우리나라의 스마트폰 가입자는 거의 5천만 인구에 육박할 정도라 한다. 대한민국 인구가 5200만에 가까워지고 있다고 하니 아마도 비즈니스를 하시는 분들은 스마트폰을 2개이상 사용 중일 듯하다.
그런데 이렇게 많은 스마트폰 사용자들의 개인정보는 과연 얼마나 안전할까?
통신사들과 금융회사 혹은 스마트폰을 매개로 하는 모든 어플리케이션회사들은 스마트폰 사용자들에게 자사 가입의 마케팅을 전개하지만, 과연 이들이 가입자들의 개인정보 안전에 얼마나 관심을 기울이는지 가입자인 우리는 잘 모른다. 간혹 개인정보 관련 사건이 일어나도 잠시 야단법석하다 금방 조용해진다.
아시다시피 이번에도 대한민국에는 개인정보관련 정말 큰 사건이 있었다.
2025년 4월 22일, 여러 경로를 통해 해킹으로 인한 악성코드 감염으로 SK텔레콤 고객 다수의 USIM 정보의 유출 정황이 있다는 각종 미디어와 뉴스보도가 전파를 탔다. 관련 장비의 격리조치 및 악성코드 삭제를 완료했으며, 감염 경로 및 관련 정보 유출 범위에 대해 조사중이라고 밝혔고, 심지어 국회 청문회까지 열렸지만, 기술에 무지(?)한 일부 국회의원들은 SK텔레콤의 핑계 같은 사과에 의존할 수밖에 없었고 이 같은 상황이 지금도 이어지고 있다.
매우 심각한 개인 정보 유출 사태임에도 불구하고 피해자인 SK텔레콤 고객들 사이에서는 하루가 꼬박 지난 23일 저녁이 될 때까지 많이 알려지지 않았다. T월드 어플을 통한 팝업 공지로만 사태에 대해 안내하고 있었기 때문이다. SK컴즈 개인정보 유출 사건 때도 대규모 개인 정보가 유출되었지만 SK텔레콤은 같은 방식으로 안이하게 대처했던 것이다. 심지어 1년 전부터 해킹이 진행되었을 가능성이 제기되었음에도 몰랐던 것인지 모른척하고 있었던 것이니 그저 손놓고(?) 있었다고 봐야하지 않을까 싶은 정황이 곳곳에서 나타나고 있었다.
저를 포함한 많은 독자 여러분의 스마트폰을 통한 금융정보는 과연 안전할지, 이번 사태를 기회로 스마트폰의 운영체제에 대해 짚어보고자 한다.
우선, Android vs iOS의 차이를 기준으로 스마트폰 보안은 운영체제(OS)의 설계 철학에 크게 영향을 받는다. 안드로이드(Android)는 개방형 플랫폼으로 다양한 제조사와 앱 마켓을 허용하는 반면, 아이오에스(iOS)는 폐쇄형 생태계로 엄격한 통제를 통해 보안을 강화하고 있다.
즉 iOS는 폐쇄형 생태계의 이점으로 보안성이 높다는 평판을 얻어왔고, Android는 개방형 특성상 다양한 위협에 노출될 수 있지만 사용자 설정을 통해 보안을 강화할 수 있다. 두 OS 모두 앱 샌드박싱, 저장 데이터 암호화, 안전 부팅 등의 기본 보안장치를 제공하여, 악성 앱이 설치되더라도 시스템 전체로 피해가 확산되는 것을 억제한다. 다만 Android는 제조사별 업데이트 지연과 서드파티 앱 허용으로 인한 취약점 노출 우려가 있고, iOS는 애플의 신속한 패치를 받는 대신 보안상 애플 정책에 전적으로 의존해야 하는 한계가 있다.
2024년부터 EU의 디지털시장법(DMA)에 따라 iOS에도 사이드로딩(공식스토어 외 앱 설치) 허용이 요구되고 있다. 이에 대비해 애플은 앱 공증(Notarization) 등 보안 조치를 도입할 예정이지만, 통제되지 않은 앱 유입은 새로운 iOS 공격 벡터를 열 수 있어 업계의 예의주시를 받고 있다.
