 불가능하다.

물론 탈옥을 하게 되면 Call Recorder, Callbar 등의 통화 녹음 어플리케이션을 사용하는 것이 가능하다. 하지만 최신 iOS 10은 탈옥이 현재 불가능한 상태고, 만약 탈옥을 한다고 하면 보안에 더욱 취약해지기 때문에 권장되지 않는 방법이다.

smartphone_security_06

iOS 순정 상태에서 통화 녹음을 하려면 별도의 주변기기가 필요하다

꼭 통화 녹음 기능을 사용해야 한다면, 별도의 주변기기를 이용하는 방법도 있다. 단, 주변 기기를 구입하는 비용과 따로 녹음기를 휴대 해야 하는 번거로움이 있다. 물론 탈옥에 비해서 안전한 방법이기 때문에 통화 녹음 기능이 필요한 소비자라면 주변기기를 고려하는 편이 효과적이다.

안드로이드는 어플리케이션으로 선택적 사용이 가능하다. SKT에서 제공하고있는 T전화는 대표적인 통화 녹음 어플리케이션이다. 물론 스팸 차단 기능을 비롯해 미리 상대방의 전화를 분석해 알려주는 역할도 한다.

smartphone_security_07

T전화는 최근 많이 사용되는 통화 녹음 기능부터 스팸 차단까지 다양한 용도로 활용되고 있다

후후앤컴퍼니에서 제공하고 있는 후후도 동일한 기능을 지원하고 있다. 후후 역시 통화 자동 녹음 기능을 제공하고 있는 대표 어플리케이션이다. 후후 역시 스팸 차단과 실시간 스미싱 탐지 등 보안 기능이 강화된 어플리케이션으로 인기가 높다.

smartphone_security_08

스미싱 차단 기능이 더욱 강화된 후후 어플리케이션

같은 기능을 가지고 있는 ACR도 자동 통화 녹음 기능을 가지고 있으며 이를 클라우드 서비스와 연동시키는 기능을 제공하고 있다. 번거롭게 백업하기 귀찮은 사용자에게 편리하며 또 오래된 녹음은 자동으로 삭제하는 기능도 제공해 정보 보호에도 큰 도움이 된다.

smartphone_security_09

클라우드 서비스와 연동해 녹음 파일을 쉽게 관리할 수 있는 ACR

개인 정보 보호, 완전하지는 않지만 대처는 가능하다!

개인 보안 문제는 창과 방패의 싸움이다. 크래커 또는 블랙 해커는 어떤 방식을 사용해서도 개인 정보나 기업 정보들을 획득하기 위해 갖은 방법을 동원한다. 보안 업체는 반대로 이 같은 공격에 대응하려고 한다.

하지만 이런 보안 공격을 방어하기는 쉽지 않다. 한 보안 전문가에 따르면 “보안 기업에서도 막을 수 있는 것은 한계가 있다. 방어를 위한 인력은 한정되어 있지만 공격하는 인력은 그 보다 더 많다고 생각해야 한다”고 설명했다.

또 일부에서는 각종 사이트에서 개인 정보를 과도하게 수집한다는 의견도 존재한다. 현재는 최대한 개인 정보를 조금만 수집하는 것으로 바뀌었지만 그래도 여전히 불만은 존재한다. 특히 스마트폰 어플리케이션 역시 PC와 동일하기 때문에 개인 정보 문제에서 자유로울 수 없다.

경찰청 사이버안전국에서 공개한 스파이앱 예방수칙을 살펴보면 지문 또는 패턴, 암호 등을 설정하고 주기적으로 변경할 것을 제시하고 있다. 또 스미싱을 통해 스파이앱 설치를 방지하기 위해 알 수 없는 출처의 파일을 설치하지 말아야 한다고 언급하고 있다.

smartphone_security_10

스파이앱이 설치되는 개요는 이렇다(출처: 경찰청 사이버안전국)

물론 메시지나 이메일을 통한 스파이앱 설치에 대해서도 주의를 당부하고 있다. 특히 최근에는 유명 기업을 사칭해 메시지를 보내고 이를 통해 스파이앱을 설치하는 방법이 꾸준히 사용되고 있는 만큼 일반 사용자들의 주의가 필요하다.

