한국인터넷진흥원(KISA, 원장 이기주)은 최근 2달간 신고, 접수된 스마트폰 악성 앱을 조사한 결과 과거 소액결제 사기를 위한 SMS 탈취에서 공인인증서 유출 및 착신기능 제어를 통한 ARS 인증우회 등 새로운 사기수법으로 진화하고 있다며 스마트폰 이용자들의 주의를 당부했다.
 
현재 스마트폰 가입자 수는 3,782만명으로 전 국민의 3분의 2가 스마트폰을 사용하고 있다. 스마트폰은 인터넷 검색에서 금융활동까지 가능한 생활 밀착형 기기로 진화했지만, 악성 앱으로 인한 피해도 크게 증가하고 있는 실정이다.
 
한국인터넷진흥원으로 신고, 접수된 스마트폰 악성 앱은 ‘12년 17건에 머물렀으나 ’13년에는 2,353건으로 138배 급증했고, 올해 2월까지는 596건으로 집계됐다. 최근 카드社 개인정보 대량 유출사고와 맞물려 스마트폰 악성 앱을 통한 정보유출의 우려가 증가하고 있다.
 
최근의 악성 앱들은 소액결제 사기 목적의 스미싱 이외에도 좀비 스마트폰을 만들기 위한 원격제어, 공인인증서 탈취 및 착신기능 제어 등 악성기능이 하나로 결합되고 있다. 이는 해커 조직이 금전적 이득을 위해 소액결제 뿐만 아니라 상대적으로 큰 금액을 탈취할 수 있는 전자금융거래도 함께 공격하는 것으로 분석된다고 밝혔다.
 
특히 100 만원 이상의 온라인 이체거래 시 본인확인을 위해 도입한 ARS 인증을 우회시킬 수 있는 착신제어 기능이 적용된 악성 앱이 ‘13년 12월부터 지속적으로 발견되고 있어 악성 앱의 공격 방법도 진화하고 있음을 알 수 있다. 또한 경찰, 법원, 지인을 사칭하던 스미싱 문자내용도 ‘카드사 개인정보 유출 확인’과 같은 사회적 이슈를 악용해 이용자의 불안감을 조성하고 있었다.
 
이에 정현철 KISA 단장은 “진화하는 악성 앱에 대응하기 위해 기존 민원인 신고에 의존하던 악성 앱 수집을 자동화해 악성으로 추정되는 의심스러운 앱을 조기에 수집하고 유포 사이트 및 정보 유출 서버를 신속히 차단할 계획”이라고 밝혔다.
 
또한 그는 “악성 앱을 신속하게 차단하는 것도 필요하지만 무엇보다 이용자 스마트폰이 악성 앱에 감염되지 않도록 스스로 주의하는 것이 중요하다”고 강조했다.
 
한편, KISA는 최근 진화하는 스마트폰 악성 앱 변종으로부터 스마트폰을 안전하게 지킬 수 있는 알아두면 좋은 보안 상식을 제시했다.
 
- 정식 앱 마켓이 아닌 다른 출처(블랙마켓)의 앱 설치 제한하기
- SMS 또는 SNS에 포함된 인터넷 주소 또는 URL 클릭하지 않기
- 공인인증서는 USIM 등 안전한 저장장소에 보관하기
- 스마트폰 내 백신 설치 및 실시간 탐지 기능 활성화
- 스마트폰 운영체제를 항상 최신으로 업데이트(보안패치 등)
- 스마트폰 보안 잠금(비밀번호 또는 화면 패턴)
- 스마트폰 플랫폼의 구조를 임의로 변경하지 않기(탈옥하지 않기)
- KISA에서 배포하는 폰키퍼를 설치해 정기적으로 보안점검 하기
 
데일리시큐 길민권 기자 mkgil@dailysecu.com