취약점 노리는 해커..PC뿐아니라 스마트폰까지 타깃
내년에는 윈도우7 기술지원 종료, 5G(5세대 이동통신)와 클라우드 서비스 확산 등에 따라 새로운 사이버 보안 위협들이 예상된다. 전문가들은 초연결 시대에는 개인과 기업의 정보를 안전하게 지키기 위해 보안의 생활화가 필요하다고 말한다. 새해 다가올 사이버 위협과 대응방안을 알아봤다.
#. 직장인 김대유씨(가명)는 올해 컴퓨터를 바꿨다. 윈도우7 PC를 쓰고 있었는데 곧 기술지원이 중단된다는 소식을 듣고 최신 PC로 교체했던 것. 한순간 방심한 탓일까. 얼마 전 김씨 PC는 랜섬웨어에 당해 컴퓨터에 있던 모든 파일을 잃었다. 전날 밤 경찰청에서 과속 단속에 걸렸다고 날아온 이메일 링크를 클릭했던 게 화근이다.
내년 1월 14일 마이크로소프트(MS)의 윈도우7 기술 지원 종료를 앞두고 사이버 보안 문제가 화두로 떠올랐다. 다른 운영체제(OS)나 최신 윈도우 버전으로 업데이트하지 않으면 사이버 위협에 노출된다. 하지만 OS만 바꾼다고 안심할 수 있는 건 아니다. 사이버 공격자들은 OS는 물론 이용자들이 주로 쓰는 PC 프로그램, 스마트폰 모바일 소프트웨어(SW)의 취약점을 노리고 있다.
MS는 지난 11일 누군가 외부에서 악성 프로그램을 실행할 수 있는 취약점 등 4종의 긴급 보안패치가 포함된 윈도우 업데이트를 발표했다. 윈도우10, 윈도우 서버 2019 등 최신 윈도우 버전들도 영향을 받았다. 최신 OS 역시 취약점 위협에서 자유로울 수 없다는 얘기다.
실제 지난달에도 MS는 13개 심각한 취약점을 포함해 모두 74개의 보안패치를 내놨다. 1월14일이면 기술 지원이 끝나는 윈도우7과 달리, 최신 OS는 주기적으로 보안패치를 받을 수 있다는 게 위안이다.
해커들이 노리는 프로그램은 윈도우 뿐 아니다. 구글은 최근 데스크톱용 웹브라우저 ‘크롬’ 사용자들을 대상으로 보안 업데이트를 단행했다. ‘크롬’ 사용자들의 정보를 가로챌 수 있는 취약점이 발견됐기 때문이다. 러시아 보안업체 카스퍼스키는 “자바 스크립트를 이용해 악성코드를 유포할 수 있는데, 이 취약점은 한국어 뉴스포털 사이트에서 많이 사용하는 방식”이라고 경고했다.
이로 인한 피해는 크지 않았지만 막강한 프로그램 보안을 자랑해왔던 구글 서비스마저 결코 완벽하지 않다는 방증이다. 해커들은 이용자들이 많이 쓰는 프로그램이라면 어떤 것이든 가리지 않는다. 한국인터넷진흥원(KISA) 인터넷침해사고대응센터 보안 공지란을 보면 올들어 카카오톡 PC메신저, 한컴오피스, 해피포인트 모바일 앱, 티맥스소프트, 알툴즈, 알집, 예스24 PC 뷰어 등 국산 프로그램과 서비스에서 취약점이 줄줄이 발견돼 제조사들이 보안업데이트를 시행했다.
보안 전문가들은 PC든 스마트폰이든 인터넷에 연결돼 있다면 언제든 악성코드에 감염될 수 있다는 점을 명심해야 한다고 말한다. 한해 전세계에서 출몰하는 신규 악성코드는 수억개에 달한다. OS를 비롯해 주로 사용하는 PC 프로그램들을 항상 최신 버전으로 업데이트해야 한다.
실시간 악성코드를 감지하는 백신 프로그램도 필수다. 개인 PC 사용자라면 알약이나 V3라이트, 네이버 백신, 어베스트(Avast), 아비라(Avira), AVG 등 무료 백신 프로그램을 이용할 수 있다. 윈도우 OS에 내장된 윈도우 디펜더(Windows Defender)를 활성화하는 것도 도움이 된다.
다만 신규 악성코드를 제대로 탐지하지 못하는 ‘불량 백신’도 많아 이용자들의 세심한 주의가 요구된다. KISA는 오탐지·성능 미달 등 문제가 있는 백신 프로그램 대부분이 검색 툴바·동영상 뷰어·웹하드 사이트 프로그램·무료 게임 등을 설치할 때 제휴 프로그램 형태로 끼워 설치되는 경우가 많았다고 설명했다. 이 때 설치과정에서 동의를 구하기 때문에 주의를 기울여 백신 설치를 피해야 한다. 백신도 항상 최신 버전으로 업데이트해야한다. 악성코드는 하루에도 여러 종류의 변종이 제작·유통되기 때문이다. 실시간 탐지 기능도 켜두는 것이 바람직하다.
스마트폰도 안전지대 아니다…24시간 보안 생활화 해야
스마트폰도 이미 안전지대가 아니다. 해커들도 주 무대를 모바일 프로그램으로 옮기고 있다. 이스트시큐리티에 따르면, 지난 3월부터 10월까지 자사 모바일 백신 프로그램에 탐지된 스마트폰 악성코드 공격이 총 72만4125건에 달한다.
최근에는 택배나 경찰·금융기관, 지인 등을 사칭한 문자메시지로 불특정 사용자에게 링크를 보내 악성앱을 다운받도록 유도하는 스미싱 공격 수법이 성행하고 있다. 보안 전문가들은 “스마트폰 선탑재 앱도 해커들의 공격수단으로 악용될 수 있어 주의가 필요하다”고 당부했다.
지난달 미국 보안업체인 크립토와이어는 29개 안드로이드폰 제조사의 사전설치 앱 중 무단 음성녹음과 잘못된 명령실행 등 개인정보를 탈취할 수 있는 취약점이 146개가 발견됐다고 발표했다.