현대캐피탈 고객 개인정보 해킹 사건을 수사 중인 경찰이 용의자 2명의 얼굴이 찍힌 폐쇄회로(CC) TV를 확보했다. 경찰은 용의자 검거를 위해 세 가지 방향으로 수사력을 모으고 있다. 우선 은행 현금인출기에서 돈을 빼낸 인출책과 입금 계좌에 관련된 수사다. 서울지방경찰청 사이버범죄수사대는 11일 “범인들은 총 9개 계좌로 분산해 돈을 받았으며, 이들 계좌는 예금주가 모두 법인명으로 돼 있었다.”면서 “이들 법인이 실제로 존재하는지, 해킹과 어떤 연관성이 있는지 계좌 압수수색을 통해 파악할 방침”이라고 밝혔다. 현재까지 돈이 인출된 것으로 확인된 은행계좌는 농협, 기업·국민은행, 우체국 등 5곳이다. 각각 600만원씩 총 3000만원가량이 인출된 것으로 경찰은 확인했다. 두 번째는 아이피(IP) 주소다. 경찰은 “해커들이 지난달 초와 지난달 말 두 차례 필리핀에서 국내로 경유해 들어오는 중간 서버를 통해 현대캐피탈에 접속한 것으로 파악했다.”면서 “이 중간 서버 이용료를 각각 결제한 2명의 인적사항을 확인하고 소재를 파악하고 있다.”고 밝혔다. 경찰은 해커들이 협박 메일을 보낸 핫메일의 계정도 수사 중이다. 마지막으로 경찰은 과거 유사사건과 관련, 동종 전과자를 추적하고 있다. 이병하 서울청 수사과장은 “해킹 경로나 기업 대상, 범행수법 등이 유사한 사례들과 비교해 용의자들을 찾고 있다.”고 말했다. 백민경기자 white@seoul.co.kr

수십만명에 이르는 현대캐피탈의 고객 정보는 국내 대부업체가 대출 영업을 위해 해외에 근거지를 둔 전문 해커 조직에 의뢰해 빼낸 것으로 확인됐다. 이에 따라 합법·불법 대부업체에 대한 경찰의 수사 확대가 불가피해졌다. 또 현대캐피탈의 메인 서버는 현대 측의 주장과 달리 두 차례나 해킹당했다. 11일 수사 당국에 따르면 국내에서 대부업을 하는 B업체는 필리핀의 한국인 밀집 지역에서 활동하는 한국인 해커 A씨에게 의뢰해 현대캐피탈 고객 42만여명의 고객 정보를 빼냈다. 개인별 주민등록번호와 휴대전화 번호 등의 개인 정보는 올 2월부터 빠져나갔다는 현대캐피탈 측의 해명과 달리 지난해부터 빠져나가기 시작한 것으로 밝혀졌다. 온라인 고객, 대출 문의 고객 등 대출을 받지 않은 이들의 정보가 새 나갔다. 수사 당국 관계자는 “대부업체들은 대출이 필요한 이들을 파악하기 위해 중국 등지의 해커 조직에 관련 개인 정보를 빼내 달라고 요청한다.”면서 “이번 건은 필리핀 소재의 해커가 정보를 빼내 국내 대부업체에 팔아넘긴 것으로 보이지만 그 해커에게 의뢰한 또 다른 해커 조직이 있을 수 있다.”고 밝혔다. 빼낸 정보는 건당 7~30원에 거래되는 것으로 알려졌다. 해커는 현대캐피탈의 메인 서버를 두번 뚫었다. 처음에는 보조 서버의 IP를 타고 메인 서버에 들어가 대출을 받지 않은 고객 42만여명의 개인 정보를 빼냈다. 두 번째에는 이들 정보를 바탕으로 메인 서버에 접속해 보안이 철저한 ‘대출자’들(1만여명)의 정보를 빼냈다. 김승훈·백민경기자 hunnam@seoul.co.kr