반면 Android는 이전부터 사이드로딩이 가능했으나, 이용자는 “출처 불명의 앱 설치 제한” 설정을 통해 위험을 최소화해야 하는 과정이 필요하다. 아시다시피, 현대의 스마트폰은 각종 사이버 위협에 직면해 있다. 그래서 스마트폰 개인정보를 노리는 주요 보안 위협과 사태의 심각성을 널리 이해되도록 하는 시간이 필요할 것으로 보인다. 우선적으로, 앱 권한 남용 및 개인정보 수집 위험이다.
스마트폰 앱이 요구하는 권한(permission)을 남용하여 사용자의 개인정보를 과도하게 수집하는 사례가 꽤 많을 것이다. 최근 연구에 따르면 전체 앱의 70% 이상이 기능 수행에 불필요한 장치 권한을 요구하고 있었으며, Android 앱의 약 87%, iOS 앱의 60%가 이같이 과도한 권한을 요청한 것으로 드러났다. 이러한 권한 남용 앱은 수집한 데이터를 무단으로 제3자에게 제공하거나, 최악의 경우 악성코드로 위장해 스파이웨어처럼 악용될 수 있다.
표 ; Android와 iOS의 보안 모델 차이를 정리
|
구분 |
Android (안드로이드) |
iOS (아이오에스) |
|
앱 설치 생태계 |
개방형 구조로 공식 앱 마켓(Google Play) 외에 타사 APK 파일 설치(사이드로딩)가 가능. 유연성은 높지만 검증되지 않은 출처의 앱으로 인한 악성 앱 유입 위험. |
폐쇄형 구조로 공식 앱스토어(App Store)를 통한 설치만 허용되어 앱 사전심사가 엄격. 무단으로 앱 설치가 어려워 멀웨어 차단에 유리하지만, 사용자 선택 폭은 제한. |
|
앱 샌드박싱 |
애플리케이션 샌드박스를 적용하여 각 앱이 별도 프로세스로 격리 실행됩. 앱마다 고유 Linux 사용자 계정이 할당되어 다른 앱이나 시스템 자원 접근이 제한, 사용자가 명시적으로 권한을 부여한 경우에만 민감 데이터 접근이 가능. |
앱 샌드박싱과 권한체계를 통해 앱 간 데이터 접근을 제한. 승인된 앱만 실행되도록 코드 서명을 요구하고, Secure Enclave 등의 하드웨어 보안칩을 활용해 지문/얼굴 정보 같은 민감한 데이터를 격리 보호. 샌드박스 탈출 공격에 대비한 OS 보안 강화가 지속. |
|
보안 업데이트 |
제조사∙통신사별 펌웨어 커스터마이징으로 업데이트 파편화가 존재. 최신 보안 패치가 기기별로 지연되는 경우가 있으며, 구형 기기는 업데이트 지원이 중단되기도. 함(예: 2019년 기준 Android 9의 적용율은 20%). Google은 Play 프로텍트 및 모듈식 업데이트로 핵심 보안 패치를 신속 배포하려고 노력. |
애플이 OS를 직접 통제하여 일관된 보안 업데이트를 제공. 구형 기기까지 오래 지원하는 편이어서 오래된 아이폰도 최신 iOS로 업그레이드해 최신 보안 수정사항을 받을 수 있다. 업데이트가 동시 배포되므로 취약점 패치가 빠르게 이루어지는 장점. |
|
기본 보안 기능 |
기기 암호화(Device Encryption)가 기본 활성화되고, 구글 Play Protect로 앱을 설치 전후 검사하여 멀웨어를 차단. 지문, 얼굴인식 등 생체인증을 지원하며, 공장초기화 보호(FRP)로 도난폰이 초기화 후 재사용되지 않도록 이전 구글 계정 인증을 요구. |
부팅 시 Secure Boot 체인을 통해 신뢰된 코드만 로드하고, 저장 데이터는 종단간 암호화로 보호. Face ID/Touch ID로 기기를 잠그고, 나의 iPhone 찾기를 통해 원격으로 기기 잠금·초기화, Activation Lock으로 분실 기기 재활용을 막는 등 통합 보안 기능을 갖춤. |
이에 사용자는 앱 설치 시 권한 요청 팝업을 주의 깊게 살펴보고, 기능과 무관한 권한을 요구하는 앱은 설치를 피해야 한다. 또한 설치 후에도 설정 > 앱 권한 관리를 통해 불필요한 권한은 끄고, 주기적으로 권한 현황을 점검하여 개인정보 노출을 최소화하는 것이 좋다.
