YTN

[생생인터뷰]사생활 침해하는 스파이앱, 피해 방지 하려면?-김승주 고려대 정보보호대학원 교수

■ 방송 : YTN 라디오 FM 94.5 (15:10~17:00)
■ 진행 : 김윤경 기자
■ 대담 : 김승주 고려대 정보보호대학원 교수

◇김윤경> ‘사생활 침해하는 스파이앱, 피해 방지하려면?’ 알아보겠습니다. 컴퓨터로 인터넷에 접속해서 광고 등을 나도 모르게 클릭하기도 하잖아요. 이런 경우에 악성 프로그램, 스파이웨어가 PC에 깔리기도 합니다. 그런데 우리가 더 많이 들고 다니고 사용하는 게 스마트폰이잖아요? 이 스마트폰에도 광고 정보나 문자, 게임 같은 것 이것저것 받다 보면 스파이앱이 깔릴 수 있다고 하는데요. 생각보다 피해 규모는 크다고 합니다. 예방법은 없는지, 또 피해는 어느 정도인지 알아보겠습니다. 고려대 정보보호대학원의 김승주 교수님 전화 연결 돼있습니다. 안녕하십니까?

◆김승주 고려대 정보보호대학원 교수(이하 김승주)> 네. 안녕하십니까.

◇김윤경> 스파이앱이라고 하면 어떤 건가요?

◆김승주> 이 스파이앱이라고 하는 것은 스파이 어플리케이션 프로그램의 준말입니다. 그래서 일단 이 스파이 어플리케이션 프로그램, 스파이앱이 설치가 되면 사용자들의 통화 내용이라든가, 문자 메시지, 음성 녹음을 통한 도·감청. 이런 모든 것들이 가능하게 됩니다. 이번에 이탈리아 해킹팀 관련한 게 연일 계속 보도되고 있는데. 이 팀이 판 프로그램도 스파이앱의 일종입니다.

◇김윤경> 그래요? 이 이탈리아 해킹팀 같은 경우에는 우리나라 국가정보원과 연계가 돼있다고 하기도 하고요.

◆김승주> 그런 얘기들이 있죠.

◇김윤경> 지금 다 확인된 얘기는 아니지만. 그런데 일부 보도를 보니까요. 배우자가 외도하는지, 아닌지를 알아보기 위해서 이 앱을 사용하는 사람도 있다. 이런 얘기도 있더라고요. 그런데 배우자면 어쨌든 나는 아닌 남이잖아요? 그 사람의 폰에 스파이앱이 깔리도록 하는 것은 불법 아닐까요?

◆김승주> 일단은 상대방의 동의를 구하지 않은 상태에서 상대방이 모르게 어떤 프로그램을 설치해서 개인 정보를 수집하는 행위는 불법입니다. 그런데 이런 행위 외에도 실제로 이런 스파이앱 프로그램을 불법으로 유통시키는 행위 자체도 지금 우리나라 정보통신망법에서는 금하고 있습니다.

◇김윤경> 예. 법에 걸리겠죠. 그런데 이걸 구글이나 이런 데에서 검색을 하면 금방 또 찾을 수 있다는 이야기도 있어요.

◆김승주> 사실은 스파이앱이라고 하는 것이 우리 프로그램은 스파이앱입니다, 이러고 홍보하지는 않고요. 보통은 아기들 모니터링 프로그램이라고 소개를 합니다. 베이비 모니터링 프로그램, 이런 식으로 해서 아기들 휴대폰에 설치를 해줘서 아기들 위치를 파악하고, 나쁜 유해성 프로그램에 노출되어 있지는 않은지 감시하고. 이런 용도로 보통은 사용하도록 만들어져 있습니다.

◇김윤경> 양의 탈을 쓴 늑대와 같군요.

◆김승주> 그게 칼 같은 거죠. 좋게 쓰느냐, 나쁘게 쓰느냐. 그런 차이라고 보시면 되겠습니다.

◇김윤경> 그러면 이런 것을 사는 것도 일단 불법일 것이고, 까는 것도 불법이고, 파는 것도 불법이고. 그런데도 성행하고 있는 이유는 다들 남의 사생활에 관심이 많아서일까요?

