본문 바로가기

악성코드 심은 앱 다운받으면 원격 해킹에 당할 가능성

중앙일보 2012.03.22 03:00 종합 18면 지면보기
장모(52)씨가 지난 3일 600만원을 사기당했다며 경찰에 제시한 ‘카카오톡 피싱’ 캡처 화면. 장씨는 “돈을 송금하고 두 시간 후에 다시 확인해보니 카카오톡 대화명과 사진이 바뀌어 있었다”고 말했다.


진화하는 해킹에 카카오톡(카톡)도 더 이상 ‘피싱 예외지대’는 아니었다. 보안 전문가들은 “카톡에 대한 피싱은 시간문제였지, 불가능한 것은 아니었다”고 지적했다. 최근 스마트폰에 악성코드를 심은 뒤 사용자가 어떤 버튼을 눌렀는지 파악하는 ‘스마트폰 원격 해킹’ 기술이 개발됐다. 한 온라인 보안업체 관계자는 “악성코드가 들어있는 애플리케이션을 앱스토어 등에 올려 놓은 뒤 스마트폰 사용자들이 다운로드받으면 이를 이용하는 것”이라며 “아직까지 스마트폰 보안 백신은 활성화되지 않았고 카톡은 사용자가 수천만 명인 만큼 피해 사례가 계속될 수 있다”고 말했다.

보안 문제 없다던 카카오톡 어떻게 뚫렸나
백신 활성화 안 돼 문제 … 카카오톡 “원격 해킹 불가능”
신상털이 먼저 하고 털린 사람 행세하는 수법일 수도
피해자 “친구 거짓말 아니고, 전화 잃어버린 적도 없어”



 경찰 관계자는 “스마트폰과 PC 모두에서 사용이 가능한 ‘마이피플’은 PC 해킹을 통한 것으로, 이미 피해사례가 여러 건 접수됐다”고 말했다. 실제로 경기 일산경찰서는 스마트폰 앱 ‘마이피플’에서 친구 행세를 한 사람에게 180만원을 보냈던 정모(33)씨의 피해 사건에 대해 수사 중이다. 이 관계자는 “스마트폰에서만 이용 가능한 카톡은 마이피플과는 경우가 다른 것으로 생각했는데 결국 해킹이 된 것 같다”고 말했다. 경찰은 다양한 해킹 가능성에 대해 수사하고 있다.



 카톡 해킹 원인에 대해 황보성 한국인터넷진흥원 개인정보침해사고 점검팀장은 “‘사회공학적 해킹’일 가능성이 있다”고 말했다. 보안 시스템 자체를 공략하기보다는 카톡 이용자의 학연·지연 등을 이용해 허점을 노린다는 것이다. 황 팀장은 “카톡은 이름과 사진을 바꿔 저장할 수 있기 때문에 무작위로 만든 휴대전화 번호를 저장한 뒤 ‘친구추천’에 뜨는 사람들에게 그 사람 행세를 할 가능성이 있다”며 “공격하고 싶은 사람의 페이스북·트위터 등을 통해 개인정보를 얻는 소위 ‘신상털기’ 기법이 사용됐을 것”이라고 추정했다.



 지난 3일 카톡 피싱 피해를 당한 장모(52)씨는 “말투와 사진·이름이 모두 친구와 똑같았다”며 “이름을 부른 뒤 ‘친구야’라고 덧붙이는 말투도 비슷해 친구라고 믿지 않을 수 없었다”고 말했다. 장씨는 “이전에도 400만~500만원씩 여러 번 돈을 주고받는 사이였기 때문에 친구가 이 돈을 받으려고 일부러 거짓말할 가능성은 없다”고 덧붙였다. 장씨와 친구 주씨 모두 스마트폰을 분실한 적이 없다.



 이에 대해 카카오톡 측은 기술적으로 ‘스마트폰 원격 해킹’에 카카오톡이 뚫릴 가능성은 없어 수사를 지켜보겠다는 입장이다. 이수진 카카오톡 홍보팀장은 “카카오톡의 경우 인증체계가 휴대전화 번호와 이에 따른 인증번호를 입력하게 돼 있기 때문에 피해자가 스마트폰을 잃어버린 적이 없다면 이를 원격해킹하는 것은 불가능하다”고 말했다.



 문제는 이 같은 카카오톡 피싱 해커에 대한 추적이 간단치 않다는 점이다. 경찰 관계자는 “메신저 업체들이 급증하는 사용량을 감당하지 못해 이용자 접속기록을 일주일치만 보관하는 경우가 대부분”이라며 “사건 접수 후 법원에서 수색영장을 발부받는 데만 일주일 가까이 걸리기 때문에 수사에 어려움이 많다”고 덧붙였다.



이지상 기자





◆카카오톡(KaKao Talk)=(주)카카오가 2010년 3월 18일부터 시작한 스마트폰용 무료 메신저다. 2012년 3월 12일 현재 가입자수 4200만 명, 하루 메시지 전송건수가 26억 건에 달한다.
공유하기