크세노폰의 IT 누리사랑방
이슈화 되는 안드로이드 해킹.. 해결책은 무엇일까? 본문
사례 1
필자의 친구는 문자로 "카카오톡 최신버전 업데이트 안내" 문자를 받았다.
업데이트 문자에는 링크가 걸려있었다. 링크를 클릭하니 .apk1 파일이었다.
링크를 클릭하는 순간 파일이 다운로드 되었고, 친구는 설치하기 전에 이상한 느낌이 들어 필자에게 물어보았다.
"이거 설치해도 되는거야?"
"어디 볼까.."
살펴보니 스파이웨어였고, 서명되지 않은 apk파일이었다.
개인정보가 모두 새어나갈 뻔 했다.
사례 2
안드로이드폰 어플 불법복제자 "망할놈" 씨는 4shared.com 을 통해 게임 Asphalt(아스팔트)를 다운로드 받았다.
그러나 실행이 되지 않아 실망한 "망할놈" 씨는 인터넷 뉴스를 보았다.
인터넷 뉴스를 보다 잠이 든 "망할놈" 씨...
다음 날 아침 "망할놈" 씨는 자신의 휴대전화 기록에서 이상한 점을 발견하게 된다.
새벽에 본인도 모르는 사이에 위성전화, 국제전화가 걸려있었던 것이었다.
"망할놈" 씨는 정말 망하게 되었다.
새로운 OS인 타이젠 출시가 임박했는지 요즘 인터넷 신문들은 일제히 안드로이드를 까내리고 있다.
특히 보안문제를 집어서 까고 있는데, 사례를 통해 보시다시피 실제로 문제가 심각하긴 하다.
그중 가장 흔한것이 사례 1 처럼 문자로 스파이웨어 설치를 유도하는 방법이다.
만약 프로그램을 설치하게 되었더라면 연락처, 문자메시지함 등에 접근해 개인정보가 쉽게 빠져나갔을 것이다.(접근 허가)
사례 2 는 국제전화(수신자부담)를 이용해 돈을 빼내는 수법이다.
실제로 외국에서 저런 사례가 빈번하게 발생했다.
보통 이런 분야에 관심이 있는 사람들은 다 알지만 또 모르는 사람들은 쉽게쉽게 속아 넘어가기 일쑤다.
왜 안드로이드가 이렇게 보안에 취약할까?
필자는 기본적인 원인이 구글 플레이스토어와, 안드로이드 제작사 구글에 있다고 본다.
구글 안드로이드는 공짜OS이다.
하지만 구글은 도의적으로 안드로이드 해킹에 관한 책임을 져야 한다.
최소한 스마트폰 유저들이 안전하게 사용할 수 있게끔 해야 한다는 것이다.
그럼 아이폰의 경우는 어떨까?
여러분들 중 아이폰을 사용해보지 않은 유저는 아이폰에 대해 다른것은 잘 몰라도 단점은 잘 알고있다.
"폐쇄성" 이라던가.. "화면이 콩만하다" 라던가..
이건 다 쓰레기 신문의 쓰레기 기자들이 마케팅을 목적으로 일부러 단점을 지어낸 것이다.
이미 다들 알고있는 언론플레이에 낚인것이다.
아이폰의 폐쇄성이라고 함은 "어플은 오직 애플에서 나온 앱스토어에서만 다운로드 받을 수 있다.(단 배포되지 않은 기업용은 제외)" 이다.
반면 안드로이드는 ".APK" 로 끝나는 파일은 모두 다운로드 받아 설치할 수있다.
아이폰은 앱을 다 만들고 올라오기까지 약 1주일의 시간이 걸린다.
이때동안 애플은 어플을 두고 심사를 하는데, 잘 작동이 되는지 부터 살펴보고, 앱 내에 악성코드나 해킹스크립트가 존재하는지 살펴본다.
반면 안드로이드는 개발자 등록비 25달러만 내어주면 누구든지 즉시 플레이스토어에 올릴 수 있다.
