안녕하세요 리틴입니다. ^^
오늘은 스마트폰 해킹에 대해서 이야기 해볼까 합니다.
모 신문기사에 따르면 2010년 7월 21일 기준으로 2010년에만 325만대의 스마트폰이 보급되었다고 합니다.
이토록 빨리 보급되며 트렌드의 중심이 되어버린 스마트폰이기에 보안 역시 신경쓰이는게 사실입니다.
스마트폰은 현재 다양한 해킹기술에 노출되어 있는 상황으로 해킹기법 역시 매우 다양하고 교묘합니다.
문자메시지만 받아도 해킹이 될 수 있다는 사실이 믿겨지시나요?
그래서 오늘 리틴은 다양한 스마트폰 해킹기법과 이에 대처하는 방법에 대해서 포스팅해봅니다.
불과 1년전만해도 스마트폰 해킹 관련 자료나 문서는 보안관련 커뮤니티에 간간히 올라오는 수준이었는데
이제는 어느새 위 사진과 같이 TV뉴스나 인터넷뉴스를 가득 채우며 그 심각성을 강조하고 있습니다.
스마트폰의 보급화가 빠르게 진행되는 만큼 그 위협이 점점 커지기 떄문일겁니다.
사실 스마트폰 해킹이라고 하면 대다수의 사용자들은 그저 남의 이야기라고 생각하시는 분들이 많으실겁니다.
하지만 애플리케이션을 다운받거나 배경화면을 다운받는 간단한 행위 만으로도 악성코드나 바이러스 혹은
해킹에 노출될 수 있다는 점을 상기하고 항상 조심하셔야 합니다.
얼마전에는 6개월간 수십만명 다운 받았던 스마트폰 바탕 화면 사진안에 안드로이드 스마트폰 바이러스가 심어져
있어서 한동안 시끄러웠던 적이 있습니다. 이 외에도 타인의 신용카드 결제정보를 빼내 도용하는 사례 역시
심심치 않게들려옵니다. 수사기관에서는 연간 100만여명의 카드정보가 해킹당할 것으로 보고 있다고 하니 이제
더이상 스마트폰 해킹을 남의 일로만 생각하고 넘기기에는 무리가 있는것 같습니다.
저 역시 스마트폰 해킹 기법은 자세히 알지 못하거니와 보안 관련 포스팅은 특히나 자세히 쓴다고 나름대로 열심히
적어 놓으면 해킹하라고 부추기냐 혹은 어려우니 간단히 써라 등등.. 악플을 달아주는 분들이 상당히 많습니다.
확실히 이전 블로그에서 작성했던 보안관련 포스팅을 보면 해킹기법을 너무 자세히 적어 놓았기 때문에 문제되는
부분이 많았습니다. 그래서 이제는 대충 훑어가는 식으로 가볍게 작성하고 넘어갈까 합니다. ^^..
그냥 이러한 기법도 있구나 생각하시면서 스마트폰 사용시 주의하시라고 간단히 적어보겠습니다.
1. 바코드를 이용한 인젝션
스마트폰 사용자 및 바코드를 인식할 수 있는 핸드폰을 상대로한 피싱 공격입니다.
바코드 생성시 안에 주소를 공격자의 피싱서버로 리다이렉트하여 개인정보 유출을 유도하는 방식입니다.
최근들어 스마트폰의 바코드 인식을 이용한 주문결제 혹은 쇠고기의 국산여부 인터넷최저가 확인 등..
다양한 서비스를 제공하는 업체가 증가하는 추세이며, 점차 그 범위를 넓혀나갈 것으로 알려져있습니다.
바코드를 직접 만드는 방법도 존재하지만, 기업 및 업체에서 제공해주는 바코드를 인젝션하는 방법도
존재하기 때문에 스마트폰을 이용한 바코드 사용시 주의를 요합니다.
AP, 무선 인터넷 중계기 공격
스마트폰을 이용하여 인터넷에 접속하기 위해서는 AP(무선 인터넷 중계기)를 통해 접속해야 하는데
이 무선 인터넷 중계기는 매우 취약하기 때문에 스마트폰과 AP가 서로 주고받는 정보를 해커가 마음대로 볼 수
있습니다. 결국 해커는 손쉽게 각종 아이디나 비밀번호, 공인인증서까지 해킹할 수 있게 되는 셈입니다.
