설치한 앱이 작동하려면 스마트폰 기능에 접근할 수 있는 권한이 필요
앱과 무관한, 불필요한 접근 권한 요구 시 의심해봐야
[보안뉴스 이상우 기자] 스마트폰이 단순한 전화기나 휴대용 컴퓨터를 넘어 다양한 용도로 쓰일 수 있는 것은 애플리케이션(이하 앱)의 역할이 크다. 앱은 스마트폰에 내장된 하드웨어나 소프트웨어 활용해 기능을 확장한다. 예를 들어 ‘오피스 렌즈’ 같은 앱은 카메라 기능을 이용해 문서를 촬영하고, 저장소 기능을 이용해 문서를 PDF 형태로 저장하는 등 스마트폰을 스캐너처럼 쓸 수 있게 해준다. ‘구글 렌즈’ 앱은 카메라 기능에 인터넷 연결 기능을 더해 스마트폰 카메라를 인공지능 카메라로 만들어준다.
안드로이드용 앱이 이러한 기능을 사용하기 위해서는 스마트폰의 하드웨어와 소프트웨어에 접근할 수 있는 권한을 얻어야 한다. 안드로이드 6.0 운영체제(2015년 이후 출시된 대부분의 스마트폰)부터는 이러한 앱을 설치하고 첫 실행 시 각각의 필요한 기능을 쓸 수 있도록 사용자에게 요구하며, 사용자가 이를 허용하지 않으면 앱이 올바로 작동하지 않는다. 쉽게 말해 카메라 앱에 카메라 기능을 허용하지 않으면 앱을 쓸 수 없다는 의미다.
▲앱 최초 실행 시 권한을 요구한다[이미지=보안뉴스]
이러한 권한은 필수 권한과 선택 권한으로 나뉘며, 필수 접근 권한은 앱이 최소한의 기능을 사용하기 위해 반드시 필요한 권한을 말한다. 가령 ‘카카오톡’ 앱을 예로 들면 전화번호를 기반으로 가입하는 서비스인 만큼 전화 권한, 친구 추가를 위한 주소록 권한, 사진이나 동영상을 주고받기 위한 저장소 권한 등이 필수다. 이와 달리 선택 접근 권한은 보이스톡(마이크), 페이스톡(카메라)처럼 당장은 권한을 허용하지 않아도 앱 사용에 큰 문제가 없는 것을 말하며, 향후 필요할 때 이를 허용할 수도 있다.
또한, 향후 불필요한 권한을 허용했다고 생각되는 앱이 있다면 다시 권한을 해제하는 것도 가능하다. 스마트폰 설정 > 앱 및 알림 > 앱 정보에서 해당 앱을 선택하고, 권한 항목을 열면 앱이 요구하는 권한 중 어떤 것을 허용했고 어떤 것을 거부했는지 확인할 수 있다. 여기서 허용된 권한을 선택하면 다시 각 기능에 부여된 접근 권한을 거부할 수 있다.
▲허용된 권한을 확인하고 변경하는 방법[이미지=보안뉴스]
그렇다면 왜 사용자가 직접 권한을 허용해줘야 할까? 정상적인 앱뿐만 아니라 악성 앱도 이러한 스마트폰 기능에 접근할 수 있기 때문이다. 가령 악성 앱에 카메라 기능을 허용한다면 사용자의 사생활을 감시하는 용도로 쓰일 수 있고, 주소록 접근 권한을 허용한다면 이를 탈취해 지인을 가장한 보이스피싱이나 스미싱에 악용될 수도 있다. 이 때문에 사용자는 앱 설치 시 각 앱이 적절한 권한을 요구하는지 확인하고, 지나치게 많은 권한을 요구한다면 해당 앱을 사용하지 않는 것이 좋다.
간단한 예를 들면 웹툰 감상을 위해 설치한 앱이 별다른 설명 없이 위치정보나 생체정보(지문, 홍채 등)를 요구한다면 이를 의심해봐야 한다. 실제로 과거 기승을 부렸던 ‘몸캠피싱’이 이러한 접근 권한을 악용한 사례 중 하나다. 몸캠피싱은 해커가 피해자에게 음란한 화상채팅을 할 것처럼 속여 개인정보 탈취 기능이 있는 악성 앱을 설치하도록 유도하는 것에서 시작한다. 이를 설치할 경우 해커는 피해자 지인의 연락처를 확보하고, 피해자의 치부를 지인에게 알리겠다고 협박한다. 만약 사용자가 악성 앱에 주소록 접근 권한 등을 허용하지 않았다면 일어나지 않을 보안사고다.