국내 대부업체들이 중국 등 해외 해커 조직에 의뢰해 제2금융권의 고객 정보를 빼내고 있다는 것은 지난해부터 수사 당국에 감지됐다. 해커 조직은 캐피털 등 특정 제2금융권의 서버에 접속해 실시간 고객들의 대출 정보를 빼낸 뒤 대부업체에 팔아넘기고 있었다. 다른 캐피털은 알고서도 쉬쉬하고 있는 데 반해 현대캐피탈이 ‘이례적’으로 해킹 사실을 인정하고 나와 이번 문제가 표면화됐다는 관측이 지배적이다. 수사 당국은 현대캐피탈 등 제2금융권에서 보관하는 비대출자(대출문의 고객, 온라인 이용 고객, 대출 의뢰했다가 대출받지 못한 고객 등)들의 고객 정보에 대한 보안이 허술하기 때문에 이번 사태가 빚어졌다고 보고 있다. 대부업체들에 대한 대대적인 수사가 필요하다는 지적이 나오고 있다. 현대캐피탈은 두 단계에 걸쳐 고객들의 개인 정보가 빠져나갔다. 1단계는 보안이 허술한 비대출자들의 정보다. 메인 서버에 연결된 보조 서버를 타고 들어가 메인 서버에 저장된 비대출자 42만여명의 개인 정보를 빼냈다. 유출 정보는 국내 대부업체나 보이스피싱(전화금융사기) 범죄 조직에 넘겨진다. 대부업체들은 이들 정보를 활용해 대출 알선 수수료를 챙기거나 직접 대출에 나선다. 캐피탈사에 대출을 의뢰했다가 대출을 받지 못한 이들의 정보를 이용해 다른 캐피털에 대출을 의뢰한다. 대출 승인이 떨어지면 해당 개인에게 “대출이 가능하다.”며 대출을 알선한 뒤 대출 금액의 10% 이상을 수수료로 챙긴다. 또 대출이 필요한 이들에게 휴대전화나 이메일 등으로 대출 알선 메시지를 무작위로 발송한다. 수사 당국 관계자는 “해커들은 특정 캐피털사의 대출 거래 내역 등을 실시간으로 해킹해 정보를 빼낸 뒤 대부업체에 넘긴다.”면서 “국내 대부업체 90% 이상이 이런 식으로 대출이 필요한 이들의 정보를 파악한다.”고 설명했다. 보이스피싱 조직들은 이들 정보를 바탕으로 해당 개개인들에게 전화해 “모 캐피털사에 대출 의뢰를 했지만 대출을 받지 못한 것으로 안다. 우리가 다시 알아보니 대출이 되더라.”고 꾄 뒤 대출을 해 주고 수수료를 챙긴다. 수사 당국 관계자는 “대부업체들이 이미 빼낸 개인 정보를 활용해 대출을 알선했을 것”이라며 “제2금융권의 협조 없이는 구체적인 실태 파악이 어렵다.”고 밝혔다. 해커 조직들은 점조직으로 운영된다. 국내 대부업체에서 해외 해커 조직에 해킹 정보를 의뢰하면 몇 단계를 거친 뒤 최종 실행 해커에게 명령이 전달된다. 최종 해커를 통해 빼낸 정보도 몇 단계를 거친 뒤 국내 대부업체에 넘겨진다. 수사당국 관계자는 “주로 중국에 거점을 둔 해커 조직들이 제2금융권의 개인 정보를 빼낸다.”면서 “현대캐피탈 해킹 건도 중국 해커 조직원이 필리핀 해커 조직원에게 최종 의뢰했을 가능성이 높다.”고 전했다. 유출 정보는 건당 7~30원에 거래된다. 수사 당국 관계자는 “현대캐피탈의 42만여명 정보는 1000만원 안팎에서 거래됐을 것”이라고 말했다. 2단계에서는 1단계에서 빼낸 정보를 분석해 현재 운용되고 있는 현대캐피탈의 보안 시스템을 풀고, 메인 서버에 들어갔다. 해커는 2단계를 통해 보안이 완벽하게 유지되고 있는 대출자 1만 2000여명의 정보까지 빼냈다. 이들 정보도 문제다. 이미 유출된 주민등록번호 등 개인 정보를 활용해 통장이나 휴대전화, 공인인증서 등을 개설할 수 있기 때문이다. 수사 당국 관계자는 “아직 피해가 접수되지는 않았지만 유출 정보를 활용해 대출을 받거나 예금 인출을 할 가능성도 있다.”면서 “예금 인출이 일어날 경우 피해 규모는 엄청날 것”이라고 말했다. 이어 “보통 비대출자들의 정보만 빼내 대부업체에 돈을 받고 팔아넘기는데, 이번에는 대출자들의 정보까지 해킹했다.”면서 “이는 해커가 자신의 해킹 실력을 주위 해커들에게 과시하기 위한 것으로 보인다.”고 말했다. 김승훈기자 hunnam@seoul.co.kr

　현대캐피탈 고객 개인정보 해킹 사건을 수사중인 서울지방경찰청 사이버범죄수사대는 11일 은행 현금인출기에서 돈을 빼낸 남성 2명의 폐쇄회로(CC)TV 영상을 확보, 소재를 쫒고 있다고 밝혔다. 　경찰이 입수한 영상에는 지난 8일 오후 2시40분쯤 농협 구로지점과 9일 오후 6시쯤 신한은행 숙명여대입구점에서 각기 다른 두 남성이 돈을 인출하는 장면이 담겨있다. 　경찰은 이들이 20~30대 한국인으로 추정되며 농협 구로지점에서는 600만원이 인출됐지만 신한은행 계좌는 지급정지돼 돈이 빠져나가지 않았다고 전했다. 　경찰은 해커들이 지난달 필리핀에서 국내로 경유해 들어오는 중간서버를 통해 두차례에 걸쳐 현대캐피탈에 접속한 것으로 파악했다며 이 중간서버 이용료를 각각 결제한 2명의 인적사항을 확인하고 소재 파악에 나섰다고 밝혔다. 　경찰에 따르면 해커들은 지난 7일 오전 8시50분쯤 현대캐피탈 직원에게 이메일을 보내 해킹 사실을 알리고 “내 이메일 아이디와 비밀번호를 알려줄 테니 연락은 이 메일 계정의 ‘내게 쓴 메일‘ 기능을 통해서만 하라.”고 협박했다. 　 이들은 같은날 오후 2시쯤 다시 메일을 보내 “내일 10시에 5억원을 알려주는 계좌들에 지정 금액만큼 입금하라.”고 한 뒤 다음날인 8일 오전 10시에는 4개 계좌를 알려주면서 11시까지 입금하라고 요구했다. 　현대캐피탈은 8일 오전 12시37분께 해커가 지정한 4개 계좌 가운데 1개 계좌로 1억원을 입금했다. 이 가운데 5900만원은 지급정지됐고 나머지 4100만원 가운데 6개 은행 계좌에서 3000만원 가량이 인출됐다. 경찰은 “범인들은 받은 돈을 6개 계좌로 분산했으며 이들 계좌는 예금주가 모두 법인명이었다..”면서 “이들 법인이 실제로 존재하는지, 해킹과 어떤 연관성이 있는지 계좌 압수수색을 통해 파악할 방침”이라고 밝혔다. 경찰은 현대캐피탈 내부 공모 가능성에 대해서 “뚜렷한 용의점이 나오지 않아 아직 말할 단계는 아니다.”며 “외국에도 공범이 있을 것으로 추정은 하고 있지만 아직 확인된 사실은 없다.”고 말했다. 경찰은 현대캐피탈에 요구한 전산자료를 받는대로 이를 분석해 해킹 경로와 규모를 파악할 계획이다. 인터넷서울신문 event@seoul.co.kr

