노드VPN은 이번 추석 연휴를 맞아 국내외 여행객과 일반 사용자들에게 스마트폰 해킹과 도난 위험에 대한 각별한 주의를 당부했다.

이동이 많아지는 여행 시기에는 단순한 휴대폰 분실보다 훨씬 심각한 피해를 초래할 수 있는 해킹 공격과 도난 사례가 늘어난다. 국내 여행이라 하더라도 익숙한 환경이라는 이유로 경계심이 느슨해지기 쉽다. 그러나 해커들은 언제나 사용자의 데이터를 탈취할 기회를 노리며, 탈취한 정보는 다크웹에서 활발히 거래된다.

노드VPN과 여행용 eSIM 앱 세일리(Saily)의 공동 조사에 따르면, 해커들은 여권 스캔본, 항공사 마일리지 계정, 호텔 예약 정보, 신분증 사본 등 여행 관련 데이터를 최소 수 달러에서 수천 달러에 이르기까지 다크웹에서 거래하는 것으로 나타났다.

최근 주목받는 스마트폰 해킹 기법은 초이스재킹(choicejacking)이다. 초이스재킹(choicejacking)은 충전기처럼 위장한 악성 장치가 사용자의 동의나 입력 없이 자동으로 데이터 전송 모드를 활성화하도록 조작하며, 사진·문서·연락처 등 기기 내부 데이터를 단133밀리초(ms) 만에 유출할 수 있어 탐지가 거의 불가능하다.

초이스재킹(choicejacking)을 막기 위해서는 ▲휴대폰 운영체제와 앱을 최신 보안 패치로 유지 ▲공공 충전기 사용 최소화 ▲개인 충전기나 보조배터리 사용 ▲충전 전용 모드 활성화 등 간단한 수칙을 실천하는 것이 중요하다.

2011년에 등장한 주스재킹(juice jacking)이 사용자의 선택을 유도했다면, 초이스재킹(choicejacking)은 사용자가 눈치채지 못하는 사이 데이터를 탈취할 수 있어 훨씬 위험하다. 악성 충전기는 USB나 블루투스 입력 장치로 위장해 키 입력 주입(Keystroke injection), 입력 버퍼 오버플로우(Input buffer overflows), 프로토콜 오용(Protocol abuse) 등 다양한 공격 기법을 활용하며, 안드로이드와 일부 iOS 기기에 영향을 미친다.

또한 해커들은 ▲피싱 이메일 ▲문자 메시지 ▲가짜 모바일 앱 ▲공용 Wi-Fi ▲운영 체제 및 소프트웨어 취약점 ▲블루투스 취약점 등 여러 방법으로 스마트폰을 공격할 수 있다. 이러한 공격은 정교하고 복합적이므로, 평소보다 철저한 보안 관리가 필요하다.

스마트폰 도난 또한 해킹 못지않게 심각한 피해를 유발하며, 사고 발생 시 ▲원격 잠금과 초기화 ▲계정 비밀번호 변경 ▲통신사 서비스 정지 ▲경찰 신고 등 48시간 내에 신속한 대응이 중요하다. 여행 전에는 데이터 백업, ‘내 기기 찾기’ 기능 활성화, 강력한 생체 인증, 최소한의 정보만 담은 ‘여행용 휴대폰’, 전자기기 전용 보험 가입 등 사전 대비가 권장된다.

조지영 기자 : miyoujj@noteforum.co.kr

[디지털 모바일 IT 전문 정보 - 노트포럼]

Copyrights ⓒ 노트포럼, 무단전재 및 재배포 금지