개인정보 집약된 휴대폰 해킹해 금융재산 탈취가능

일반적으로 휴대폰의 비밀번호와 신용카드 비밀번호를 같게 사용한다는 점을 악용해 휴대폰 비밀번호를 해킹해 신용카드로 현금을 탈취한 아리랑치기 일당이 지난해 검거돼 휴대폰 해킹 가능성이 크게 이슈가 된 바 있다.

이들은 취객의 휴대폰과 신용카드를 훔친 후 휴대폰 비밀번호 해독 프로그램을 이용해 휴대폰 비밀번호를 알아내 신용카드로 현금을 인출하는 방식으로 1년 동안 2억 6000만원을 챙겼다.

이들이 갖고 있던 비밀번호 해독 프로그램은 인터넷 사이트에서 노트북과 함께 60만원에 구입할 수 있는 것이다.

이 사건은 휴대폰이 해킹에 무방비 상태로 노출돼 있어 개인정보 유출은 물론, 이를 이용한 재정적인 피해도 입을 수 있다는 사실을 보여주면서 휴대폰 제조업체들에게 경종을 울렸다.

그러나 여전히 휴대폰은 해킹에 무방비 상태인 것으로 나타났다. PC와 제조사 소프트웨어만 있으면 비밀번호를 알아낼 수 있을 뿐만 아니라 휴대폰에 연결된 PC만으로도 비밀번호를 알아낼 수 있을 만큼 비밀번호 체계가 허술하게 이뤄지고 있다.

고려대학교 정보보호기술연구센터(센터장 임종인)는 17일 “국내 대기업에서 생산되는 대부분의 휴대폰에서 사용되고 있는 비밀번호 4자리가 PC에서 쉽게 해킹된다”고 밝히고 관계부처의 대책 마련을 촉구했다.

센터는 이날 BK21 유비쿼터스정보보호사업단 부단장을 맡고 있는 이상진 교수가 연구책임을 맡은 <휴대전화 패스워드의 취약점 및 대응방안> 보고서를 발표하고 “제조사에서 인터넷과 PC를 통한 휴대폰 관리 서비스를 제공하기 때문에 PC를 이용하면 쉽게 비밀번호를 알아낼 수 있다”고 밝혔다.

0000~9999에 이르는 숫자를 모두 눌러보지 않아도 휴대폰과 PC간의 통신 프로토콜 자체의 취약점을 이용해 쉽게 비밀번호를 알아낼 수 있다는 것.

휴대폰에는 음성통화는 물론이고, SMS 단문메시지를 통한 금융·통신 등 다양한 정보가 저장돼 있으며, 스케줄 관리, 메모, 카메라 등 여러 기능이 추가돼 방대한 양의 개인정보가 저장되고 있다.

그러나 휴대폰의 개인정보를 보호할 수 있는 것은 비밀번호뿐이어서 악의를 가진 사람이 휴대폰을 빌려서 비밀번호를 알아내면 개인정보가 쉽게 유출될 수 있다.

휴대폰 비번, 평문으로 저장돼 해킹에 취약

웹 페이지에서 주로 사용하는 사용자 인증방식은 아이디와 패스워드를 입력해 웹 서버가 확인하는 것이다. 휴대폰을 통해 사용자 인증을 받을 때도 사용자가 이름과 휴대폰 비밀번호를 입력하는 방법은 같다. 사용자의 인증요청이 발생하면, 제조사의 소프트웨어가 휴대폰의 비밀번호를 확인해 휴대폰으로 그 결과를 확인해 준다.

따라서 휴대폰과 제조사의 소프트웨어만 있다면 휴대폰으로부터 전송되는 패스워드를 알아낼 수 있다. 연구팀은 “이러한 방식은 일반적인 패스워드 인증방식에 부합되지 않으며 패스워드를 제 3자에게 알려주는 형태이므로 매우 취약하다”고 강조했다.

다음으로 제기되는 문제점은 휴대폰 비밀번호 관리의 취약점에서 비롯되는 것이다. 현재 대부분의 시스템이나 서버에서는 비밀번호 관리를 위해 암호학적 해쉬함수나 암호 알고리즘을 사용하고 있다. 해당 시스템의 패스워드 파일이 노출됐을 때를 대비해 사용자 개인정보를 보호하기 위해서이다.

그러나 휴대폰에서는 비밀번호를 평문으로 저장하고 있다. JTAG과 같은 하드웨어 장비를 이용해 핸드폰 이미지를 생성하면 패스워드 특징을 이용해 이미지 내에서 쉽게 검색할 수 있다.

“휴대폰 비번 암호문 형태로 저장돼야”

연구팀은 “휴대폰 비밀번호 취약점 제거를 위해 데이터가 평문 형태로 저장되지 않아야 하며, 통신프로토콜이 바뀌어야 한다”고 주장했다.

현재 4자리 숫자체계 패스워드는 PC를 통해 쉽게 해독할 수 있으므로 패스워드가 설정된 경우 PC와 연결되지 못하도록 하거나 4자리 비밀번호 체계가 아닌 별도의 패스워드 인증 체계가 있어야 한다는 것.

연구팀은 “비밀번호 관리방식이 궁극적으로 바뀌어야 하지만, 사용자 편리성을 고려한다면 최소한 암호문 형태로 저장하고 비밀번호가 설정된 경우에는 PC와 연결되지 않도록 하는 것이 바람직하다”고 주장했다.

이들은 “개인정보 노출은 사생활 침해 뿐 아니라 경제적인 위협을 가할 수 있다. 개인정보를 가장 많이 담고 있는 휴대폰의 경우에는 어떠한 디지털 기기보다 더 안전하게 관리돼야 한다”고 강조했다.