스파이앱, 도청과 결제 등 방법 다양화..똑똑한 대응 시급 (메디컬투데이 2013-02-20 15:14:52)

스파이앱, 도청과 결제 등 방법 다양화..똑똑한 대응 시급

 

스파이앱 등장이 화제가 되고 있다.

최근 각종 스파이앱의 성행으로 인한 피해가 속출하는 가운데 그 방법이 다양해지고 있어 문제가 심각하다.

처음 등장한 스파이앱은 휴대폰 고객센터 등으로 분해 어플 설치를 요구한 후 사용자 휴대폰 내 문자를 빼가는 정도였다. 하지만 최근 등장한 스파이앱은 전화를 도청하거나 요금 결제를 하는 방식이다.

이 같은 스파이앱 피해는 인터넷 커뮤니티 등지로 확산되며 그 심각성이 대두되고 있으며 각별한 주의가 요구되고 있다.

스파이앱 소식을 접한 네티즌들은 “드라마와 영화에서만 보던 도청과 감시가 현실화 됐다”, “믿을게 없는 세상이다”, “스파이앱이 어디에서 설치될지 알 수 없는 노릇이다”, “설마 벌써 당하고 있는지도 모른다” 등의 반응을 보이고 있다.

한편 이같은 피해를 줄이기 위해서는 공짜 영화권이나 쿠폰을 다운받도록 하는 문자는 대도록 피하고, 고객센터 등에서 요구하는 어플 설치 등은 해당 고객센터와의 통화를 통해 확인 한 후 설치하는 것이 필요하다.

또한 스마트폰 백신 프로그램을 통해 정기적인 점검을 받는 것도 좋은 방법이다

 

 

스마트폰 '도청' 악성코드 주의

 (이데일리뉴스 2013.02.05 13:14)

앱장터에 버젓이 등록되기도..사용자 주의 요망

 

‘누군가 당신이 통화하는 내역을 엿듣고 예전에 찍었던 사진을 훔쳐볼 수 있다.’

스마트폰 사용자의 개인정보를 노린 악성코드가 앱장터에 버젓이 올라와 있는 경우가 있어 앱 다운로드와 설치에 주의가 필요하다고 CNBC가 4일(현지시간) 보도했다.

보안업체 카스퍼스키랩은 이날 안드로이드 앱장터 구글플레이에 등록돼 있었던 ‘드로이드클리너’, ‘슈퍼클리너’가 사실은 스마트폰과 PC를 감염시켜 좀비로 만드는 악성코드라고 밝혔다. 겉은 악성코드를 제거하는 프로그램이었지만 실상은 사용자 개인정보를 노린 악성코드였던 것이다.

현재 이 두 앱은 구글플레이에서 삭제된 상태다. 그러나 카스퍼스키랩은 안드로이드 스마트폰 사용자와 상당수 PC 사용자가 이 악성코드에 감염돼 있을 것이라고 보고있다.

이 악성코드들은 사용자가 통화를 하는 동안 이를 녹음해 해커에 전달한다. 스마트폰에 저장된 사진, 문자메시지(SMS) 등의 정보를 전송하거나 삭제할 때도 있다. 인터넷 접속시 특정 사이트 창을 고정적으로 띄운다.

PC도 이 악성코드의 타깃이다. 악성코드가 설치된 스마트폰이 USB포트를 통해 PC에 연결되면 바로 감염된다.

카스퍼스키랩은 PC의 경우 최신 윈도8 버전을 사용하면 피해를 막을 수 있다고 전했다. 그러나 윈도7, 윈도XP같은 하위 버전이나 스마트폰의 경우에는 피해를 막을 뾰족한 방법이 없다.

따라서 앱이 이미 설치돼 있다면 이를 삭제하고 PC와 연결을 하지 않아 2차 감염을 막는 수 밖에 없다. 또한 출처가 불분명한 앱을 설치하는 일도 피해야 한다. XML

 

 

문자·사진에 실시간 위치까지 '스마트폰 도청'

(SBS 2013-02-20 20:47)

 

<앵커>

도청이라는 게 꽤 있다고는 들었지만 이 정도일 줄은 몰랐습니다. 스마트폰 통화, 문자와 사진 메시지, 심지어는 휴대전화 주인의 실시간 위치까지 알아내지 못할 게 없었습니다.

그런데 뾰족한 대책이 없습니다.

김정윤 기자가 취재했습니다.

<기자>

상대방 스마트폰을 내 손 안에 고스란히 넣을 수 있다고 광고하는 사이트입니다.

[스파이앱 사이트 홍보영상 : 휴대전화로 문자를 보내거나 받거나, 전화를 걸고 받는 모든 내역이 이메일로 발송됩니다.]

