올 들어 동시다발적으로 터지는 사이버공격에서 모바일이 신(新) '격전지'로 떠오르고 있다. PC 스팸메일, 웹사이트 변조, 디도스(DDoS·분산서비스거부) 공격 등을 통한 개인정보나 금전탈취 등 유선인터넷에서 나타났던 사이버 위협이 모바일에서 그대로 나타나고 있다.
14일 관련업계에 따르면 모바일 보안 위협이 PC를 빠르게 따라가고 있어 스마트폰 보안에 '빨간색' 경고등이 켜졌다.
PC 해킹에서 주로 이용된 가짜 백신, 트로이목마형 악성코드 등의 PC용 악성코드가 최근 모바일에서도 등장하며 사이버 위험 수위가 높아지고 있는 것.
보안업계는 조만간 모바일 기기에서의 보안 문제가 심각해질 것으로 보고 있다. 안랩의 분석 결과, 2011년 4월 발견된 모바일 악성코드는 4건에 불과했지만 2012년 4월에는 2053건으로 500배가 넘게 늘었고 2013년 4월에는 23만9471건으로 폭발적으로 늘었다. 2년 사이 60만배로 폭발적으로 늘어난 것이다.
특히 과거 실력 과시용에서 시작된 PC 해킹이 돈이 되는 개인정보 탈취, 좀비PC로 만들어 결제를 요구하는 가짜백신(랜섬웨어), 금융 악성전문코드, 청부 디도스 공격, 해킹으로 자신의 정치적 의사를 밝히는 '핵티비즘'으로 변질된 과정이 모바일에서도 그대로 답습되고 있는 점도 배경으로 꼽는다.
보안업계는 모바일 악성코드도 바탕화면 바꾸기, 배터리 소진 등의 실력과시용의 악의적 장난 성격에서 금전 탈취 목적의 악성코드로 진화하고 있다고 지적했다.
실제로 악성코드에 감염됐다는 허위 메시지를 띄워 정상적인 PC 활동을 못하게 한 뒤 백신 구매를 유도하는 악성코드인 '가짜백신', 사용자PC를 좀비화하는 '트로이목마' 악성코드, 금융정보를 노리는 금융악성코드 등이 이미 모바일 시장에서 활개를 치고 있다.
PC 가짜백신 악성코드와 완전히 동일한 안드로이드용 가짜 백신은 최근 모바일 기기에서 유행처럼 번지고 있고, 개인정보를 유출하는 기능은 대부분의 모바일 악성코드에 포함됐을 정도다.
좀비 스마트폰으로 만드는 악성코드도 대거 발견돼 모바일 디도스 공격 위험수위도 높아졌다. 지난 2009년부터 2011년까지 1억달러의 금융 피해를 입힌 금융 악성코드인 '제우스'와 '스파이아이'는 2011년부터 모바일에서 활동 중이다.
배포 방식도 PC와 유사하다. 스팸메일을 통한 악성코드 배포와 같이 모바일 메신저, 문자를 이용하거나 정상 프로그램으로 위장하는 것과 같이 모바일에서도 다양한 인기 응용프로그램(애플리케이션·앱)을 사칭·위장해 악성앱을 유포한다. 주로 인기 게임이나 널리 사용하는 앱, 모바일 백신 등을 사칭한다.
이에 따라 사용자들의 피해도 늘고 있는데, 국내에서 모바일 악성코드로 첫 피해를 발생시킨 '트레드 다이얼'은 사용자 모르게 특정 번호로 전화를 걸어 과금을 발생시켰으며 모바일 청첩장, 부고장, 문화상품권, 무료 기프트콘 등을 통한 '스미싱'은 대부분의 국민이 한번은 경험을 해봤을 정도로 확산되고 있다. 3만원, 5만원, 10만원 등의 소액 결제 사기 피해자 역시 기하급수적으로 늘어나는 추세다.
이호웅 안랩 시큐리티 대응센터장은 "스마트폰은 손 안의 작은 PC로, 최근에는 민감한 개인정보 저장, 모바일 뱅킹 이용 증가, 업무 연계 등에 따라 PC보다 스마트폰을 더 많이 이용한다"며 "이 같은 이유에서 모바일 보안 위협이 PC와 유사하게 진화하고 있다"고 말했다.
yjjoe@fnnews.com 조윤주 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지