위 사진은 플레이스토어에서 hello world 로 검색했을 때의 결과이다.
hello world 는 프로그래밍을 배울 때 쓰는 가장 기초적인 과정이며, 저 앱들을 다운로드 받으면 영문으로 "Hello, World" "Hello, Android" 라고 출력된다. 그게 끝이다.
저것을 보면 구글 플레이스토어의 어플이 얼마나 부실한지, 얼마나 관리가 되지 않는지 잘 알수있다.
네이버 블로그나 4shared 같은 사이트에서는 무료로 유료 어플리케이션을 다운로드 받을 수 있다.(아이폰은 루팅을 해야하며, 비교적 과정이 까다로움)
돈없는 학생들은 유용할 지 모르겠다. 하지만 그런 경로에서 다운로드 받은 앱은 바이러스도 같이 내장되어 있을 가능성이 많다는 것이다.
그렇다면 어떻게 해야 해킹을 막을 수 있을까?
1. 정품을 사용하라.
우선 정품을 사용하는 것이다.
학생들이나 어른들 너나 할것없이 유료어플을 네이버 블로그나 4shared 같은 사이트에서 다운로드 받는다.
이건 정말 심각한 문제이다. 보통 이런 사이트에서 다운로드를 받을 때 블로그 주인이나 업로더가 마음만 먹으면 개인정보를 쉽게 가져갈 수 있게 되어있다.
왠만하면 플레이스토어에서 정품을 사용하라.
2. 다운로드 받을 때 권한을 확인하고 의심해봐라.
우리가 플레이스토어에서 다운로드 받을 때 살펴야 할 과정이 있다.
프로그램이 사용할 수 있는 권한이다.
예를들어 게임어플을 하나 다운로드 받는데, 메시지 내용을 읽을 권한이 포함되어있다던가, GPS를 켜고 끌 수 있는 권한이라던가, 전화기능을 사용할 수 있는 권한을 가지거나 하면 의심을 해보아야 한다.
너무 과잉반응이라고 생각하면 안된다.
무료 OS를 사용하는데 이정도는 기본적으로 해야한다.
3. 믿을 수 있는 제작사가 만든 프로그램을 설치하라.
보통 인기개발사의 경우 어플 제목 옆에 
모양이 붙어있다.
이것은 검증된 개발사라는 뜻이다.
잘 모르는 유저들은 마크가 붙은 어플만 다운로드 받아도 딱히 해킹의 걱정은 없다고 봐도 된다.
3. 리뷰를 확인하라.
리뷰는 사용자들의 의견이 올라오는 곳이기에 거의 믿을만하다고 생각하면 된다.
사용자들의 리뷰를 잘 살펴보고 판단하길 바란다.
4. 수상한 문자메시지의 링크를 따라가서 다운로드 받지 마라.
카카오톡을 비롯한 모든 어플리케이션은 문자로 업데이트 안내를 제공하지 않는다고 생각하면 된다.(통신사 제외)
만약 문자로 피해가 발생해도 제작사는 공지사항에 "우리 어플은 문자로 업데이트 링크를 제공하지 않습니다" 라는 주의공지를 올리면 면책되는게 국내 법이다.
그렇기에 어플은 반드시 플레이스토어에서만 다운로드 받길 바란다.
해킹방지 프로그램이라던지 하는 프로그램들은 다 필요없다.
그저 사용자가 조심해서 사용해준다면 문제가 없을 것이다.
p.s 요즘 언론에서 많이 떠들어서 이런 글을 적는다.
이정도만 지켜준다면 안드로이드 보안 문제는 걱정하지 않아도 될 것 같다.
사실 인터넷 신문이라는게 믿을만한게 못된다.
특히 요즘같은 시국에는 제대로 된 소식을 찾기가 쉽지 않다.
안드로이드 본판 자체는 안전하게 설계되어있는데 어플을 다운로드받으면서 약해진 것이지 원래는 리눅스 기반으로 된 안전한 운영체제이다.(정확히 말하자면 시스템 운용 체계가..)
끝까지 읽어주셔서 감사합니다.
이 글이 마음에 드셨다면 손가락 버튼을 눌러주세요!!
로그인 필요없습니다..^^
- APK파일은 안드로이드 앱을 설치하는 확장자이다. [본문으로]