[펌]내 스마트폰의 권한을 탐내는 검은 손이 있다?

[포도원]

• 안철수연구소
• 2012-02-16

스마트폰 보안 수칙 10번째, 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트하기.

                                                                                                   (출처 : 방송통신위원회)

과연 사람들은 이 보안 수칙을 잘 지키고 있을까?

안랩의 홈페이지(www.ahnlab.com) 방문자를 대상으로 실시한 개인정보 보호 실태 설문조사 결과, 절반이 겨우 넘는 54.9%만이 스마트폰용 안티바이러스 제품을 설치한 것으로 드러났다. 그에 반해 PC에 백신을 설치했다는 응답자는 전체의 97.0%에 달했다.

PC 기반 사용 환경에서의 보안 의식이 이미 보편화된 것에 비해, 스마트폰/태블릿 PC 등 확장된 개인 컴퓨팅 환경에서의 보안 의식은 낮은 것으로 나타났다.

이는 스마트폰 사용자들의 애플리케이션 ‘권한 정보’ 확인에서도 알 수 있다.

스마트폰 애플리케이션을 다운로드할 때마다 권한 정보를 확인하는 사용자는 전체의 29.7%로 나타났다. 이따금 확인한다고 응답한 31.7%를 합해도 61.4%로, 전체 사용자의 2/3를 넘지 못했다.

* 스마트폰 사용자의 1/3이 모르거나 확인하지 않고 있는 ‘권한 정보’란 과연 무엇일까?

다운로드된 애플리케이션을 실행하면 애플리케이션은 스마트폰의 특정 기능에 대한 사용 권한을 가지게 된다. 사용자는 다운로드하기 전에 이 같은 내용을 살펴볼 수 있는데, 이것이 바로 애플리케이션의 권한 정보이다.

 

                                        [그림 1] 정상 게임 애플리케이션                          [그림 2] 리패키징된 악성코드

[그림 1]은 안드로이드 기반의 스마트폰용 게임 애플리케이션의 권한 정보이다. [그림 2]는 이 애플리케이션을 악의적인 목적으로 리패키징하여 배포한 악성코드의 권한 정보이다.

악성코드(그림 2)는 정상 애플리케이션(그림 1)에 비해 개인정보에 대한 접근 권한, SMS 발송 권한, 문자 내용 확인 등 시스템에 대한 권한이 크게 늘어난 것을 볼 수 있다. 이렇게 획득한 권한을 통해 악성코드 제작자는 해당 스마트폰 사용자의 개인정보를 유출하거나 유료 문자를 발송한다. 

안랩 분석팀의 이승원 책임 연구원은 “실행하려는 애플리케이션의 기능과 해당 애플리케이션이 요청하는 권한의 차이를 잘 비교하여 ‘과도한 권한’을 요청하는 애플리케이션은 주의하는 것이 좋다”고 강조했다.

스마트폰/태블릿 PC 등 개인 컴퓨팅 환경으로의 확장 속도는 앞으로도 더욱 빨라질 것이다. 하지만  이를 노리는 보안 위협 또한 급증할 것으로 예상되는 만큼 보안 의식을 높이는 것이 무엇보다 중요할 것이다. 

 안철수연구소가 권하는 스마트폰 보안 수칙 10계명

1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다
3. 브라우저나 애플리케이션으로 인터넷에 연결 시 이메일이나 문자 메시지에 있는 URL은 신중하게 클릭한다
4. PC로부터 파일을 전송 받을 경우 악성코드 여부를 꼭 확인한다
5. 백신의 패치 여부를 확인해서 최신 백신 엔진을 유지한다
6. 스마트폰의 잠금 기능을 이용해서 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
7. 블루투스 기능을 켜놓으면 자동 감염되므로 필요할 때만 켜놓는다
8. ID, 패스워드 등을 스마트폰에 저장하지 않는다
9. 백업을 주기적으로 받아서 분실 시 정보의 공백이 생기지 않도록 한다
10. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.