(관련뉴스보기)
이 스마트폰 해킹 기법에 대해서는 리틴 역시 아는 것이 없습니다.
다만 추측해 본다면 취약한 AP에 연결되어 있는 단말기들의 패킷을 매칭하여 AP 응답이 가기전에 만들어낸
응답패킷(response packet)을 강제적으로 전송하여 주고받는 형식이 아닐까 생각됩니다.
Wifi Phising (무선 연결 가로채기)
이 스마트폰 해킹 방법은 무선 네트워크 자체 연결 과정 중 결합 및 인증 절차 취약점을 이용한 방법으로써
해커가 무선 인터넷 중계기인척 사용자들을 유인해 접속하게 만든 뒤 정보를 빼내어가는 방법입니다.
해커는 자신의 노트북을 AP로 전환하여 DNS, DHCP, HTTP 등의 서비스를 활성화 시켜 사용자들이 자주 사용하는
SSID(무선네트워크 이름) ‘Nesxxx, IPtixx, MyLgxxx’를 도용해 사용자들을 유인하는 방법입니다.
만약 해커가 커피숍이나 카페에서 위와 같이 Wifi Phising 기법을 사용하고, SSID 이름을 커피숍명으로 도용한다면
수 많은 사용자들은 이 사실을 모른채 해커의 AP를 커피숍의 AP로 착각하고 접속할 것입니다.
SMS 메시지 이용한 하이재킹 혹은 Midnight Raid Attack
해커가 타깃 휴대폰에 웹 접속을 유도하는 SMS 메시지를 전송한 후 사용자가 메시지를 확인할 경우 자동으로
악성 웹페이지에 접속하게 하여서 악성프로그램을 다운받는 모습을 보여주는 동영상 입니다.
피해자 몰래 SMS 메시지를 전송한 후 자동으로 악성프로그램을 다운로드해 데이터를 훔치기 때문에
그 위험성과 심각성이 더욱 도드라져 보이는 스마트폰 해킹 기법입니다.
이 외에도 도청, 애플리케이션을 이용한 해킹 등.. 매우 다양한 스마트폰 해킹 기법이 존재합니다.
사실 엔드유저인 대부분의 사용자들이 스마트폰 해킹에서 완벽히 보안하고 대처한다는 것은 불가능한 일입니다.
다운받은 애플리케이션이 어떠한 작동을 하는지를 알기 위해서는 이를 자세히 검토하고 분석하는 방법 밖에
없습니다. 하지만 대부분의 사용자들은 전문가가 아닌 엔드유저이기 때문에 이를 알 수 있는 방법이 없습니다.
스마트폰 사용자들이 할 수 있는 최고의 대처방법과 보안은 안전수칙을 지키는 것과 백신을 사용하는 것입니다.
아래는 방송통신위원회 등 .. 합동대응반이 내놓은 스마트폰 정보보호 10대 안전수칙입니다.
2. 신뢰할 수 없는 사이트 방문하지 않기
3. 발신인 불명확한 메시지나 메일 열지 않고 삭제하기
4. 비밀번호 기능 이용하고, 정기적으로 변경할 것
5. 무선 기능은 사용할 경우에만 켜놓기
6. 이상증세 발견 시 악성코드 감염여부 확인 할 것
7. 바이러스 검사 후 다운로드한 파일 열기
8. PC에도 바이러스 백신 설치, 정기적인 검사는 필수
9. 스마트폰 플랫폼임의 변경하지 않기
10. 운영체제나 백신 프로그램은 최신 버전으로 업데이트 할 것.
각 제조사 백신 혹은 안철수연구소의 모바일 시큐리티 권장
각 제조사 별로 제공해주는 백신을 꼭 설치하시길 권장합니다.
이제 컴퓨터뿐만 아니라 스마트폰에도 백신설치 여부는 선택이 아닌 필수입니다. ^^
LG의 경우 안철수연구소에서 제공하는 모바일 시큐리티를 사용하기시 바랍니다. (http://m.ahnlab.com)
리틴의 보안관련 포스팅..
[싸이월드 방문자확인] 싸이월드 방문자확인의 모든것
웹하드에서 비밀번호가 해킹되고 있다
백신프로그램 순위, 무료백신 추천, 백신순위