그래서 앱 권한을 최소한으로 줄이는 것이 프라이버시 보호의 첫걸음이다. 다음은 피싱∙스미싱 공격이다. 스미싱(Smishing) 문자 메시지 사례들에서 공격자는 가족이나 기관을 사칭해 긴급한 내용과 URL을 보내 사용자를 속인다. 피싱(Phishing)은 이메일, 문자, 메신저 등을 통해 신뢰할 만한 기관이나 지인으로 가장하여 민감 정보(로그인, 비밀번호, 금융정보 등)를 탈취하는 사회적 공격이다. 특히 휴대전화 문자메시지를 악용한 스미싱(SMS Phishing)이 기승을 부리고 있다.
스미싱 공격자는 정부기관 통지, 택배 안내, 지인 급한 사정 등으로 가장한 문자에 악성 URL을 첨부한다. 사용자가 이러한 링크를 클릭하면, 거짓으로 꾸민 피싱 사이트로 유도되거나 악성 앱(APK) 다운로드를 유발하여 개인정보를 탈취하게 된다.
예를 들어 2024년에는 “○○기관을 사칭한 세금환급 안내”, “지인을 사칭한 부고(訃告) 문자” 등이 다수 유포되었는데, 링크를 클릭하면 실제 기관의 로고와 유사한 피싱 페이지가 열려 사용자의 계정정보나 카드정보 등을 입력하도록 속이는 수법으로 금융사기, 계정탈취, 원격제어 악성앱 설치까지 다양한 범죄가 실행되고 있다. (https://asec.ahnlab.com/ko/ 재인용)
출처가 불분명한 문자나 메신저의 URL 은 절대 클릭하지 않고 즉시 삭제하는 것이 최선이다. 특히 공공기관이나 금융사는 문자로 웹링크를 보내지 않는 경우가 많으므로, 의심스러운 경우 해당 기관에 직접 확인해야 하는 것이 적절할 것이다.
다음은 공공 Wi-Fi 및 무료 네트워크 이용 시 위험이다.
카페, 지하철, 공항 등에서 제공되는 공공 Wi-Fi를 무심코 사용하면 데이터 탈취 등의 위험에 노출될 수 있는데, 개방된 무선망 중 상당수가 트래픽 암호화 없이 운영되는데, 이렇게 암호화되지 않은 네트워크에서는 해커가 패킷을 도청하여 개인정보를 가로채기 쉽다.
또 다른 위험은 가짜 Wi-Fi 핫스팟이다. 예를 들어 실제 제공자 이름과 동일한 SSID를 설정한 이른바 “이블 트윈(Evil Twin)” 공격이 대표적이다. 사용자가 진짜인 줄 알고 해커의 핫스팟에 연결하면, 모든 통신이 공격자를 거쳐가므로 계정 로그인 정보 등이 쉽게 유출된다. (boancloud.co.kr 재인용)
가능하면 민감한 작업(모바일 뱅킹, 결제 등)은 공공 Wi-Fi에서 하지 않는다가 원칙이다. 불가피할 경우 VPN을 사용해 트래픽을 암호화하면 도청을 방지할 수 도 있지만, 일반인이 VPN사용은 다소 애로가 있을 것이다. 그리고 스마트폰의 블루투스(Bluetooth) 기능도 해킹에 악용될 수 있다. 대표적인 사례로 2017년 공개된 블루본(BlueBorne) 취약점은 블루투스가 활성화되어 있기만 하면 페어링하지 않은 기기에도 원격 침투가 가능한 심각한 보안 허점이 있었다.