스마트폰이 공장에서 출하된 새제품은 초기에는 안전하지만 사용하는 과정에서 외부에서 스파이앱이 설치되는 것을 배제할 수 없다. 물론 사용자가 직접적으로 스파이앱을 확인할 수 있다면 좋겠지만 지능화된 스파이앱들은 소비자들이 쉽게 파악하지 못하도록 숨겨져 있다. 가장 확실한 방법은 초기 상태에서 구글플레이나 앱스토어에서만 제공하는 어플리케이션을 사용하고 그 외의 프로그램을 설치하지 않는 것이 좋다.

smartphone_security_11

많이 사용되고 있는 스파이앱의 유형 들(출처: 경찰청 사이버안전국)

또 사용상 불편의 이유로 스마트폰을 루팅 했을 시 제대로 관리하지 못하면 보안에 굉장히 취약해진다. 이는 어떤 OS에도 동일하게 적용되는 문제기 때문에 루팅은 전문적인 지식 또는 관리를 철저히 할 수 있을 때 시도하는 게 좋다.

개인 정보 보안의 기본은 백신 프로그램을 설치하는 것이다. 특히 안드로이드 운영 체제는 iOS에비해 개방적인 정책을 펴고 있는 만큼 보안에 각별히 신경을 써야 한다.

AV-TEST의 최신 정보에 따르면 안드로이드 OS에서 어베스트, 비트디펜더, 맥아피, 카스퍼스키, 등의 모바일 백신들이 좋은 평가를 받은 것으로 나타나고 있다. 대부분 PC 보안 프로그램으로도 유명한 기업들이 모바일 백신에서도 강세를 보이고 있다. 이중 자신의 취향에 맞게 선택하면 된다.

smartphone_security_12

AV-TEST에서 발표한 안드로이드 백신 분석 자료

iOS는 기본적으로 안드로이드와 달리 폐쇄적인 정책을 펴고 있기 때문에 안드로이드 보다는 백신 프로그램의 활용이 제한적이다. 실제로 애플측은 보안 이슈가 발생하면 자체적으로 해결하고 있으며 보안 프로그램의 의존도가 낮은 편이다.

물론 보안 프로그램을 설치했다고 해서 안심하기에는 이르다. 작정하고 설치하면 스파이앱을 설치하는 것도 무리가 아니기 때문이다. 또 보안 업체에서도 신종 스파이앱이 등장하면 대응하는데, 시간이 필요하다. 그 대응 시간 동안 개인 정보가 빠져나가는 일이 빈번히 발생하므로 최후의 방법으로는 공장 초기화를 시도하는 것이 바람직하다.

smartphone_security_13

아이폰은 공장 초기화를 위해서 아이튠즈가 이용된다.

아이폰의 공장 초기화 방법은 아이튠즈를 통해 진행된다. 아이폰 7을 기준으로 제품 전원을 끈 상태에서 PC와 유선 케이블로 접속 한 후 파워 버튼을 3초간 길게 누른다. 그 이후에 전원 버튼을 누른 상태에서 음량 감소 버튼을 10초 가량 눌러준다. 이후 파워 버튼에서 손을 떼고 음량 감소 버튼을 5초 가량 눌러주면 공장 초기화 준비 과정이 끝난다.

smartphone_security_14

안드로이드 OS는 기기 자체에서 공장 초기화가 가능하도록 되어 있다.

안드로이드 OS는 아이튠즈 같은 지원 프로그램이 없기 때문에 자체적으로 폰 자체적으로 공장 초기화를 해야한다. 가장 간단한 방법은 초기화 메뉴로 들어가 디바이스 초기화를 진행하는 방법이 보편적이다. 단, 제조사에 따라 메뉴가 다를 수 있으므로 초기화 전에 각 제품의 매뉴얼을 참고해야 해야 하며 소프트웨어 외에도 아이폰과 동일하게 물리 버튼을 사용하기도 한다.