◆김승주> 일단은 스파이앱이라는 이름으로 공식적인 통로를 통해서 팔지는 않습니다. 이것 자체가 불법이기 때문예요. 그래서 앱스토어라든가 이런 데에 가보시면 대부분은 베이비 모니터링 프로그램이라는 이름으로 팔고 있고요.

◇김윤경> 그러면 잘못 산다는 얘기도 되겠네요?

◆김승주> 아니요. 실제로 베이비 모니터링 용도로 만들어진 것이기도 하니까요. 또는 휴대폰 분실 시 위치를 추적해 준다. 이런 용어도 많이 씁니다. 그런데 우리가 진짜로 배우자의 사생활을 캔다든가 음성적으로 유통되는 프로그램들은 이런 정상적인 앱스토어를 통해서 파는 게 아니고요. 어떤 음성적인 블랙마켓이 있습니다. 그런 것들을 통해서 유통이 된다고 보시면 되겠습니다.

◇김윤경> 그러면 블랙마켓에 있는 것도 다른 이름으로 올라오겠죠?

◆김승주> 블랙마켓에서 파는 것은 말 그대로 블랙마켓이기 때문에 그냥 스파이앱이라고 이야기를 합니다.

◇김윤경> 그래요? 그러면 PC에서 나도 모르게 깔리는 것처럼 스파이앱도 나도 모르게 깔릴 수 있는 것이군요.

◆김승주> 보통은 눈치 채지 못하도록 설치를 하죠. 보통은 우리가 스마트폰 같은 경우에는 옛날에 청첩장이라든가, 돌잔치. 이런 식으로 SMS 문자 안에다가 인터넷 주소를 첨부해서 보냅니다. 그래서 그걸 클릭하게 되면 그 스파이웨어 앱이 스마트폰에 설치되는 경우가 있고요. PC 같은 경우에는 예를 들어서 MS워드라든가 아래아한글이라든가 이런 워드 파일 내에 악성코드를 심어놓고, 그 문서를 클릭해서 열어보는 순간 악성코드가 설치되게끔 하는. 그런 방식도 있습니다.

◇김윤경> 그렇군요. 그리고 이 스파이앱 같은 것들을 보면 제로데이 공격 코드라는 것이 사용된다고 하는데요. 이 제로데이(0-Day) 공격코드라는 게 어떤 건가요?

◆김승주> 여기서 제로라는 것은 숫자로 0입니다. 그래서 이게 뭐냐 하면 아직까지 백신이 개발되어있지 않은, 그런 공격 코드를 얘기합니다. 그 얘기는 뭐냐 하면 제로데이 공격 코드를 이용했다는 얘기는 실제 백신 프로그램을 돌려도 탐지 및 치료가 안 된다는 얘기입니다. 그래서 일반인들이 발견할 수 없다는 얘기죠.

◇김윤경> 그런데 일부에서는 그런 것도 있잖아요. 업데이트를 계속 시키는 프로그램. 여기에다가도 심어놓는다는 얘기도 있던데 그런 것도 있나요?

◆김승주> 그러니까 업데이트를 시키는 게 아니고 예전에는 어떤 사례가 있었냐면. 해커들이 해킹 프로그램을 업데이트, 백신 프로그램 보면 업데이트 하는 기능이 있지 않습니까? 그 업데이트 하는 프로그램 안에도 숨겨놓은 적이 있습니다. 그러니까 많은 사람들이 백신 업데이트 하는 줄 알고 내려 받았는데 알고 보니 해킹 프로그램이 깔리는 거죠.

◇김윤경> 의도를 가지고 깔았거나, 아니면 나도 모르게 깔렸거나. 이 스파이앱이 설치된 스마트폰은 사용자에게 어떤 피해를 입히게 될까요?

◆김승주> 일단은 스파이앱, 제대로 만들어진 스파이앱은 백신이나 이런 것을 돌려도 탐지도 안 되고요. 일단 해당 스마트폰이 스파이앱에 감염이 되면 스마트폰 주인이 할 수 있는 모든 것들은 해커가 원격에서 할 수가 있습니다. 예를 들면 스마트폰의 녹음 기능을 가동시켜서 주변의 대화 내용이라든가 통화 내용을 녹음할 수도 있고요. 그 녹음한 것을 인터넷을 통해서 외부로 송출할 수도 있고요. 또는 내가 GPS를 꺼놔도 원격에서 그 GPS를 켜서 현재 위치가 어디에 있는지 동선을 파악할 수도 있습니다.