이 취약점으로 전 세계 약 53억 대 기기가 영향을 받았으며, 공격자는 가까운 거리에서 블루투스 통신을 악용해 기기의 시스템 권한을 획득, 원격 코드실행(RCE)으로 임의의 명령을 수행할 수 있었고 (m.boannews.com. 재인용) 놀랍게도 사용자는 아무 동작을 하지 않아도 공격이 이루어졌기 때문에 “제로클릭” 취약점의 위험성을 일깨운 사례이다.
또한, 스마트폰을 노리는 스파이웨어(spyware) 공격도 실제 사례도 있었다. 스파이웨어는 사용자의 통화, 문자, 위치, 이메일 등 사생활 정보를 몰래 수집하여 공격자에게 전달하는 악성코드이다. 가장 악명높은 사례로 국제 해킹툴인 페가수스(Pegasus)가 있는데, 이 스파이웨어는 iOS 14.6까지 존재했던 제로클릭 취약점을 악용해 상대방 기기에 링크 클릭 없이도 침투할 수 있었다.
Pegasus에 감염되면 문자 메시지 열람, 통화 도청, 비밀번호 수집, 위치 추적 등 스마트폰의 거의 모든 정보를 탈취당할 수 있었고, 심지어 국가원수들의 휴대폰까지 감염되었다는 사실이 알려져 큰 충격을 주었다. iOS뿐 아니라 안드로이드용 변종도 발견되어 모바일 OS 불문하고 취약점이 있으면 언제든 표적이 될 수 있음을 보여주는 사례다.
그 외에도 많은 사람들이 스마트폰 데이터를 잃지 않기 위해 클라우드 백업(예: iCloud, Google Drive)을 활용하는데, 그러나 클라우드에 올려진 백업 데이터가 완전 무결한 보안을 보장하는 것은 아니다. 계정 탈취를 통한 접근이 대표적인 위험이다. 예컨대 2014년 발생한 이른바 “아이클라우드 해킹” 사건은 공격자가 유명인들의 Apple ID 계정을 피싱 수법 등으로 알아내 클라우드 백업에 저장된 사진을 대량 유출시킨 일이 있었다. 이 사건 이후 애플은 이중 인증(2FA)을 도입하고 보안을 강화했지만, 여전히 사용자가 피싱에 속아 인증정보가 탈취당하면 백업 데이터가 노출될 수 있었다.
그렇다면, 앞서 서술된 여러 내용을 바탕으로 최근 이른바 인공지능(AI)이 공공연 하게 활용되는 시점에 이르러 여러 문제들이 발생할 가능성이 매우 높을 것으로 보인다. 실제로 AI 기반 사이버 공격 사례들은 많다. 2019년 (영국) – 해커들은 딥페이크 음성으로 영국 에너지 회사 CEO를 속여 약 24만 3천 달러를 송금 받았다.
공격자들은 AI로 모회사 임원의 독일식 영어 목소리를 생성해 전화했고, 급히 자금을 이체하라는 지시에 속은 피해 기업이 돈을 보냈다. (이후 추가 송금 요구에서 수상함을 알아채 추가 피해는 막았다.) 이는 보고된 첫 음성 딥페이크 BEC(Business Email Compromise) 사기 사례였으며, 2020년 (아랍에미리트 UAE) – 이메일 위조 + 딥페이크 음성을 결합한 해킹으로, UAE의 한 기업 지점장이 상사의 지시를 가장한 사기에 속아 무려 3,500만 달러를 해커들에게 송금했었다. (darkreading.com 재인용)
2022년 (우크라이나) – 러시아의 정보전으로 추정되는 딥페이크 영상이 등장했었는데, 해커들은 우크라이나 대통령 볼로디미르 젤렌스키가 항복을 선언하는 가짜 영상을 현지 방송사 웹사이트와 SNS에 유포했으나 곧 가짜임이 밝혀졌다.