현대캐피탈 일부 고객의 신용등급과 계좌번호, 비밀번호 등 신용정보가 해킹된 것으로 파악됐다. 이름, 주민등록번호 등 개인신상뿐 아니라 금융거래 정보까지 유출되면서 파장이 커지고 있다. 하지만 현대캐피탈 측이 전체적인 해킹 규모를 파악하지 못하고 있어 피해 고객은 더 늘어날 것으로 우려된다. 현대캐피탈은 10일 서울 여의도 본사에서 긴급 기자회견을 열고 신원 미상의 해커에게 42만명의 고객 정보가 유출된 뒤 추가 조사한 결과 일부 고객의 신용등급이 해킹됐다고 밝혔다. 이 회사 대출 상품인 ‘프라임론패스’ 이용 고객 43만명 중 1만 3000명의 16자리 론패스 번호와 비밀번호도 해킹됐을 가능성이 크다고 설명했다. ●해킹 2월 추정… 지난 7일 인지 업계 1위인 현대캐피탈은 두달 동안 전체 고객 180만명의 23%인 42만명 이상의 정보가 새고 있던 사실을 까맣게 모르고 있었다. 해커들이 돈을 요구해 오면서 비로소 해킹 사실을 알게 됐다. 현대캐피탈 고객들의 정보가 해킹된 것은 지난 2월로 추정된다. 이 회사는 지난 7일 직원 4~5명이 해커로부터 고객 정보 샘플이 담긴 이메일을 받고 해킹 사실을 인지했다. 해커는 “현대캐피탈 고객정보를 해킹했다. 협상을 하자.”며 거래를 요구했다. 현대캐피탈은 1차 자체 조사에서 고객 42만명의 이름과 주민등록번호, 이메일, 휴대전화 번호 등이 유출된 것으로 파악했다. 현대캐피탈은 해커를 유인하기 위해 해커의 계좌로 요구한 금액의 일부를 송금했고, 경찰이 추적에 나섰지만 검거에는 실패했다. 노르웨이에 출장 중이던 정태영 사장은 급거 귀국했다. 지난 9일 추가 조사에서 일부 고객의 신용등급과 자체 대출상품인 프라임론패스 고객 1만 3000명의 16자리 론패스번호 및 비밀번호가 유출된 사실을 확인했다. 2008년 300만명의 저축은행 고객들의 개인 및 대출 정보 등이 해킹된 적이 있지만 신용등급 유출은 처음이다. 현대캐피탈은 고객정보 데이터베이스(DB)의 암호화 솔루션을 2008년 하반기 이후 업그레이드하지 않아 해킹에 속수무책으로 당했다는 비판도 받고 있다. ●현대차 할부 독점… 車 구입자 불안 현대캐피탈은 유출된 정보가 금융사고에 쓰일 개연성이 낮다고 주장한다. 황유노 부사장은 “신용등급은 금융거래를 할 때 금전적인 손해를 끼치는 정보가 아니고, 론패스번호 및 비밀번호도 타사 거래에 활용할 수 없다.”고 설명했다. 현대캐피탈은 론패스번호 등이 유출된 것으로 파악된 고객에게 패스 재발급을 권유하고 있다. 하지만 더 큰 문제는 피해가 눈덩이처럼 커질 수 있다는 점. 현대캐피탈과 현대카드는 현대자동차를 구입할 때 할부금융을 독점하고 있다. 특히 현대·기아차 등 120만여명에 달하는 자동차할부 고객들은 불안감을 감추지 못하고 있다. 일각에서는 자매회사인 현대카드의 고객정보 유출 가능성도 제기하고 있다. 현대카드 고객 960만명, 특히 이 가운데 현대카드를 통해 현대·기아자동차를 구입한 100만명의 정보도 위험에 노출됐다는 것이다. 사건을 수사 중인 서울지방경찰청 사이버범죄수사대는 해커가 필리핀과 브라질에 있는 서버를 통해 현대캐피탈 서버에 침투, 고객정보를 수집한 흔적을 찾아냈다. 경찰 관계자는 “전문 해커가 1명 이상 포함된 일당이 조직적으로 개입한 것으로 보인다.”면서 “국내뿐 아니라 국외에도 공범이 있을 개연성이 높다.”고 말했다. ●“제2금융권 정보보호 규정 강화 검토” 금융감독원은 11일 특별검사반을 현대캐피탈에 파견하고 정보기술(IT) 감독기준을 제대로 준수했는지, 정보보호를 위한 내부 통제가 지켜졌는지 등을 살펴볼 예정이다. 그러나 금융당국은 감독 부실 등에 따른 비난을 피할 수 없을 전망이다. 금감원 관계자는 “저축은행, 캐피탈 등 제2금융권은 은행 등과 달리 금융정보보호를 위한 전산시스템 구축에 소홀한 편”이라면서 “현대캐피탈 해킹사고를 조사한 뒤 관련 규정 강화를 검토하겠다.”고 덧붙였다. 오달란기자 dallan@seoul.co.kr

