보안 분야, 새해 키워드는 '모바일'

새해 보안 분야의 핵심 키워드로 '모바일 보안'이 부상할 것으로 전망된다. 국내 스마트폰 사용 인구수가 이미 3천500만명을 넘어선 데다가 실제로 악성 앱을 통해 금전적인 피해를 받는 사례까지 나오기 시작했기 때문이다. 내년부터 공공기관 등을 중심으로 모바일 오피스 도입이 활발해지면서, 개인 뿐만 아니라 기관이나 회사의 기밀유출을 노린 공격도 기승을 부릴 것으로 예상된다.

31일 국내외 보안회사들의 2013년 보안시장 전망에 따르면 공통적으로 등장하는 새해 보안위협 키워드는 '모바일'이다.

포티넷은 현재까지 모바일 기기를 겨냥한 악성코드 약 5만개를 확인됐으며, 새해를 기점으로 노트북, 데스크톱 등에서 발견된 100만개 규모의 악성코드를 빠르게 대체하기 시작할 것으로 내다봤다.

이밖에도 이 회사는 지능형지속보안위협(APT) 공격이 유명 회사 최고경영자(CEO), 정치인 등 특정 개인을 대상의 모바일 플랫폼을 이용하는 방향으로 급증하기 시작할 것이라고 밝혔다. 또한 분산형 서비스거부(DDoS) 공격을 일으키기 위해 기존에 PC만 사용하던 방식에서 벗어나 모바일 기기까지 함께 악성코드 유포 네트워크인 봇넷을 형성할 것으로 예상된다. DDoS 공격에 모바일 기기가 사용된다는 뜻이다.

최근 보안업계에 따르면 스마트폰 내에서 사용자의 위치정보, 데이터 송수신 여부 등을 확인하기 위해 사용되는 '사일런트SMS'를 활용하면 모바일 DDoS 공격까지 일으킬 수 있는 것으로 확인됐다. 사일런트SMS는 사용자가 인식하지 못하게 문자메시지를 보내고 이를 이용해 스마트폰 내에 특정 명령을 수행할 수 있다.

체크포인트도 새해 보안위협 중 모바일 분야를 주요 위협 중 하나로 꼽았다. 안드로이드 기반 애플리케이션(앱) 장터에 사용되는 앱을 위변조하고, 모바일 백신을 우회하는 공격이 늘어날 것이라는 전망이다. 모바일 오피스가 구축된 회사는 PC 외에도 외부에서 내부망에 접속할 수 있는 수단(게이트웨이)이 하나 더 늘어난다는 점에서 위협으로 작용할 것으로 예상된다. 해커가 스마트폰에 탑재된 카메라, 마이크로폰을 이용해 대화를 녹음하거나 회사 내부를 몰래 촬영하는 기능까지 추가될 경우 상당한 보안위협이 될 수 있다고 체크포인트는 경고했다.

카스퍼스키랩은 올해 안드로이드 악성코드가 폭발적으로 성장했다고 봤다. 이 회사는 새해에는 기존 PC와 마찬가지로 모바일 기기용 웹브라우저의 보안취약점을 이용한 '드라이브 바이 다운로드' 공격이 지능화돼 새로운 공격 형태가 나올 것이라고 밝혔다.

국내에서는 처음으로 안드로이드 악성코드를 이용한 스마트폰 소액결제 피해가 발생했다. 안랩은 지난 2일 국내 스마트폰 사용자들은 겨냥해 금전탈취를 노린 악성코드 '체스트'가 발견됐다고 밝혔다. 문자메시지를 통해 유포된 이 악성코드는 통신사 요금명세서, 통신비 환급금 조회, 방송통신위원회의 스팸 문자 차단 무료 앱을 위장해 첨부된 링크주소 클릭을 유도한다. 사용자가 이 주소에 접속하면 해커는 대상 스마트폰이 갖고 있는 정보를 종합해 소액결제하는 식으로 사이버 머니를 구매한 뒤 이를 되팔아 현금화했다.

잉카인터넷은 국내에서도 안드로이 기반 스마트폰 이용자가 급증하면서 그에 비례해 외산 안드로이드 악성앱의 변종들이 기승을 부리고 있다고 밝혔다. 지난 1월 국내 포털 사이트 공식자료실을 통해 배포된 개인정보 유출형 안드로이드 악성앱이 배포된 데 이어 새해에도 한국시장을 공략한 공격이 증가할 것으로 전망했다.