이 1분 분량의 합성 영상에서 젤렌스키는 군대에 무기를 내려놓으라고 말하지만, 입술 움직임과 목소리가 부자연스러워 금세 판별되었지만, 전문가들은 이러한 사례가 향후 정치 선전용 딥페이크가 더욱 늘어날 수 있다고 경고한다. (npr.org. 재인용)
2023년 (미국) – 미국 애리조나주의 한 어머니 제니퍼 디스테파노는 “딸을 납치했다”는 전화를 받고, 배경에서 울먹이는 딸의 목소리를 들었었다. 실제로는 딸이 안전했지만, AI로 복제된 딸의 음성이 어머니를 속이기에 충분했었다.
2023년 (글로벌) – ChatGPT와 같은 생성형 AI의 등장 이후, 이를 악용한 피싱·악성코드 제작 시도가 보고되고 있다. 캐나다 사이버보안국 등은 해커들이 AI를 이용해 그럴듯한 피싱 이메일 작성이나 악성 코드 생성을 시도하고 있다고 경고한 여러 사례를 토대로 2023년 보안 연구자들은 AI 기반 악성코드의 위력을 증명하기 위해 BlackMamba라는 폴리모픽 키로거 악성코드를 공개했었다.
이 악성 프로그램은 대형 언어 모델(LLM)을 이용해 실행될 때마다 키로깅(code) 모듈을 새로 합성함으로써, 매번 다른 형태로 자신을 변형하는 모습을 보였다. (darkreading.com. 재인용) 그 결과 시그니처 기반 탐지와 동적 분석을 우회해 최신 EDR 솔루션에도 탐지되지 않는 모습을 보였고, 보안업계를 AI 악성코드가 현실화될 수 있음을 보여준 사례이다.
이처럼 AI는 다양한 방식으로 해킹 공격에 활용되고 있다. 주요 기술 메커니즘은 취약점 자동 탐색이다. AI용 머신러닝 모델은 대량의 프로그램 코드를 인간보다 빠르게 분석해 숨은 보안 취약점을 찾아낼 수 있다. 실제로 구글 등은 AI 에이전트를 활용해 오픈소스 프로젝트의 신규 보안 결함을 발견하는 연구를 진행 중이며(scworld.com, 재인용)공격자들 역시 이런 AI 도구를 이용해 패치가 나오기 전에 제로데이 취약점을 선점해 익스플로잇을 만들 가능성이 있다.
그리고 대규모 언어 모델(LLM)을 활용하면 사람과 구분하기 힘든 문장으로 피싱 이메일, 스미싱 문자, 사기 챗봇 대화 등을 자동 생성할 수 있다. AI는 공개된 개인정보를 폭넓게 수집·분석하여 표적 맞춤형 메시지 내용과 어조를 만들어내므로, 오탈〮자 투성이었던 과거의 피싱보다 훨씬 정교한 공격이 가능하다. 실제 ChatGPT 출현 이후 피싱 이메일의 어색한 문법이나 표현 실수가 크게 줄었다는 보고도 있으며, 공격자들이 챗봇을 활용해 동시에 수많은 피해자들과 사기 대화를 주고받는 사회 공학 자동화도 이론상 가능해졌다.
또한 딥페이크(deepfake) 기술을 통해 대상 인물의 얼굴이나 목소리를 AI로 정교하게 합성함으로써 신원 사칭이 가능해진다. 예를 들어, 공개 소프트웨어만으로도 5초 분량의 음성 녹음이면 해당 인물의 목소리를 학습해 비슷하게 흉내 낼 수 있고(zmescience.com, 재인용) 이렇게 합성된 목소리로 음성 인증 시스템을 뚫는 것도 가능하다. 한 연구에서는 AI 음성 복제로 마이크로소프트 Azure의 음성 인식을 30% 속이고, 위챗(WeChat)과 아마존 Alexa의 사용자 음성 인증을 63%의 높은 성공률로 속이는데 성공했다.
향후 AI 기술이 점점 많은 분야에 도입되면 될수록, 이를 속이는 역공학 기법 연구도 활발해질 것으로 보이는 시점이 바로 2025년 지금의 현실이다. 그러기에 개인 스스로는 자신의 개인정보를 어떻게 관리 해야할 지에 대한 나름의 준비를 해야만 하지 않을까 싶다.