●스마트 리더, 핵카톤하라(김영한·김영안 지음, 북클래스 펴냄) 핵카톤은 해킹과 마라톤의 합성어다. 서로의 아이디어를 해킹하듯 교환하며 마라톤하듯 협동 프로젝트를 수행하는 것을 뜻한다. 구글을 위협하고 있는 페이스북에서 채택하는 기업 지배 문화다. 좋은 아이디어가 떠오르면 “우리 핵카톤하자!”고 말한 뒤 몇 시간이건 며칠이건 편안하게 의견을 교환하며 결론을 도출한다. 책은 자율성과 창의성을 중시하는 CEO 마크 저커버그의 리더십 핵심 등을 꼼꼼히 소개하고 있다. 1만 3800원. ●건축가가 말하는 건축가(부키 펴냄) 건축가 17명이 말하는 자신의 삶과 일, 즐거움, 뿌듯함 등을 담고 있다. ‘제1호 기적의 도서관’인 순천어린이도서관을 지은 정기용, 세계 최고층 건물인 말레이시아 KLCC 쌍둥이 빌딩을 완공한 김종훈 등 우리 세대 뛰어난 건축가들의 활약상이 우선 눈에 띈다. 하지만 우리가 피상적으로만 느꼈던 건축이라는 일이 펼쳐내고 있는 철학적 배경과 그 결과물들을 따라 읽는 재미가 쏠쏠하다. 피디, 기자, 의사, 디자이너, 요리사, 만화가 등에 이은 부키의 전문직 리포트 시리즈 중 하나다. 9500원. ●세계사 속의 미스터리(기류 미사오 지음, 박은희 옮김, 삼양미디어 펴냄) 역사를 흥밋거리로만 접근하는 것은 옳지 않다. 그렇다고 학문의 틀 안에만 고정시켜 놓는 것도 너무 거리를 멀게 만든다. 투탕카멘 묘, 히틀러, 네로, 마릴린 먼로, 클레오파트라를 비롯해 소설 속 모티프를 준 ‘철가면’ 등 고대와 현대를 아우르며 역사 인물을 둘러싼 역사적 사실과 그 빈틈 사이를 들여다보고 있다. 제목에는 ‘미스터리’라는 호기심 가득한 표현을 붙였지만, 실은 학자들의 오랜 연구 과제이자 대중들의 관심이 절묘히 만나는 지점들이다. 1만 5000원. ●웰빙 파인더(톰 래스·짐 하터 지음, 성기홍 옮김, 위너스북 펴냄) 어떤 숭고한 이념·철학도, 신성의 가치를 믿는 종교도, 복잡한 숫자 속의 경제·경영학도 모두 개인과 집단의 행복 추구로 환원된다. 책은 소득과 건강 외에도 우리의 행복을 결정짓는 요소들을 밝히고 있다. 내가 하고 있는 일을 즐기고 좋아하는지, 사랑하는 사람들이 내 곁에 있는지, 내가 속한 지역과 조직에 참여하고 있는지 등의 중요성을 따진다. 어느 것 하나에 쏠리지 않고 조화와 균형을 이룰 때 삶이 풍요로울 수 있음을 역설하고 있다. 미 갤럽연구소가 작성한 행복 보고서다. 1만 4000원.

현대캐피탈의 수십만 고객 정보가 해킹당하는 일이 벌어졌다. 현대캐피탈은 8일 “신원 미상의 해커가 회사의 고객정보를 해킹했고, 이를 외부에 유출하지 않는 대가로 금전을 요구하는 협박 메일을 받았다.”면서 “자체 조사 결과 일부 고객 정보가 해킹된 정황을 발견했다.”고 밝혔다. 현대캐피탈에 따르면 현재까지 전체 200만명의 고객 중 42만여명의 정보가 해킹된 것으로 파악되고 있지만 이 가운데 금융거래를 가능하게 하는 정보는 없는 것으로 알려졌다. 현대캐피탈의 자체 조사 결과 유출된 정보는 고객의 이름과 주소인 것으로 보이며, 휴대전화 번호나 이메일 주소까지 유출됐는지는 아직 드러나지 않았다. 현대캐피탈은 고객들에게 이메일을 통해 홈페이지에서 비밀번호를 변경하고 현대캐피탈 이름으로 상세 고객정보를 묻는 전화를 받으면 주의하라고 당부했다. 현대캐피탈은 현재 경찰에 수사를 의뢰한 상태다. 오달란기자 dallan@seoul.co.kr

경찰은 지난달 3~5일 청와대·국방부 등 주요 웹사이트 40곳을 노린 ‘분산서비스거부’(디도스:DDos) 공격을 2년 전 ‘7·7 디도스 대란’을 일으킨 동일범의 소행으로 확인했다. 경찰은 북한 체신성(통신관리 및 기술개발을 담당하는 부서)이 저질렀을 가능성에 무게를 두고 있다. 경찰청 사이버테러대응센터는 6일 “악성코드 유포 사이트와 국내 감염 좀비 PC, 외국 공격명령 서버를 정밀 분석한 결과 공격 체계와 방식, 악성코드 설계방식과 통신방식이 2009년 7월 7일 발생한 디도스 공격과 일치한다.”고 밝혔다. 2009년 7월 7∼9일 61개국에서 435대의 서버를 이용해 한국과 미국 주요기관 35곳의 사이트를 해킹한 ‘7·7 디도스 공격’의 공격 근원지는 중국에 있는 북한 체신성으로 확인됐다. 반면 이번 디도스 공격의 근원지는 북한 체신성이 아니라 중국 통신사이지만, 7·7 디도스 공격에서 활용된 외국 공격 명령 서버의 일부가 같은 것으로 나타났다. 때문에 이번 공격도 북한 소행으로 볼 수 있다는 것이 경찰의 설명이다. 경찰청 관계자는 “전 세계 IP 주소는 42억개 이상이다. 공개되지 않은 ‘7·7 디도스 공격’의 외국 공격 명령 서버와 동일한 IP를 사용한 것은 동일범이 아니면 불가능하다.”고 밝혔다. 하지만 이 관계자는 “이번 디도스 공격의 범행 주체에 대한 정확한 실체를 밝혀내기는 어렵다.”고 덧붙였다. 경찰은 보다 명확한 증거를 확보하기 위해 중국 공안 등과 공조 수사에 나설 계획이다. 김동현기자 moses@seoul.co.kr