◇김윤경> 온갖 범죄에 이용될 수 있겠네요.

◆김승주> 맞습니다.

◇김윤경> 그런데 녹음 기능을 실행시키거나 GPS를 켜거나 그러면 그게 작동되는 것은 사용자가 볼 수는 있는 거예요?

◆김승주> 그게 일반적인 사용자는 그것을 눈치 채기 힘들고요. 그나마 알 수 있는 방법이 배터리 소모가 빨리 된다든가. 휴대폰이 자꾸 뜨거워진다든가. 그러면 의심을 할 수가 있습니다.

◇김윤경> 그래요? 혹시 이게 그러면 운영체제에 따라서 어떤 운영체제가 더 잘 감염된다. 이런 것도 있나요?

◆김승주> 지금 사실은 대부분 나와 있는 스파이앱들은 안드로이드 폰을 대상으로 한 것들이 조금 많이 퍼져있는 상태고요.

◇김윤경> 공개적이라서 그런가 봐요?

◆김승주> 아무래도 그런 게 있습니다. 일단 해커들은 사용자가 많은 폰들을 대상으로 하는 경향이 있거든요. 그런데 안드로이드 폰 사용자 수가 일단은 워낙 많다보니까. 안드로이드 폰을 대상으로 하는 스파이앱이 일단은 좀 많은, 그런 경향이 있고요. 아이폰 같은 경우에도 스파이앱은 존재합니다. 그런데 아이폰 같은 경우에는 우리가 탈옥이라고 해서, 제일브레이크(Jailbreak)를 안 했을 경우에는 그나마 안전한 편입니다.

◇김윤경> 그렇군요. 그러면 이 스파이앱이 깔린 것은 어떻게 알 수 있어요? 일반 사용자들은 잘 모른다고.

◆김승주> 아까 말씀드렸다시피 스파이앱은 제로데이 취약점을 이용하기 때문에. 일반인들이 알 수 있는 방법은 거의 없고요.

◇김윤경> 그러면 뭔가 의심이 간다. 자꾸 배터리 소모가 빠르고 뜨거워진다. 그러면 어떻게 해야 해요?

◆김승주> 그러면 보안 전문 업체에 문의하셔서 전문가들에게 한번 살펴보게 하시는 게 낫습니다.

◇김윤경> 그래요? 그러면 전문가들은 대부분의 스파이앱은 실시간으로 파악을 하고 있겠죠?

◆김승주> 보통 전문가들은 그렇게 되면 스마트폰에서 현재 돌아가고 있는 프로그램 리스트를 쭉 추출합니다. 그러면 이건 좀 이상한 게 구동되고 있다. 이런 것을 아무래도 판단할 수 있거든요.

◇김윤경> 그러면 스파이앱이 내 폰에 깔리지 않도록 방지할 수 있는 방법은 없나요?

◆김승주> 그렇죠. 그러니까 제일 중요한 것은 스파이앱이 내 스마트폰에 설치 안 되도록 예방하는 게 제일 좋거든요. 그래서 첫 번째 가장 조심하셔야 할 것은 SMS 문자에 첨부되어 있는 URL들은 클릭 안 하시는 게 좋습니다. 그런 게 들어오면 일단 지워버리시는 게 좋고요. 그 다음에 스미싱 차단 프로그램들이 많이 있습니다. 그런 스미싱 차단 앱을 별도로 추가 설치하셔서 관리를 좀 하시는 게 좋습니다.

◇김윤경> 스미싱 차단 앱 같은 것들을 깔아서 사전에 방지하는 게 좋겠다. 그런데 또 아마 이 스파이앱 만드시는 분들은 또 빨리빨리 개발을 하시겠죠?

◆김승주> 작정하고 만드는 스파이앱은 사실은 그렇게 피해가기가 쉽지 않습니다.

◇김윤경> 네. 알겠습니다. 점점 더 조심해야 될 것들이 많아지는 것 같네요. 오늘 말씀 잘 들었습니다. 감사합니다.

◆김승주> 네. 고맙습니다.

◇김윤경> 고려대 정보보호대학원의 김승주 교수였습니다.