공장 초기화 방법은 스파이앱이 설치되어 있을 때도 사용하지만 제품이 제대로 동작하지 않을 때도 사용할 수 있는 방법이다. 또 제품을 중고로 판매할 때도 개인 정보 유출을 막기 위해서는 공장 초기화 과정을 필히 거쳐야 한다.

물론 소중한 데이터를 지키기 위해서는 미리미리 백업을 하는 것이 좋다. 안드로이드에는 최근 백업 프로그램들을 자신이 원하는 어플리케이션과 사진, 영상, 연락처 등을 선택적 백업이 가능하다.

iPhone6-silver_and_gold-shells

와이파이 환경이라면 iOS에서 아이클라우드를 활용해 백업이 가능하다.

smartphone_security_16

유선으로 연결한 후에도 아이클라우드 백업이 가능하며, 수동과 자동을 선택해 백업하는 것도 지원한다

iOS는 와이파이를 이용해 폰에서 직접 아이클라우드로 백업하는 것이 가능하다. 이외에도 아이튠즈에 자신의 스마트폰을 연결해도 동일하게 백업할 수 있다. iOS는 기기가 변경 됐을 경우 백업 기능을 통해 그대로 새 기기에 옮겨 주기 때문에 더욱 편리하다.

smartphone_security_17

안드로이드 OS는 구글 드라이브를 자체 백업을 지원하는 방식이다.

안드로이드 OS는 간단하게 폰에서 백업 설정을 하게 되면 구글 드라이브를 통해 백업을 진행하게 된다. 또 각 제조사에 따라 별도의 클라우드 서비스를 지원하기도 하는 만큼 자신에게 익숙한 방법을 선택해 백업을 진행하면 된다.

클라우드 서비스, 개인 정보와 데이터를 저장하기에 안전한가?

클라우드 서비스는 기업에서만 사용된다는 인식이 강했지만, 일반 사용자들을 대상으로 한 클라우드 서비스가 점차 보급되기 시작하면서 점차 그 범위가 확대되고 있다. 이제는 단순히 데이터 저장 용도가 아니라 스트리밍 서비스까지 그 영역을 확대하고 있다.

문제는 클라우드 서비스가 안전한가에 대한 의문이 들게 마련이다. 현재로써는 클라우드 서비스 역시 안전하지 않다는 것이 중론이다. 실제로 2014년에 큰 이슈가 됐던 할리우드 스타들의 누드 사진 유출 건도 클라우드 서비스에서 이뤄진 것이다.

smartphone_security_18

클라우드 서비스는 편리한 서비스지만 보안이 완벽한 것은 아니다

또 2014년 이후에도 지속적으로 클라우드 서비스에 크래커 들의 공격은 계속되어 왔다. 클라우드 서비스의 기본 관리는 기업체들이 하지만 너무 민감한 데이터는 클라우드 서비스에 저장하지 않는 것이 바람직하다.

현재 클라우드 기업 쪽에서도 보안에 꾸준히 노력하고 있는 상태이기 때문에 나아지는 모습을 보여주고 있지만 언제 어디서 데이터가 노출 될 수 있다는 점을 간과해서는 안된다. 세상에는 완벽한 보안은 없다.

메신저 서비스, 어찌 보면 가장 취약하다!

스마트폰 사용자는 문자 메시지보다 메신저 서비스를 선호한다. 문자 시스템도 계속 발전해 왔지만 메신저 시스템이 이미 그 영역을 차지한지 오래다.

사용자들이 많은 메신저 시스템을 크래커나 범죄자들이 가만히 놔둘 리가 없다. 특히 지인을 사칭해 돈을 갈취하는 수법은 이미 오래전부터 성행되어 왔고 스미싱앱을 설치하도록 유도하는 방법도 자주 사용되고 있다.

돈을 갈취하는 사기 문자는 쉽게 알아볼 수 있기 때문에 조금만 주의하면 쉽게 눈치챌 수 있다. 하지만 메신저 자체를 크래킹 할 때는 이야기가 다르다. 메신저 시스템 안에 메시지가 그대로 남아 있다면 이도 크래킹의 대상이 될 수 있다.