스마트폰 메신저인 카카오톡의 안드로이드 특정 버전에서 ‘스니핑’(sniffing·네트워크상의 정보를 가로채는 행위)을 통해 문자 내용이 해킹되는 보안 취약점이 드러났다. 대량의 트래픽을 유발하는 디도스(DDoS·분산서비스거부) 공격까지 가능한 것으로 나타났다. 카카오톡은 해당 안드로이드용 버전에 대한 서비스를 중단했다. 네트워크 보안솔루션업체인 윈스테크넷은 4일 “카카오톡 안드로이드용 1.3.4 버전에서 한시적으로 데이터 패킷을 암호화하지 못하는 취약점이 발견됐다.”며 “해당 버전의 카카오톡 사용자들에 대해 보안 주의를 권고했다.”고 밝혔다. 윈스테크넷에 따르면 안드로이드용 카카오톡 1.3.4 버전은 무선 인터넷망(Wi-Fi) 환경에서 사용할 때 초기 부팅에서 특정 시간까지 암호화가 되지 않은 상태로 데이터를 전송하고 있다. 카카오톡은 1.3.4 버전은 전체 사용자의 1%에 불과하다고 해명했다. 안드로이드용 카카오톡의 경우 스니핑 기법으로 문자메시지가 해킹될 수 있다. 또 해킹된 데이터를 조작해 불특정 다수의 스마트폰 사용자에게 특정 메시지를 삽입해 대량으로 살포하는 ‘메일 폭탄’과 카카오톡 서버를 대상으로 대량의 트래픽을 전송하는 디도스 공격에 악용될 수 있다. 카카오톡의 스니핑 등 보안 취약점은 이번에 처음 제기된 문제가 아니다. 서울신문은 지난 3월 23일 자 지면(1·4·5면)을 통해 보안전문업체의 테스트 결과 카카오톡 안드로이드 버전에서 문자메시지 등 대화 내용을 해킹하는 것이 가능했다고 보도했다. 당시 네이버톡과 다음 마이피플의 메신저 서비스는 해킹에 안전한 것으로 나타났다. 손동식 윈스테크넷 이사는 “카카오톡이 자사 서비스의 보안 취약점에 대해 전혀 인식하지 못하고 있었다.”며 “1.3.4 버전뿐 아니라 현재 버전인 2.4.1에 대해 해킹 취약점을 추가로 분석할 계획”이라고 말했다. 윈스테크넷은 지난달 30일 카카오톡에 분석 내용을 전달했고, 카카오톡은 해당 안드로이드 버전 등 일부 버전에 대해 서비스 중단 조치를 취했다. 안동환기자 ipsofacto@seoul.co.kr

“대중들의 인식이 가장 큰 문제였다. 하지만 우리는 원격근무를 위한 장비지원 프로그램에 대한 혜택여부를 인원 수로 따지지 않는다. 단 1명이 원격근무를 해도 불편함이 없도록 편의시설 등을 얼마나 지원하고 있느냐에 중점을 두고 있다.” 미국 국방부의 CAP(Computer Accommodations Program) 책임자인 디나 코언의 발언이다. 우리나라처럼 미국에서도 원격근무에 대한 부정적 인식이 있으나 원격근무 정책의 성공여부를 양적인 측면에서 찾지 않는 점은 우리와 달랐다. 지난달 샌디에이고에서 열린 제26회 ‘장애인을 위한 보조공학 국제박람회(CSUN)’에서 만난 그녀는 내후년 정년퇴직을 앞뒀지만 자신의 일에 열정적이었다. 다음은 일문일답. ●국방부 예산 매년 900만불 지출 →프로그램은 언제 시작됐으며 부처간 협조는 잘 이뤄지는가. -1990년 국방부 내 장애인 고용 지원에서 출발했다. 시작은 조그마했지만 각 부처, 공공기관별로 양해각서를 맺고 지원 대상을 늘려 나갔다. 예산은 국방부에서 현재 매년 900만 달러를 지출한다. →지금까지 CAP 프로그램의 수혜인원은. -우리는 인원 수로 따지지 않는다. 1명의 원격근무를 지원하는 데 여러 개의 편의장비와 지원인원이 필요할 수 있기 때문이다. 지금까지 약 10만여개(1명당 중복가능)의 편의장비가 근로자들에게 지원됐다. →추진과정에서 장애물도 많았을 텐데. -대중들의 인식이 가장 큰 문제였다. 또 한 가지는 기술이 계속 진화한다는 점이다. 누구나 자유롭게 원격근무 시스템에 접속하고 일할 수 있도록 하는 보편적 설계(UI)가 중요하다. 그러나 기술 진보 속도를 따라잡을 수가 없기 때문에 항상 ‘접근성의 갭(차이)’이 생긴다. 보조공학기술이 이를 보완해 장애인이나 상이군인, 노령자 등 누구나 일할 수 있도록 지원해야 한다. →부가적으로 기업의 인식도 바뀌었는지. -우리가 도와 달라고 요청했다. 보잉사 등 대기업 인사담당자 순회교육도 했다. 자연히 이 기업들의 상이군인, 장애인 고용도 늘어나는 추세다. 우린 목표치를 따로 갖고 있거나 의무사항으로 규제하지 않는다. 다만 오바마 정부가 지난해 7월 26일 장애인법(ADA) 20주년 기념식에서 향후 5년간 10만명의 장애인을 고용하겠다고 약속할 정도로 관심과 의지를 갖고 있다. ●정보유출 대비 USB 사용 금지 →해킹이나 정보유출에 대비한 보안문제 해결은 어떻게 하고 있나. -우리는 3중에 걸쳐 보안을 확인한다. 첫번째로 전화번호, VPN(가상사설망)을 통해 이용자가 단독으로 서버에 접속한다. 두 번째로 방화벽이 보호해 준다. 세 번째로는 개인의 컴퓨터 접속 카드를 따로 부여받는다. 정보유출을 막기 위해 USB도 쓰지 못한다. 또 공공기관별로 조금씩 다른 보안체계를 갖고 있는데 보안이 특히 중요한 국방부는 얼굴과 지문인식까지 동원한다. →한국의 스마트워크는 육아지원을 위한 유연근무제, 환경친화적 근무에 치우친 감이 있다. 취약계층의 근로 지원은 아직 미약한 편인데. -저출산 문제나 가족의 삶을 배려한 근무 배려도 매우 좋은 생각이자 출발점이다. 중요한 것은 ‘좋은 사례(good example)’를 만드는 것이다. 텔레워크가 충분히 생산성이 있고 돈도 아낄 수 있고 무엇보다 성과가 있다는 걸 보여줘야 한다. 국방부의 카렌 사례가 대표적이다. 2년 전까지 요양원에 있었고 두 팔을 쓰지 못했지만 지금은 마우스 스틱을 이용해 성공적으로 일하고 있다. 한국 역시 그런 성공사례를 만드는 게 관건이다. 글 사진 이재연기자 oscal@seoul.co.kr