사이트에 있는 QR코드를 인식시키자 스파이 앱이 설치됩니다.

그러자 일상적인 통화내용은 물론,

[실제 통화내용 : (오늘 저녁에 술이나 한잔 할까?) 그래 좋아. 회사 앞으로 올래?]

[도청 녹음파일 : (오늘 저녁에 술이나 한잔 할까?) 그래 좋아. 회사 앞으로 올래?]

문자메시지, 스마트폰 속 사진들이 지정한 이메일로 실시간 전송됩니다.

이동 위치도 정확히 추적하고, 동료들과 나눈 대화까지도 도청돼 전달됩니다.

[도청 녹음파일 : (오늘 점심 뭐 먹을까?) 복국이나 해장국이나….]

[실제 대화내용 : (오늘 점심 뭐 먹을까?) 복국이나 해장국이나….]

사용자가 GPS나 녹음기 같은 기능을 꺼 놓더라도 소용이 없었습니다.

[홍민표/보안업체 '에스이웍스' 대표 : (위치추적을 당하기 싫으면 GPS를 꺼놓으면 될 거 아니냐? 그럼 어떻게 추적이 됩니까?) 그럼 GPS를 켜면 되죠. 이렇게 켜면, 여기도 켜지잖아요.]

책상 위에 잠시 놓아둔 스마트폰에 QR코드만 인식시키면 사용자도 모르게 스마트폰을 통째로 조종할 수 있게 되는 겁니다.

최근에는 스마트폰을 직접 만지지 않고도 기업체 홍보문자나 게임 앱으로 위장해 몰래 스파이 앱 설치를 유도하는 교묘한 방법도 등장했습니다.

미국과 중국 등에 근거를 둔 이런 스마트폰 흥신소는 이미 수십 개 업체가 국내에 침투했습니다.

[미국 스마트폰 흥신소 홍보영상 : 24시간 언제나 연락처와 통화기록, 문자, 이메일, 사진에 접속할 수 있습니다.]

문제는 피해를 막을 뾰족한 대책이 없다는 점입니다.

[스파이 앱 사이트 홍보영상 : 전문가가 아닌 이상 이거를 찾아낼 수가 없고요. 백신에도 노출이 안 됩니다.]

실제 어떤 백신프로그램도 스파이 앱을 잡아내지 못했습니다.

[임종인/고려대 정보보호대학원장 : 산업 스파이라든지, 국가 스파이, 이들도 이걸 사용할 수가 있습니다. 어떤 대기업의 회장이든, 어떤 장관이든, 청와대에 있는 고위 분이든, 누구도 이건 안전하지 않습니다.]

SBS '현장 21'의 취재가 시작되자 방송통신위원회는 오늘(20일) 해당 사이트의 접속을 차단했습니다.

올 4월부터는 구글과 이동통신사, 스마트폰 제조사와 애플리케이션 사업자들을 대상으로 스마트폰 개인정보 유출 실태조사를 벌이겠다고 밝혔습니다.

 

 

이소닉, 스마트폰 도청방지 제품 출시

 (지디넷코리아 2012.04.02 / PM 04:52)

 

오디오제품 및 응용제품 개발 전문업체 이소닉(대표 이하용)은 삼성전자 갤럭시S2 전용 도청방지 비화기 ‘보이스키퍼 FSM-GS2’ 국내 온라인 판매 독점 공급권 계약을 완료해 제품을 출시한다고 2일 밝혔다.

보이스키퍼는 도청 피해를 사전 예방할 수 있는 시스템으로 음성통화 도청방지 기능은 물론 주변 대화내용 도청차단 기능까지 수행한다.

KC, FCC 등 국내외 인증을 획득한 보이스키퍼는 스마트폰 외장케이스 모형으로 평상시에도 연결해 휴대가 간편하다. 보이스키퍼와 갤럭시S2 스마트폰을 연결하면 보이스키퍼의 스피커와 마이크를 통해 통화한다. 평상시에는 일반 스마트폰처럼 활용하지만, 중요 대화 및 회의를 할 때는 스위치를 작동해 도청방지 모드로 이용할 수 있다.

▲ 갤럭시S2전용 스마트폰 도청방지 비화기 `보이스키퍼`

또한 비화통신 중에는 성문 스크램블 기술을 통해 음성을 아날로그 잡음으로 변환해 전송하게 되고 전송신호는 보이스키퍼를 통해 음성으로 복원해줘 2대의 보이스키퍼 사이 통신 구간에서는 도청이 불가능하다.

