北 ‘스미싱’ 기법 갈수록 교묘해져 의심스러운 메시지·앱 받지 말아야

이번에 처음으로 밝혀진 북한의 스마트폰 해킹의 원리는 간단하지만, 정부가 어떤 대책을 세운다고 해도 이를 완벽히 막아내는 것은 어려운 것으로 알려졌다.

8일 정부 및 보안업체 관계자들에 따르면 북한의 스마트폰 해킹 방법은 ‘스미싱’이다. 국내에서도 매년 수만건의 피해가 발생하는 스미싱은 스마트폰으로 발송된 문자메시지 안에 포함된 인터넷주소(URL)를 클릭하면 스마트폰에 악성코드가 설치되고, 동시에 범인에게 소액결제 인증번호가 전송돼 범죄자가 사이버머니 등을 구입하는 수법의 스마트폰 기반의 신종 금융사기다. 북한은 스미싱 수법으로 금융사기가 아니라 피해 스마트폰에 악성코드를 심어 각종 정보를 빼 가는 것을 목적으로 했다. 보안업체의 한 관계자는 “스마트폰이나 PC에 내장된 백신이 대부분의 악성코드를 잡아 주지만, 해커들은 끊임없이 백신에 걸리지 않는 악성코드를 만들어 낸다”고 말했다. 또 “정부의 외교·안보 요직 인사의 전화번호를 빼내는 것 역시 단 한 명만 해킹에 성공하면 전화번호부를 빼내는 것은 간단하다”고 덧붙였다.

정부의 한 관계자도 “보안업체들이 백신을 지속적으로 업데이트하지만, 북한은 업데이트의 속도보다 빠르게 백신에 잡히지 않는 코드를 만들어 낸다”면서 “뿐만 아니라 스마트폰 운영체계(OS)의 취약점을 재빨리 파악해 악용하는 기술이 놀라운 수준”이라고 말했다. 또 “사이버테러방지법이 제정되면 효율적으로 해킹 정보를 공유하고 대응할 수 있다”고 덧붙였다. 보안업계에 따르면 현재까지 드러난 방식의 북한 해킹 시도에 당하지 않는 방법은 의심스러운 URL이나 알 수 없는 출처의 앱을 받지 않는 것이다. 개인의 보안의식이 중요하다는 뜻이다.

또 다른 정부 관계자는 “경제활성화법이 있다고 경제가 활성화되지 않는 것처럼, 사이버테러방지법이 있다고 해서 해킹 피해가 사라지는 것은 아니다”면서 “정부 요직자들의 개인 사용 스마트폰에 보안앱 설치를 의무화하는 것이 완벽하지는 않지만 일종의 ‘보험’은 될 수 있을 것”이라고 말했다.

장형우 기자 zangzak@seoul.co.kr