한국교육방송공사(EBS) 수능 강의사이트를 마비시킨 ‘분산서비스거부(DDoS·디도스)’ 공격은 고교 3학년 수험생이 호기심에 저지른 것으로 드러났다. 경찰청 사이버테러대응센터는 지난 20일부터 이틀에 걸쳐 수능강의 사이트(www.ebsi.co.kr)를 디도스 공격한 고교생 김모(17)군을 정보통신망 이용촉진 및 정보보호 등에 관한 법률위반 등의 혐의로 입건했다고 28일 밝혔다. 조사 결과 평소 온라인게임 해킹 등에 관심이 많았던 김 군은 몇달 전 담임교사에게 꾸지람을 듣고 화가 나 학교 홈페이지를 디도스 공격으로 마비시킨 다음 대형 사이트 보안에 대한 호기심으로 범행을 저질렀다. 백민경기자 white@seoul.co.kr

지난해 인터넷 이용자 10명 중 1.5명꼴로 해킹 피해를, 3.4명은 바이러스 피해를 경험한 것으로 나타났다. 또 인터넷 이용자의 90.7%가 스마트폰 보안 문제가 심각한 것으로 인식하고 있으며, 84.9%는 ‘소셜네트워크서비스(SNS)’의 보안 피해도 우려했다. 24일 방송통신위원회와 한국인터넷진흥원(KISA)의 ‘2010년 정보보호실태 및 정보보호 지수’ 조사에 따르면 지난해 해킹 피해를 본 인터넷 이용자는 14.0%로 집계됐다. 해킹·바이러스, 스파이웨어 등의 연간 피해 횟수는 평균 6.9회로 나타났다. 개인정보 침해는 연간 평균 4.77회로 17.1%가 경험했고, 이 가운데 사업자 관리 소홀로 인한 개인정보 유출이 전체의 67.3%에 달했다. 그러나 침해사고 피해를 경험한 인터넷 이용자 중 신고한 사용자는 해킹 48.3%, 애드웨어·스파이웨어 22.7%, 웜·바이러스 22.6%에 그쳐 여전히 침해 사고에 대한 인식이 낮은 수준에 머물고 있다. 보안 침해 사고로 인한 피해 기업도 적지 않았다. 전체 조사 기업의 12.6%가 인터넷 침해 사고를 경험했고, 직원 250명 이상의 기업은 50명 미만의 소기업보다 4~5배 많은 해킹, 디도스(DDoS·분산서비스거부) 공격 피해를 당한 것으로 나타났다. 기업의 보안 피해액도 2009년 대비 26.2%가 늘어난 것으로 조사됐다. 국내 기업의 85.5%가 사내 정보보호를 전담하는 조직이 없으며 74.2%가 기업 내 정보보호를 위한 대책을 수립하지 않고 있다. 지난해 국가 정보보호지수는 80.5점으로 전년 73.9점보다 6.6점이 상승해 다소 개선된 것으로 나타났다. 정보보호 실태조사는 전국 12~59세 인터넷 이용자 5422명에 대한 온라인 조사와 종사자 5인 이상 6529개 기업에 대한 방문 조사로 이뤄졌다. 안동환기자 ipsofacto@seoul.co.kr

지난 2월 스마트폰을 장만한 윤모(33·여)씨는 요즘 친구들과 모바일 인터넷전화(mVoIP)와 카카오톡으로 대화하는 재미에 푹 빠졌다. 요금이 무료인 데다가 무선인터넷망인 와이파이존에서는 언제 어디서나 통신이 가능하기 때문이다. 친구의 험담에서부터 가끔은 돈거래도 한다. 윤씨는 단 한번도 자신의 통화를 누군가 엿들을 수 있다고 생각하지 않았다. 하지만 스마트폰 인터넷 통화나 문자 전송도 절대 안심하면 안 된다. 무료 통화 및 메시지 전송 기능으로 국내 1000만 스마트폰 사용자에게 빠르게 확산 중인 mVoIP와 ‘스마트폰 메신저’가 도청 및 스니핑(sniffing)에 무방비로 노출된 것으로 드러났다. 서울신문이 지난달 1일부터 한달 동안 국내 주요 mVoIP 서비스 6개와 카카오톡 등 메신저 4개에 대한 와이파이망 등 무선랜 환경에서의 도청·스니핑 테스트를 한 결과 국내 기술로 개발된 mVoIP는 모두 수·발신 대화 내용이 도청된 것으로 22일 확인됐다. 국내외 930만명의 가입자를 둔 카카오톡은 안드로이드 애플리케이션에서 가입자 간 문자 채팅 내용이 스니핑됐다. 도청·스니핑 검증은 국내 모바일 보안업체인 쉬프트웍스가 수행했고, 한달에 세번 반복 테스트했다. 반면 해외 mVoIP인 스카이프와 바이버는 독자적인 프로토콜(통신규약)로 도청 및 스니핑을 차단했다. 국내 mVoIP인 다음 마이피플, 수다폰, 올리브폰, 터치링은 국제 표준 프로토콜을 쓰지만 데이터 패킷을 암호화하지 않아 양쪽의 통화 내용을 도청할 수 있었다. 보안 전문가들은 국내 mVoIP들이 품질보다 가입자 경쟁에만 치중하고 있다고 지적한다. 약관에도 무선 통화의 보안 취약성에 대한 기본적인 안내나 경고가 없다. 취재팀의 보안 취약성 제기에 일부 업체는 보안 패치나 암호화 기술을 곧바로 적용하겠다고 응답했다. 보안을 강화할 수 있는데도 하지 않은 것이다. 도청·스니핑 피해는 고스란히 소비자의 몫이어서 자칫 국내 mVoIP가 900만명(중복 포함)에 달하는 이용자들로부터 외면받을 수 있다는 우려도 나온다. 이형우 한신대 컴퓨터공학부 교수는 “국내 mVoIP가 급성장하고 있는 가운데 기존의 디도스(DDoS·분산서비스 거부) 공격 등 인터넷망에 대한 테러뿐 아니라 mVoIP 도청, 스마트폰 개인정보 유출, 좀비폰 등장 등 모바일 공격이 본격화될 것”이라고 경고했다. 안동환기자 ipsofacto@seoul.co.kr [용어 클릭] ●모바일인터넷전화(mVoIP) 무선랜(와이파이) 등 무선 인터넷망을 통해 인터넷전화(VoIP)를 할 수 있는 기술. 애플리케이션을 내려받은 스마트폰 사용자끼리 무료 통화가 가능하다. 음성통화뿐 아니라 메신저 기능이 통합되면서 무료 문자 전송도 가능하다. ●스니핑(sniffing) ‘냄새를 맡다.’는 뜻. 일종의 해킹 기법으로 네트워크상에 오가는 정보를 중간에서 훔치는 행위다. 메신저·무선 패킷·와이파이 스니핑 등으로 발전하고 있다.

