2025년 05월 23일

스마트폰 해킹, 당신도 위험하다

Tech

Share

by

스마트폰 보안, 과연 안전한가? 보안 전문가가 알려주는 스마트폰 해킹의 모든 것

스마트폰이 등장했을 때, 많은 전문가들은 PC의 보안 취약점을 극복하고 안전한 컴퓨팅 환경을 구축할 수 있을 것이라고 기대했습니다. 맬웨어에 면역된 완벽하게 봉쇄된 플랫폼이라는 환상도 잠시, 스마트폰 역시 해킹의 위협에서 자유로울 수 없다는 사실이 드러났습니다. 결국 스마트폰도 컴퓨터이며, 사용하는 것은 사람이기 때문입니다.

제로클릭 스파이웨어: 사용자의 개입 없이 이루어지는 침투

가장 위협적인 공격 방식 중 하나는 제로클릭 공격입니다. 사용자가 어떤 행동을 하지 않아도 공격이 성공하는 방식이죠. 상업적 감시 기술 업체(CSV)는 제로데이를 활용하여 익스플로잇을 무기화합니다. 2023년에는 제로데이가 사람들을 공격하는 데 가장 많이 사용된 방법이라고 합니다. 특히 사용자의 상호작용 없이, 단순히 메시지를 받거나 이메일을 열기만 해도 공격이 실행되는 경우가 많습니다. 이러한 익스플로잇은 백그라운드 푸시 메시지나 왓츠앱 메시지를 통해 이루어지며, 사용자가 메시지를 확인하지 않아도 감염될 수 있다는 점이 매우 위험합니다.

소셜 엔지니어링: 인간 심리를 파고드는 공격

해커는 사용자를 속여 직접 문을 열게 만드는 소셜 엔지니어링 기법도 많이 사용합니다. 스마트폰 운영체제는 PC보다 보안 체계가 엄격하지만, 사용자 확인을 요구하는 팝업 메시지를 무시하는 사람들의 습관을 이용합니다. 앱이 권한을 요청할 때, 사용자들은 익숙함에 속아 무심코 허용하는 경우가 많습니다. AI 기술의 발전은 소셜 엔지니어링 공격을 더욱 강력하게 만들고 있습니다. 딥페이크나 개인화된 이메일, 문자 사기 등이 그 예입니다.

악성 광고와 스미싱: 클릭 한 번의 위험

악성 광고는 과거에 비해 효과가 줄었지만 여전히 사이버 범죄 생태계에서 중요한 위치를 차지하고 있습니다. 구글은 매년 수십억 개의 유해한 광고를 차단하고 있지만, 악성 광고는 끊임없이 진화하고 있습니다. SMS 문자 메시지를 이용한 스미싱 공격 역시 여전히 위협적입니다. 사이버 범죄자는 사용자가 신뢰할 만한 사람을 사칭하여 악성 파일을 다운로드하도록 유도합니다. 최근에는 애플 SMS 링크 방어 시스템의 취약점을 악용하여 링크를 클릭하도록 유도하는 사례도 늘고 있습니다.

가짜 앱: 정상으로 위장한 악성 프로그램

가짜 앱은 사용자가 정상적인 앱으로 착각하고 다운로드하도록 유도하는 또 다른 소셜 엔지니어링 수법입니다. 특히 스마트폰의 카메라, 마이크, 위치 정보에 접근할 수 있는 장난감 앱이나 게임이 위험합니다. 과거에는 탈옥된 아이폰을 대상으로 하는 경우가 많았지만, 현재는 악성 앱을 앱 스토어에 몰래 올리거나 사용자를 속여 사이드로딩을 유도하는 방식으로 진화하고 있습니다.

프리텍스팅: 이동통신사를 속이는 방법

프리텍스팅은 공격자가 피해자의 개인 정보를 수집한 후, 피해자를 사칭하여 이동통신사에 연락해 계정에 대한 액세스 권한을 얻는 수법입니다. 공격자는 SIM 스왑을 통해 피해자의 전화번호를 자신의 디바이스로 이전하여 전화, 문자, 2차 인증 코드 등을 가로챌 수 있습니다. 이는 금융 정보 탈취로 이어질 수 있어 매우 위험합니다.

스마트폰 물리적 접근: 가장 확실한 침투 방법

스마트폰에 물리적으로 접근하여 악성 코드를 설치하는 것은 가장 확실하면서도 간과하기 쉬운 방법입니다. 가정 폭력이나 스토킹 상황에서 자주 발생하며, 기업 스파이 활동에도 사용될 수 있습니다. FlexiSPY, mSpy, Xnspy와 같은 툴을 몰래 설치하여 문자 메시지, 통화 로그, GPS 위치 등을 수집하고 마이크나 카메라를 활성화할 수 있습니다. 또한, 악성 충전 케이블이나 키로거를 사용하여 데이터를 유출하거나 맬웨어를 주입할 수도 있습니다.

침입 후의 위험: 데이터 탈취와 권한 상승

공격자가 스마트폰에 침입에 성공하면, 설치된 앱에 의해 생성된 SQLite 데이터 스토어에 접근하여 웹 요청과 응답 콘텐츠, 쿠키 등 민감한 정보를 탈취할 수 있습니다. 또한, 메모리 내에 캐싱된 애플리케이션 데이터나 실행 중인 애플리케이션의 썸네일, 스냅샷 등도 공격 대상이 될 수 있습니다. 공격자는 abd, iExplorer, plutil 등 개발 목적으로 만들어진 툴을 사용하여 데이터를 추출하고 이용하며, 프리다와 같은 툴을 사용하여 암호화된 값을 해독할 수 있습니다.

스마트폰 보안, 방심은 금물입니다

스마트폰은 더 이상 안전지대가 아닙니다. 공격자들은 끊임없이 새로운 취약점을 찾아내고 있으며, 인간의 안일함을 이용하여 공격을 감행합니다. 모바일 보안을 틈새 영역으로 간주하거나 자체 해결 방식으로 대응해서는 안 됩니다. 모든 포괄적인 엔드포인트 탐지 및 대응 전략에 모바일 보안도 포함되어야 합니다. 강력한 비밀번호, 생체 인식, 정기적인 보안 점검을 통해 스마트폰을 안전하게 보호해야 합니다.

You may also like...