유선열 이소닉 유통사업부 이사는 “첨예한 정책 정보보안이 필요한 국회의원 및 각 자치단체장과 기관장을 포함한 정치인, 국가기관의 중요업무 수행 종사자, 기업 경영기밀자료 유출을 우려하는 대기업 임원진 등은 휴대폰 도청에 민감할 수 밖에 없는 만큼 상위그룹 인사들이 주요 고객이 될 것으로 예상된다”고 말했다.

 

 

당신의 스마트폰이 당신을 도청·촬영한다

 (미디어오늘 2013-01-26 18:46)

 

스마트폰 도청 시연… 개인이 할 수 있는 보안 대책은?

"스마트폰 해킹은 모방 범죄 때문에 시연을 잘 하지 않는 편입니다"

모바일 보안 전문가인 안성수씨(가명)는 스마트폰 해킹 시연에 앞서 이런 말을 건넸다. 스마트폰 해킹이 쉽기 때문에 보안전문가들은 오히려 시연을 자제한다는 것이다.

이날 안씨가 소속된 서울의 한 보안업체에서 시연된 스마트폰 도청은 스마트폰 사용자 누구나 피해자가 될 수 있다는 것을 보여줬다. 안씨는 구글의 운영체제(OS)인 안드로이드 기반의 스마트폰을 대상으로 시연했다.

시장조사기관인 IDC에 따르면 2012년 3분기 전세계 스마트폰의 75%는 안드로이드 기반이다. 안드로이드는 개방형 플랫폼이기 때문에 애플의 iOS보다 해킹에 더 취약한 편이다.

▲ 위·변조된 '바운스볼' 앱의 첫 화면. 원조 앱과 똑같은 게임 기능을 제공한다.

해커는 우선 안씨의 시연 스마트폰(이하 A폰)으로 URL이 포함된 문자메시지를 보냈다. 안씨가 문자메시지를 확인하고 URL을 누르자 자동으로 바운스볼(Bounce Ball)이라는 게임 애플리케이션(이하 앱)이 A폰에 다운로드됐다.

정식 앱 장터를 통하지 않고 다운로드된 이 앱은 해커에 의해 위·변조 된 게임 앱이다. 원조 바운스볼(Bouncy Ball)은 1월 첫 째주 기준 애플 앱스토어와 구글 플레이스토어의 무료 게임 카테고리에서 10위 안에 오른 게임이다.

안씨는 이 위·변조된 앱을 통해 바운스볼 게임을 즐겼다. 하지만 해커가 앱에 숨겨놓은 악성코드는 게임 외에 또다른 작업을 수행하고 있었다. 바로 녹음 기능을 이용한 도청이다.

문자메시지로 해킹 스마트폰 제어… 사용자 인지 못해 해커는 문자메시지를 통해 A폰을 제어했다. 해커가 자신의 휴대전화(B폰)에서 A폰으로 녹음을 시작하라는 명령(문자메시지)를 보냈다. 곧 B폰에는 문자메시지 발송 완료라는 창이 떴지만, A폰에는 아무런 반응이 없었다. 대신 A폰은 사용자 몰래 녹음을 시작했다. 이어 안씨가 녹음을 멈추라는 명령(문자메시지)를 보냈다. 녹음을 멈춘 A폰은 녹음 파일을 해커의 컴퓨터로 전달했고, A폰의 파일은 자동 삭제됐다.

 도청은 스마트폰 사용자가 전혀 인지하지 못한 채 가능했다. 해커는 위·변조한 바운스볼 앱에 문자메시지를 탈취(hijacking)하는 기능을 넣어, A폰에는 아무런 문자메시지가 수신되지 않았다.

 또한 A폰에는 '녹음 중'이라는 표시가 나타나지 않았고, 기존의 녹음 앱도 정상 작동했다. 안씨는 "최신 스마트폰에는 '시리'와 같은 음성인식 기능이 담겨있다"며 "특정 단어가 들리면 자동으로 녹음을 시작하고 파일을 전송하게 하는 해킹 앱도 만들 수 있다"고 설명했다.

 ▲ 위·변조된 '바운스볼'(왼쪽)과 원조 '바운스볼' 앱의 권한. 해킹 바운스볼은 문자메시지, 위치, 연락처, 오디오 등에 대한 접근 권한을 부여한다. 앱 다운로드시 권한 표시… "권한이 과도하면 의심해야" 만약 해커가 위·변조 앱에 사진·영상 찰영 기능까지 추가한다면 카메라를 이용한 사찰, 스토킹도 가능하다.