‘모바일인터넷전화’(mVoIP)와 ‘스마트폰 메신저’에 대한 도청·스니핑 우려가 현실화되면서 내 손안의 스마트폰 보안이 관심사가 되고 있다. 악성코드에 감염되면 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등 광범위한 피해를 입을 수 있기 때문이다. ●집에선 ‘WPA2’ 기술 적용해야 스마트폰 보안의 제1원칙은 정품을 그대로 사용하는 것이다. ‘탈옥’ 등 자의적인 해킹을 통해 설정을 마음대로 변경한 단말기는 외부 공격에 노출된다. 조금이라도 의심이 가는 애플리케이션(응용 프로그램·앱)은 내려받지 않는 게 좋다. 해커들은 호기심을 유발하는 앱에 악성코드를 심어놓는 경우가 많다. 신뢰할 수 없는 사이트의 방문도 삼가고, 보안이 취약한 중소형 쇼핑몰에서의 거래도 주의해야 한다. 스마트폰용 백신을 설치하면 좀비폰의 공포를 줄일 수 있다. 해커들의 해킹 능력이 진화하는 만큼 백신의 업데이트도 중요하다. mVoIP를 업무에 활용하는 기업들은 무선랜을 최상위급 암호화 기술인 ‘WPA2’로 바꾸는 게 안전하다. 가정에서는 보안 설정이 없는 무선랜에서는 인터넷뱅킹을 하지 않는 게 좋다. 스마트폰의 블루투스(무선전송) 기능은 사용할 때만 켜 둬야 한다. 의심스러운 메일은 첨부파일을 열지 않는 편이 낫다. ●‘블루투스’는 사용때만 켜 둬야 방송통신위원회와 한국인터넷진흥원(KISA)은 올해 말을 목표로 사용자 본인이 스마트폰 보안을 점검하는 자가진단 서비스 개발에 착수했다. 특히 상대적으로 보안 우려가 큰 안드로이드 운영체제(OS)용으로 서비스를 내놓는다는 계획이다. 전길수 KISA 악성코드 분석팀장은 “자가진단 서비스를 통해 수출 주력품목인 안드로이드 OS 스마트폰의 보안을 강화할 것”이라고 말했다. 이두걸기자 douzirl@seoul.co.kr

모바일 인터넷전화(mVoIP)와 스마트폰 메신저에 대한 도청·스니핑 테스트를 한 인프라웨어 자회사 쉬프트웍스 홍민표(33) 대표는 국내에서 손꼽히는 스마트폰 보안 전문가다. ‘세계 3대 해커’ 중 한명으로 거론될 만큼 보안 분야에 매진했다. 홍 대표는 22일 “서울신문과의 조사 결과 국내 mVoIP 업체들의 보안 수준은 해킹 지식만 있다면 충분히 공격할 수 있는 상태”라고 평가했다. 해외 mVoIP나 스마트폰 메신저 업체에 비해 국내 업계 규모가 영세해 보안 부문에 대한 투자가 쉽지 않은 상황이기 때문이다. 홍 대표는 업체들이 자체적인 통신 규약(프로토콜)을 사용할 것을 조언했다. 그는 “일반적으로 잘 알려진 프로토콜은 보안에 취약할 수 밖에 없다.”면서 “통신 서비스를 목적으로 하는 만큼, 자신들이 개발한 프로토콜을 활용하면 보안 수준이 크게 높아질 수 있다.”고 설명했다. 그는 옛 정보통신부 등 전문 부처의 부활 필요성도 제기했다. “보안 정책에 집중하려면 현재의 위원회보다는 예전 정통부와 같은 전문 기관이 절실히 필요하다.”고 말했다. 이두걸기자 douzirl@seoul.co.kr