스마트폰 보안 앱도 접근 권한 설정이 중요
스마트폰 개인정보 보호의 핵심이 되는 보안 앱 역시 제대로 작동되기 위해서는 이러한 권한 설정을 제대로 해줘야 한다. 예를 들어 보안 앱이 악성코드에 감염된 파일이나 부적절한 앱 설치파일(apk) 등을 탐지하고 제거하기 위해서는 저장소 접근 권한이 필수적이다. 또한, 문자메시지에 악성 URL을 포함한 스미싱을 탐지하고 경고하기 위해서는 SMS 접근 권한을 요구한다. 이 밖에도 보안 앱이 기타 악성 앱의 공격을 받아 삭제되는 일을 막기 위해 장치 관리자 권한을 선택적으로 요구하기도 하며, 타인이 앱 설정을 함부로 바꿀 수 없도록 하기 위해 생체인식 기능을 요구하기도 한다.
▲보안 앱이 요구하는 필수 접근 권한과 선택 접근 권한[이미지=이스트소프트]
오늘날 우리는 스마트폰 보안 앱을 쉽게 접할 수 있다. 보급형 스마트폰은 제조사와 보안 소프트웨어 기업이 협력해 이를 선탑재해 출시하기도 하고, 다수의 보안전문 기업도 유료 또는 무료 보안 앱을 개발해 제공 중이다. 하지만 앱을 설치만 하고 보안 앱 작동에 필수적인 접근 권한을 설정하지 않으면 아무런 기능을 할 수 없다. 특히, 스마트폰 사용에 익숙하지 않은 사람의 경우 자신의 스마트폰에 보안 앱이 설치돼 있다는 사실도 인지하지 못해 각종 보안사고에 노출될 가능성이 높다.
설정 방법은 간단하다. 설치된 보안 앱을 실행하고 저장소 접근 권한 등 앱 작동에 필요한 권한을 허용하기만 하면 된다. 앞서 언급한 것처럼 최소한의 보안 기능을 위해 필요한 필수 접근 권한은 그리 많지 않으며, 저장소 등의 접근 권한만 있어도 악성코드를 탐지할 수 있다. 또한, 필수 접근 권한 외에 선택 접근 권한은 향후 해당 기능을 사용할 때 켤 수도 있으니 불필요하다면 접근 거부를 눌러도 무방하다.
이번 주에는 본인의 스마트폰으로부터 시작해서 부모님 등 가족의 스마트폰에 보안 앱이 설치돼 있는지 살펴보고, 앱을 실행해 접근 권한 역시 제대로 설정돼 있는지, 최신 버전인지 확인해보자. 이런 간단한 작업만으로도 악성 앱으로 인한 보이스피싱이나 스미싱 등의 보안사고 피해를 최소화할 수 있다.
[이상우 기자(boan@boannews.com)]
앱과 무관한, 불필요한 접근 권한 요구 시 의심해봐야
[보안뉴스 이상우 기자] 스마트폰이 단순한 전화기나 휴대용 컴퓨터를 넘어 다양한 용도로 쓰일 수 있는 것은 애플리케이션(이하 앱)의 역할이 크다. 앱은 스마트폰에 내장된 하드웨어나 소프트웨어 활용해 기능을 확장한다. 예를 들어 ‘오피스 렌즈’ 같은 앱은 카메라 기능을 이용해 문서를 촬영하고, 저장소 기능을 이용해 문서를 PDF 형태로 저장하는 등 스마트폰을 스캐너처럼 쓸 수 있게 해준다. ‘구글 렌즈’ 앱은 카메라 기능에 인터넷 연결 기능을 더해 스마트폰 카메라를 인공지능 카메라로 만들어준다.
안드로이드용 앱이 이러한 기능을 사용하기 위해서는 스마트폰의 하드웨어와 소프트웨어에 접근할 수 있는 권한을 얻어야 한다. 안드로이드 6.0 운영체제(2015년 이후 출시된 대부분의 스마트폰)부터는 이러한 앱을 설치하고 첫 실행 시 각각의 필요한 기능을 쓸 수 있도록 사용자에게 요구하며, 사용자가 이를 허용하지 않으면 앱이 올바로 작동하지 않는다. 쉽게 말해 카메라 앱에 카메라 기능을 허용하지 않으면 앱을 쓸 수 없다는 의미다.
▲앱 최초 실행 시 권한을 요구한다[이미지=보안뉴스]
이러한 권한은 필수 권한과 선택 권한으로 나뉘며, 필수 접근 권한은 앱이 최소한의 기능을 사용하기 위해 반드시 필요한 권한을 말한다. 가령 ‘카카오톡’ 앱을 예로 들면 전화번호를 기반으로 가입하는 서비스인 만큼 전화 권한, 친구 추가를 위한 주소록 권한, 사진이나 동영상을 주고받기 위한 저장소 권한 등이 필수다. 이와 달리 선택 접근 권한은 보이스톡(마이크), 페이스톡(카메라)처럼 당장은 권한을 허용하지 않아도 앱 사용에 큰 문제가 없는 것을 말하며, 향후 필요할 때 이를 허용할 수도 있다.
