최근 해외 보안 업체를 통해 지하철 요금 지불과 관련, 결재카드의 리셋 기능을 지원하는 애플리케이션에 대한 정보가 공개된 바 있다. 해당 애플리케이션은 NFC 기능을 통해 결재카드에 대한 리셋 기능을 수행하며 실제로 해외 지하철역에서 선불요금이 만료된 결재 카드에 대한 리셋 시연을 보이는 영상까지 공개되고 있다.
-실제 동영상: vimeo.com/49664045
 
잉카인터넷 대응팀은 “국내에서 정상적인 동작을 기대하기는 어렵고 해당 애플리케이션이 악성이 아닌 POC를 위해 준비되었다는 점에서 약간의 거리는 있겠지만 날로 확산되어 가고있는 안드로이드 보안 위협에 대한 사용자들의 인식 전환을 위해서는 한번쯤 짚고 넘어가 볼 수 있는 문제”라고 밝혔다.
 
대응팀 관계자는 다음과 같이 분석하고 있다. 해당 애플리케이션은 구글 정식 마켓을 통해 다운로드가 가능하다. 해당 애플리케이션을 다운로드해 설치하면 NFC제어 관련 권한을 요구하는 화면이 출력된다.
 
이 애플리케이션은 Android SDK 2.3.3 이상 버전에서 정상적인 동작이 가능하다. 또한 Main 액티비티외에 추가적으로 탭형식으로 구성된 2개의 액티비티가 존재하고 있음을 확인할 수 있으며, 별도의 리시버나 서비스는 등록되어 있지 않다.
 
또 Manifest에 정의된 내용으로 미루어 보아 NFC 기능 동작을 위한 Action이 추가된 필터를 제외하고는 특별한 동작을 수행하지 않음을 확인할 수 있다고 한다.
 
위와 같은 설정 등을 전제로 해당 애플리케이션이 실행되면 TabActivity로 구성된 메인화면을 볼 수 있다.
 
지하철 패스 카운트(총 10번 사용가능)가 모두 소진된 카드를 해당 애플리케이션을 통해 스캔하게 되면 다시 총 10번이 사용 가능하도록 지하철 패스 카운트를 리셋하게 된다.
 
이 애플리케이션의 리셋 기능은 Tag ID를 얻어 MifareUltralight API를 통한 입출력 기능 등으로 구현되어 있으며, 위에서 언급한 시연 동영상처럼 실제 해외 지하철역에서 사용 가능한 것으로 확인되고 있다.
 
잉카인터넷 관계자는 “해외 보안 업체 등을 통해 안드로이드 보안 위협과 관련해 위와 같은 POC개념의 애플리케이션들이 지속적으로 보고되고 있다. 그만큼 악용 가능한 범위가 넓다는 반증일 수 있다”며 “실제적으로 유비쿼터스화 되고 있는 실생활에서 스마트폰을 이용해 모든 제어가 가능해지고 있는 만큼 개인 스마트폰의 보안 위협에 대한 제고는 반드시 이루어져야 하지만 사용자들의 스마트폰에 대한 보안 인식은 아직까지 이에 미치지 못하고 있는 실정”이라고 지적했다.
 
또 “좀 더 편하고 좀 더 즐거운 생활을 가능하게 해주는 스마트 기능이 좀 더 불편하고 좀 더 안전하지 못한 상황을 초래하지 않게 하기 위해서는 기본적인 스마트폰 보안 관리 수칙을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 무엇보다 중요하다”고 강조했다.  
 
<스마트폰 보안 관리 수칙>
1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.
 
2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.
 
3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.
 
4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.
 
5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.
 
6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.
 
7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.
 
8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.
 
9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com