스마트폰 ‘가짜 무선랜 해킹’ 피해 막으려면…

① 인터넷 접속때 확인된 AP만 사용
② 3G망 이용하고 안쓰는 앱 꺼둬야

스마트폰이 무선접속장치(AP)를 통해 인터넷에 접속할 때 개인정보가 새나갈 수 있다는 사실이 확인되면서 큰 파장이 예상된다. 1000만 명에 이르는 스마트폰 사용자가 거의 매일 무선인터넷 접속을 하고 있기 때문에 사회적인 문제로 확산될 것으로 보인다. 전문가들의 의견을 들어 스마트폰 개인 정보 보호를 위해 개인과 기업 및 기관이 대응할 수 있는 방법을 찾아봤다.

○ 스마트폰 사용자가 해킹 막으려면

인터넷 사이트 관리자가 기술적으로 막는 방법 외에 스마트폰 사용자가 스스로 보안을 강화해야 ‘SSL 가로채기’ 등 해킹을 줄일 수 있다.

①우선 스마트폰으로 AP를 찾아 인터넷에 접속할 때 조심해야 한다. 인터넷 업체 엔소울즈 김형준 보안담당자는 “무선인터넷 공유기를 통해 가짜 AP는 쉽게 만들 수 있다”면서 “공공장소에서 접속을 할 때 확인이 안 된 AP는 사용하지 않는 것이 최선”이라고 말했다.

이를 위해서 스마트폰이 자동으로 주변의 AP를 선택하지 않도록 설정을 바꾸어야 한다. 스마트폰의 ‘설정’으로 들어가 ‘와이파이’ 항목을 선택한 후 ‘네트워크 연결 요청’에서 ‘자동’을 ‘수동’으로 바꿀 수 있다.

②속도는 느리더라도 3세대(3G) 이동통신망을 이용하는 것도 피해를 막을 수 있는 방법이다. 이동통신망은 사용자가 가입한 이동통신사를 통해 인터넷에 연결되기 때문에 AP보다 안전하다. 다만 이동통신망은 ‘무제한 요금제’를 사용하지 않는 사용자들에게는 요금이 과도하게 부과될 수 있다는 게 단점이다.

전문가들은 스마트폰에서 사용하지 않는 응용프로그램(앱)의 기능을 꺼둘 것도 권고했다. 해커 출신 한 보안 전문가는 “스마트폰에서 항상 켜져 있는 메신저 프로그램 등은 가짜 AP 근처에 갔을 때 사용자도 모르게 접속돼 정보를 외부로 송신할 수 있다”고 설명했다.

○ 향후 기술개발로 해킹 막으려면

UNIST가 실험을 통해 스마트폰 사용자의 개인정보를 중간에서 해킹할 수 있었던 것은 스마트폰이 AP를 통해 인터넷 사이트에 ‘인증’을 요청했고, 같은 경로로 ‘인증키’를 받았기 때문이다.

서의성 UNIST 전기전자컴퓨터공학부 교수는 “인증키 교환은 보안성이 높은 이동통신망을 이용하면 안전하다”고 말했다. 스마트폰 사용자가 AP를 통해 ‘인증’을 요청하더라도 ‘인증키’를 다른 네트워크인 이동통신망으로 받으면 가로챌 수 없기 때문이다.

기업과 기관이 해킹 위험이 있을 때 컴퓨터처럼 스마트폰에서 ‘경고창’이 뜨도록 만드는 것도 방법이다. 해킹이 의심될 때 ‘보안 인증이 안 된 사이트입니다. 접속하시겠습니까’라는 메시지를 주자는 것이다. AP 이름을 정할 때 ‘네스팟’이나 ‘T 와이파이’처럼 널리 쓰이는 명칭을 인위적으로 사용할 수 없도록 장치를 할 필요가 있다는 의견도 제기됐다.

원호섭 동아사이언스 기자 wonc@donga.com
이영혜 동아사이언스 기자 yhlee@donga.com