또한, 향후 불필요한 권한을 허용했다고 생각되는 앱이 있다면 다시 권한을 해제하는 것도 가능하다. 스마트폰 설정 > 앱 및 알림 > 앱 정보에서 해당 앱을 선택하고, 권한 항목을 열면 앱이 요구하는 권한 중 어떤 것을 허용했고 어떤 것을 거부했는지 확인할 수 있다. 여기서 허용된 권한을 선택하면 다시 각 기능에 부여된 접근 권한을 거부할 수 있다.
▲허용된 권한을 확인하고 변경하는 방법[이미지=보안뉴스]
그렇다면 왜 사용자가 직접 권한을 허용해줘야 할까? 정상적인 앱뿐만 아니라 악성 앱도 이러한 스마트폰 기능에 접근할 수 있기 때문이다. 가령 악성 앱에 카메라 기능을 허용한다면 사용자의 사생활을 감시하는 용도로 쓰일 수 있고, 주소록 접근 권한을 허용한다면 이를 탈취해 지인을 가장한 보이스피싱이나 스미싱에 악용될 수도 있다. 이 때문에 사용자는 앱 설치 시 각 앱이 적절한 권한을 요구하는지 확인하고, 지나치게 많은 권한을 요구한다면 해당 앱을 사용하지 않는 것이 좋다.
간단한 예를 들면 웹툰 감상을 위해 설치한 앱이 별다른 설명 없이 위치정보나 생체정보(지문, 홍채 등)를 요구한다면 이를 의심해봐야 한다. 실제로 과거 기승을 부렸던 ‘몸캠피싱’이 이러한 접근 권한을 악용한 사례 중 하나다. 몸캠피싱은 해커가 피해자에게 음란한 화상채팅을 할 것처럼 속여 개인정보 탈취 기능이 있는 악성 앱을 설치하도록 유도하는 것에서 시작한다. 이를 설치할 경우 해커는 피해자 지인의 연락처를 확보하고, 피해자의 치부를 지인에게 알리겠다고 협박한다. 만약 사용자가 악성 앱에 주소록 접근 권한 등을 허용하지 않았다면 일어나지 않을 보안사고다.
스마트폰 보안 앱도 접근 권한 설정이 중요
스마트폰 개인정보 보호의 핵심이 되는 보안 앱 역시 제대로 작동되기 위해서는 이러한 권한 설정을 제대로 해줘야 한다. 예를 들어 보안 앱이 악성코드에 감염된 파일이나 부적절한 앱 설치파일(apk) 등을 탐지하고 제거하기 위해서는 저장소 접근 권한이 필수적이다. 또한, 문자메시지에 악성 URL을 포함한 스미싱을 탐지하고 경고하기 위해서는 SMS 접근 권한을 요구한다. 이 밖에도 보안 앱이 기타 악성 앱의 공격을 받아 삭제되는 일을 막기 위해 장치 관리자 권한을 선택적으로 요구하기도 하며, 타인이 앱 설정을 함부로 바꿀 수 없도록 하기 위해 생체인식 기능을 요구하기도 한다.
▲보안 앱이 요구하는 필수 접근 권한과 선택 접근 권한[이미지=이스트소프트]
오늘날 우리는 스마트폰 보안 앱을 쉽게 접할 수 있다. 보급형 스마트폰은 제조사와 보안 소프트웨어 기업이 협력해 이를 선탑재해 출시하기도 하고, 다수의 보안전문 기업도 유료 또는 무료 보안 앱을 개발해 제공 중이다. 하지만 앱을 설치만 하고 보안 앱 작동에 필수적인 접근 권한을 설정하지 않으면 아무런 기능을 할 수 없다. 특히, 스마트폰 사용에 익숙하지 않은 사람의 경우 자신의 스마트폰에 보안 앱이 설치돼 있다는 사실도 인지하지 못해 각종 보안사고에 노출될 가능성이 높다.
설정 방법은 간단하다. 설치된 보안 앱을 실행하고 저장소 접근 권한 등 앱 작동에 필요한 권한을 허용하기만 하면 된다. 앞서 언급한 것처럼 최소한의 보안 기능을 위해 필요한 필수 접근 권한은 그리 많지 않으며, 저장소 등의 접근 권한만 있어도 악성코드를 탐지할 수 있다. 또한, 필수 접근 권한 외에 선택 접근 권한은 향후 해당 기능을 사용할 때 켤 수도 있으니 불필요하다면 접근 거부를 눌러도 무방하다.
이번 주에는 본인의 스마트폰으로부터 시작해서 부모님 등 가족의 스마트폰에 보안 앱이 설치돼 있는지 살펴보고, 앱을 실행해 접근 권한 역시 제대로 설정돼 있는지, 최신 버전인지 확인해보자. 이런 간단한 작업만으로도 악성 앱으로 인한 보이스피싱이나 스미싱 등의 보안사고 피해를 최소화할 수 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
