국내 해킹·사이버공격 빈번…보안전문가 "출처 불명 앱 받지 말아야"

국가정보원의 스마트폰 해킹 프로그램 구입 및 불법 감청 의혹이 제기되고 이 해킹 프로그램을 판매한 이탈리아 정보기술(IT) 기업 '해킹팀'의 존재가 알려지면서 해킹 범죄 우려가 또다시 커지고 있다.

국정원이 해킹팀으로부터 구입했다고 밝힌 해킹 프로그램 '리모트컨트롤시스템(RCS)'을 이용하면 미리 악성 프로그램을 심어둔 타인 스마트폰을 도·감청할 수 있다.

통화 내용을 녹음해 빼내가는 것은 물론이고 스마트폰 화면을 캡처하거나 내장 카메라를 이용해 몰래 사진을 찍는 것도 가능하다.

내장 마이크를 통해 현장 소리를 녹음해 탈취할 수도 있다.

문제는 이처럼 불법적으로 사용될 수 있는 프로그램이 이탈리아 사기업을 통해 판매된 만큼 광범위하게 퍼져 있을 가능성이 있다는 점이다.

이에 따라 불법적인 스마트폰 도·감청을 통한 테러와 범죄에 대한 우려도 커지고 있다
현재까지 알려진 해킹팀의 고객 목록만 해도 미국 연방수사국(FBI)과 마약단속국(DEA)을 비롯해 30여 개국 67개 기관에 달한다.

대부분 군·경찰·국가기관 등이다.

이들 기관에 RCS를 팔아 해킹팀이 벌어들인 돈은 4천만 유로(약 500억원)가 넘는다.

특히 RCS를 이용하면 국내 시장 점유율이 높은 안드로이드 스마트폰 해킹이 가능할 뿐만 아니라, 국정원도 삼성전자 갤럭시 스마트폰 시리즈가 새로 출시될 때마다 해킹팀에 기술지원 요청을 했다는 의혹이 알려지면서 우려가 증폭되고 있다.

전 국민이 사실상 1인당 1대 이상의 스마트폰을 소유한 채 스마트폰으로 사적 대화는 물론이고 일상 업무와 금융거래까지 하는 상황이라 한번 해킹을 당하면 피해 여파가 클 수밖에 없다.

실제로 그간 국내에서 다양한 형태의 해킹·사이버공격이 있었기 때문에 일반의 해킹 공포는 상당한 수준이다.

2009∼2011년에는 주로 청와대, 국회 등 국가기관과 금융기관을 상대로 한 분산서비스거부(디도스·DDoS) 공격이 주를 이뤘다.

2012∼2013년에는 국가기관과 금융사, 방송사가 해킹·사이버테러 공격을 받았다.

당시 정부는 이들 공격이 북한이 자행한 것이라고 결론을 내렸다.

2011년에는 최구식 전 새누리당 의원의 비서가 디도스 공격을 벌여 중앙선거관리위원회 홈페이지를 접속불능 상태로 만든 사실이 밝혀지기도 했다.

민간 사이트 중에는 옥션과 SK커뮤니케이션즈, KT, 판도라TV 등에서 해킹으로 말미암은 개인정보 유출 사건이 이어졌다.

지난해와 올해에는 '원전반대그룹'을 표방하는 단체가 한국수력원자력 등을 해킹해 원전 설계도면을 포함한 원전 자료를 유출하고 있으며, 행정자치부가 운영하는 주민번호 대체 수단 '공공아이핀'이 해킹 공격을 받아 75만 건의 아이핀이 부정 발급되는 일도 있었다.

이처럼 해킹 사례가 끊이지 않는 상황에서 해킹팀 등 서비스 제공업체까지 알려지면서 해킹 범죄가 점차 진화하고 규모도 커지는 모양새다.

김승주 고려대 정보보호대학원 교수는 "해킹팀의 프로그램이 아니더라도 스마트폰의 '제로데이' 취약점(백신이 개발되기 전의 보안 취약점)을 이용한 해킹 위험은 늘 있다고 봐야 한다"며 "평소 스마트폰을 루팅(제조사가 설정한 기능 제한을 푸는 것)하지 말고, '알 수 없는 출처' 애플리케이션을 내려받지 않으며, 스팸 등 문자메시지에 딸려온 링크를 클릭하지 않으면 대부분의 스마트폰 해킹을 막을 수 있다"고 설명했다.

(서울연합뉴스) 권영전 기자 comma@yna.co.kr