결국 자신의 정보는 자신만이 가장 잘 이해하고 있기 때문에 더욱 그렇다. AI시대는 소잃고 외양간 고치는 속담의 시대가 아니다. 외양간 자체를 고칠수 없을 수도 있다. 그것은 AI 기술이 고도화됨에 따라, 사이버 공격 역시 한층 지능화·자동화될 전망이므로 AI 기반 해킹의 위협이 부각되고 있음을 이해하고 대비해야만 한다. 사실 개인이 실천할 수 있는 AI 기반 개인정보 보호 대책이라는 것은 스스로가 아래의 몇 가지를 주의해야할 뿐이지만, 대부분 이러한 것도 소홀히 하는 과정에서 큰 사태에 이르게 되는 것이다.
▷ 챗봇, 음성비서(AI 스피커), 스마트 기기 등에 실명, 주소, 계좌 정보, 민감한 감정 상태 등을 말하거나 입력하지 않기.
– 예시: “내 집 주소는 00야” 같은 말은 AI 스피커에 하지 않도록 주의. 개인정보가 포함된 사진/음성을 SNS에 과다 노출하지 않기
▷ AI는 얼굴, 목소리, 배경 정보로 신원을 추론할 수 있음.
– 특히 사진 속 배경에 있는 주소, 학교, 회사 로고 등은 AI가 자동 분석할 수 있으므로 가려서 업로드 하거나 최소화 필요.
▷ 딥페이크 악용 방지를 위한 조치
– 공개된 얼굴 영상·음성이 많을수록 딥페이크에 악용될 가능성 증가. 특정 발언이 담긴 영상은 최소화. SNS 영상에 워터마크나 필터 등을 추가하여 AI 학습을 어렵게 함.
▷ 광고 추적 AI 차단 도구 사용
– 웹 브라우징 시 AI 기반 맞춤형 광고 추적을 막기 위해 다음 도구 사용
▷ AI 서비스 사용 시 개인정보 설정 점검
– 구글, 페이스북, 인스타그램 등은 AI로 행동 데이터를 분석하므로 위치 기록 끄기/음성 명령 저장 끄기/검색 기록 저장 끄기/광고 맞춤 설정 비활성화.
▷ AI 챗봇이나 생성형 AI 사용 시 주의
– ChatGPT, Bing Copilot, Claude 등 사용시, 민감 정보나 회사 기밀 등 절대 입력하지 않기/모든 입력은 기록되고 학습에 활용될 수 있음을 염두에 두기, AI가 유출된 정보를 조합해 비밀번호를 유추할 수 있음.
위의 내용 모두를 지킬 수는 없겠지만, 소를 잃어버린 후 후회하기보다는 자신의 정보보호를 위해 최소한의 대처를 하는 것이 사고발생 후 통신사, 금융기관 및 정부정책을 비판하거나 집단소송을 제기하기 하는 것 보다 우선이다.
이번 SK텔레콤 사례를 보아도 실제로 통신사나 각종 기관들도 보안문제에 대해 부실한 사례가 다수 일어났음을 알 수 있다. 이제 선의에 바탕을 두고 기업이나 정부가 정책을 만들고 운영한다는 등의 무조건적 신뢰의 시대가 아님을 깨달아야 한다. 사건사고 후 무능하고 무책임한 기업이나 정부의 책임을 묻는 똑똑한 소비자, 국민이어야 함은 물론이고 개개인이 최선을 다해 자신에게 벌어질 수 있는 상황을 알고 사고를 사전에 예방하려는 행동 양식도 무엇보다 절실히 필요하다.
유난히 휴대폰 교체시기가 빠른 우리 대한민국…
그리고 이미 작은 스마트폰에는 방대한 개인정보가 담겨 있는 시대인 만큼, 보안 위험에 대한 지속적인 관심과 예방습관이 필수이다. Android든 iOS든 사용자 본인의 보안 의식이 최후의 보루라는 점을 명심하고, 스마트폰 속 개인정보를 안전하게 지켜내길 바랄 뿐이다.
Gil Park님의 브런치에 게재된 글을 모비인사이드가 한 번 더 소개합니다.