최근에는 이러한 문제를 해결하기 위해 자동 또는 수동으로 삭제하는 기능을 메신저에서 지원하고 있다. 개인적인 대화 내용을 안전하게 보호하기 위해서는 주기적으로 삭제하는 편이 좋다. 물론 중요한 내용이라면 백업 기능을 활용하면 된다.

smartphone_security_18

가장 많이 사용되는 카카오톡의 백업 화면, 설정 창에 들어가서 채팅 -> 대화 백업 -> 대화 백업 하기 순으로 진행하면 된다

당연히 메신저 시스템은 기본적으로 백업 기능도 함께 제공한다. 백업 후 다른 곳으로 이동 시켜 놓으면 중요한 대화 내용을 잃어버리지 않고 자신이 원할 때 언제든지 꺼내서 볼 수 있다. 또 백업 과정에서 암호화 과정도 거치기 때문에 더욱 안전하게 보호할 수 있다.

한편, 최근에 부각된 문제 중 하나는 속칭 몸캠 피싱이다. 실제로 지난 2016년 10월에는 700여명이 넘는 사용자들이 몸캠 피싱에 피해자가 되어 이슈가 됐으며, 이후에도 문제가 해결되지 않아 계속 피해자는 증가하고 있는 상황이다. 몸캠이 한번 찍히게 되면 이를 이용해 피해자를 협박해 돈을 갈취하거나 또는 영상을 판매하는 등의 범죄로 이어진다.

smartphone_security_19

몸캠 피싱이 진행되는 과정(출처: 경찰청 사이버안전국)

여기서 큰 문제가 되는 것이 바로 영상 판매다. 인터넷에 한번 영상이 퍼지기 시작하면 돌이키기 어려워 진다. 물론 누구나 잊힐 권리는 있다. 실제로 몸캠 피싱은 통신매체이용음란죄와 명예훼손 등에 위반된다. 물론 한국 뿐 아니라 해외에서도 이런 문제를 해결하기 위해 관련 법안들을 만들어 시행 중에 있다.

smartphone_security_20

몸캥 피싱 과정에서 스파이앱이 설치되기도 한다(출처: 경찰청 사이버안전국)

특히 몸캠 피싱 역시 스파이앱을 활용한 것이므로 의심되는 파일 설치 요구에 대해서는 단호히 거부해야 한다. 또 몸캠이 유출된 경우에는 바로 경찰에 신고하는 것이 바람직하다. 단순히 돈을 준다고 해서 범죄자들이 포기하지 않기 때문. 한순간의 호기심으로 인해 지금도 고통 받는 피해자들이 아직도 많다는 점을 기억하자.

개인 정보, 누가 지켜주지 않는다

모든 모바일 서비스는 보안 기능을 대부분 갖추고 있다. 모바일 서비스를 하는 기업들 모두가 보안이 완벽하지 못하다. 결국 사용자 역시도 자신의 개인 정보를 보호할 수 있는 능력을 갖춰야 한다.

보안 프로그램 설치를 비롯해, 관련 업데이트를 주기적으로 스마트폰에 적용하는 것은 물론, 정기적인 데이터 백업, 허가 받지 않은 어플리케이션은 설치하지 않는 것이 현재로서는 최선의 방법이다.

또 만약 개인 정보가 빠져나가는 것이 의심된다면 KISA(https://www.krcert.or.kr/main.do)와 사이버 경찰청 사이버안전국(http://cyberbureau.police.go.kr/index.do)에 도움을 요청하자. 해당 기관에서는 이와 관련되어 다양한 정보를 제공하고 있는 만큼 큰 도움이 될 것이다.

기획, 편집 / 다나와 홍석표 (hongdev@danawa.com)
글, 사진 / 테크니컬라이터 민재홍
기사 제보 및 문의 (news@danawa.com)
(c)가격비교를 넘어 가치쇼핑으로, 다나와(www.danawa.com)

홈쇼핑, 오픈마켓, 개인 쇼핑몰 등 자세한 구매정보가 궁금하다면?(원문보기)