 안씨는 "3G 통신망 때는 용량이 작은 음성 파일이 적합했지만, LTE 시대가 오면서 영상 파일 전송도 더욱 쉬워졌다"고 설명했다. 안씨는 해킹을 방지하기 위해선 앱을 다운로드할 때 권한 설정을 유의 깊게 살펴봐야 한다고 당부했다

. 애플, 구글의 규정상 앱을 다운로드하기 전에 앱의 권한이 표시된다. 이때 앱의 기능과 어긋난 권한이 과도한 경우 의심을 해야 한다. 안씨는 "예를 들어 단순한 게임 앱인데 카메라, 위치설정 등 제어할 수 있는 권한을 가지고 있다면 앱 개발사에 문의를 하는 등 확인을 해야 한다"고 설명했다.

실제 위·변조된 바운스볼 앱에는 문자메시지, 위치, 연락처, 메모리, 오디오 등을 수행할 수 있는 권한이 부여되어 있었다. 그러나 원조 바운스볼 앱에는 인터넷에 접속할 수 있는 권한 하나만 있다.

이와 같이 과도한 권한을 가진 앱은 현재 정식 앱 장터에서도 흔하게 유통되고 있다. 예를 들어 '네이버 앱스토어', '우리은행' 앱은 사진영상 촬영과 녹음 기능에 접근할 수 있는 권한이 있다. 안씨는 "개발사가 앱에 관련 기능을 넣어두지 않더라도 권한 자체를 열어두는 경우는 있다"며 "앱 개발사들도 목적에 맞는 권한만 넣은 앱을 만들어야 오해를 줄일 수 있다"고 조언했다.

 ▲ '네이버 앱 스토어', '우리은행' 앱은 카메라와 녹음기능에 접근할 수 있는 권한을 가지고 있다.

개인이 할 수 있는 해킹 방지 대책은? 해킹을 막기 위해서는 스마트폰 사용자의 각별한 주의가 필요하다. 특히 앞으로 늘어날 것으로 예상되는 금융사기는 보상을 받을 수 없기 때문에 자체적인 보안 대책을 숙지해야 한다.

첫째, 탈옥이나 루팅을 자제한다. 탈옥이란 아이폰의 시스템 잠금장치를 해제하는 것이며, 루팅은 안드로이드 휴대전화의 운영체제를 해제해 관리자 권한을 얻는 것을 말한다. 유료앱을 무료로 다운로드하는 등 탈옥·루팅을 통해 사용자 맞춤형 스마트폰을 만들 수 있지만 일반적으로 해킹에 취약해진다. 다만 전문가라면 탈옥·루팅으로 보안을 강화할 수도 있다.

 둘째, 정식 앱 장터를 통해서만 앱을 다운로드한다. 애플과 구글은 앱 장터를 꾸준히 모니터링해서 위·변조된 앱을 추려내고 있다. 정식 앱 장터에도 간혹 악성 앱이 올라오기는 하지만 현재로선 가장 안전한 경로다.

 셋째, 백신 앱을 사용한다. 앱 장터에는 V3, 네이버 백신, 알약 등 보안업체에서 무료로 제공하는 백신 앱이 있다. 백신 앱을 내려받아 '실시간 감시' 모드를 켜두는 것만으로도 해킹 위협을 상당히 줄일 수 있다.

 넷째, 의심이 가는 URL은 누르지 않는다. 안드로이드 기반 스마트폰의 경우 앱 장터가 아닌 웹을 통한 앱 다운로드가 가능하다. 최근에는 할인 쿠폰을 다운로드 하라는 문자메시지를 눌렀다가 악성 앱을 내려받아 20여만 원이 자동 결제되는 금융사기가 발생했다. 방송통신위원회, 한국인터넷진흥원 등은 '스마트폰 이용자 10대 안전 수칙'을 제시하고 있다.

 

 

한국통신보안주식회사, 스마트폰 도청 방지장비 전시

 (Global News Network 'AVING' 2011-06-12)

한국통신보안주식회사(대표 안교승, www.tscm.co.kr)는 지난 6월 8일부터 10일까지 코엑스에서 열린 '국제보안기기 및 정보보호전'에 참가해 스마트폰 도청방지장비 'The Stealth Smart Box'를 소개했다.

'The Stealth Smart Box'는 상대방의 휴대 전화에 은밀하게 프로그램을 설치하거나 조작된 전화를 거는 방법으로 대화를 엿듣는 도청 프로그램의 공격을 무력화 시키는 도청방지장비다.

제 3자가 은밀하게 본인의 휴대전화를 작동시키는 것을 탐지하고 경호함과 동시에 주변 음성을 해독 불가능한 방해 음파를 발생시켜 도청을 방지한다.

휴대전화 거치대 모양의 회의실용과 휴대전화에 부착해 사용할 수 있는 휴대용이 있다. 주변 휴대전화에 영향을 주지 않으며 모든 기종에 사용 가능하다.

문의: 02-3776-5000