이달 말 국내 스마트폰 가입자가 1000만명을 돌파할 것으로 보이는 가운데 국내 ‘모바일인터넷전화’(mVoIP)와 ‘스마트폰 메신저’ 사용자도 급증하고 있다. SK경제경영연구소는 지난해 11월 스마트폰 가입자의 28.1%가 mVoIP를 이용하는 것으로 파악했다. 서울신문 취재팀이 추산한 국내 mVoIP와 메신저 사용자는 900만명(중복 포함)대다. 하지만 ‘스마트사이어티’(Smartciety·스마트+소사이어티)를 구현하기에는 현재의 스마트 서비스 보안 수준은 낙제점이라는 게 전문가들의 지적이다. ●음성통화 ‘데이터 패킷’ 가로채 지난 4일 서울 대치동 쉬프트웍스 본사. mVoIP와 스마트폰 메신저에 대한 3차 도청·스니핑 테스트가 진행됐다. 무선랜 환경은 커피숍 등 일반적인 공공 무선망과 동일하게 ‘WEP 키’로 암호화됐다. 장비는 해킹 툴이 깔린 노트북 1대. 이날 사용된 해킹 툴은 구글에서 쉽게 다운받을 수 있는 프로그램이다. 이대로 쉬프트웍스 연구원이 무선 공유기를 찾아 접속 암호를 추출하는 데 걸린 시간은 10여분. 음성 통화의 ‘데이터 패킷’(packet)을 가로채는 ‘ARP 스푸핑’(spoofing) 준비가 끝나자 도청은 일사천리로 진행됐다. ARP 스푸핑은 온라인 계정 등을 훔치는 데 쓰이는 일반적인 해킹 기법이다. mVoIP 도청 원리는 단순하다. 코덱에 의해 디지털 데이터로 변환된 음성 통화는 ‘패킷’으로 불리는 정보 단위로 전송된다. 도청은 AP를 통과하는 패킷을 추출한 후 재조합해 청취한다. mVoIP 통화가 시작되자 이 연구원의 노트북에서 패킷 추출이 진행됐다. 가로챈 패킷은 해킹 프로그램을 통해 mp3 파일로 만들어졌다. 통화에서 도청까지 소요된 시간은 약 5분. mp3 파일을 클릭하니 노트북 스피커에서 통화 내용이 고스란히 흘러나왔다. 스카이프와 바이버 등 해외 mVoIP와 달리 다음 마이피플, 수다폰, 올리브폰, 터치링 등 국내 기술의 mVoIP는 모두 ‘양방향 도청’이 가능했다. 대중화된 통화 애플리케이션(앱)이지만 프로토콜 혹은 패킷 암호화 등 기본적인 보안 조치가 돼 있지 않았기 때문이다. 다음 측은 “현재 베타버전인 마이피플의 mVoIP 서비스에 이달 중 암호 알고리즘 기술을 적용해 도청을 차단할 방침”이라며 “안드로이드 버전은 이미 보안 패치 작업이 끝나 보안이 강화됐다.”고 말했다. ●카카오톡 “스니핑 취약점 대책 마련” 스마트폰 메신저의 스니핑은 도청과 과정이 비슷하다. 기자가 카카오톡으로 보낸 ‘056-12-××××××’ 은행 계좌번호와 ‘테스트 중입니다.’라는 문자 내용은 스니핑을 하자 노트북 화면에 그대로 떴다. 카카오톡은 안드로이드 운영체제(OS)에서 가입자끼리 주고받는 문자 내용을 훔쳐볼 수 있는 취약점이 드러났다. 아이폰용 카카오톡의 경우 ‘SSL 프로토콜’이 구현돼 스니핑이 되지 않았다. 카카오톡은 피크 때엔 초당 4000건이 넘는 메시지가 전송되는 국내 최대 서비스이다. 이확영 카카오톡 기술담당이사(CTO)는 “아이폰 및 안드로이드 앱 모두 암호화된 프로토콜을 사용하고 있다.”며 “제기된 스니핑 취약점에 대해 내부적으로 분석해 보안 대책을 마련하겠다.”고 말했다. NHN의 네이버톡과 미국 서비스인 왓츠앱은 스니핑이 불가능했다. 마이피플의 메신저 서비스의 경우 암호화된 것으로 확인됐다. 보안 전문가들은 공공 무선존의 경우 무선 LAN 안테나를 탑재한 차량으로 이동하며 보안이 취약한 AP를 탐색하면 네트워크에 흘러다니는 무선데이터를 무차별적으로 수집할 수 있다고 우려한다. 안동환기자 ipsofacto@seoul.co.kr

영화배우 제시카 알바, 가수 크리스티나 아길레라 등 미국의 대표적인 여성 톱스타 50명이 개인정보 해킹 파문에 휩싸여 사생활이 유출될 위기에 놓였다. 미국 온라인 연예매체 티엠지(TMZ)에 따르면 할리우드 톱스타들의 노트북과 휴대전화기 등을 해킹해 개인적인 사진과 영상 등을 빼내온 전문조직의 정체가 최근 드러났다. 이달 초 영화배우이자 가수인 바네사 허진스의 개인적인 누드사진이 인터넷에 유출되면서 베일에 싸였던 해킹 전문조직의 충격적인 범죄행각이 드러나기 시작했다. 문제의 조직이 노린 스타들은 50명의 여성스타. 스칼렛 요한슨, 제시카 알바, 크리스티나 아길레라 등 쟁쟁한 톱스타들이 포함됐고, 심지어 미성년자인 마일리 사이러스, 데미 로바토, 셀레나 고메즈 등도 피해를 당한 것으로 드러나 파문이 거세지고 있다. 현재 미국의 연방수사국(FBI)은 문제의 해킹조직의 소재를 파악 중이다. 스타들에게 씻을 수 없는 상처를 줄 수 있는 사생활이나 누드사진들의 유포를 사전에 막기 위해서 수사를 서두르고 있다. 한편 이미 누드사진이 유출돼 곤욕을 치르고 있는 허진스는 지난 16일(현지시간)부터 캘리포니아주 센추리시티에서 FBI와 만나 수사에 협조해 온 것으로 전해졌다. 사진설명=제시카 알바, 바네사 허진스, 마일리 사이러스(왼쪽부터) 서울신문 나우뉴스 강경윤기자 트위터(http://twitter.com/newsluv)

상하이 ‘마타하리’ 덩신밍(33)의 남편 J씨의 이메일을 ‘누군가’가 해킹해, J씨를 사칭하고 있다는 주장이 제기됐다. J씨는 10일 기자에게 이메일을 보내 “누군가 (이번 사태를) 조작·은폐하려는 것 같다. 내가 작성하지도 않은 이메일 내용이 몇몇 언론사에 전달된 것을 뒤늦게 알았다.”면서 “내 메일 계정을 도용한 IP주소를 추적해 달라.”고 요청했다. 그는 “나는 그런 메일을 보낸 사실이 없고, 해당 기자들을 알지도 못한다.”고 덧붙였다. J씨가 허위라고 밝힌 이메일 내용은 ‘국내 정·관계 인사 200여명의 연락처 자료는 내 아내의 컴퓨터에 들어 있던 게 아니다. 법무부 감찰관실에 자료를 보낼 때 김모(상하이 총영사관) 영사의 도움을 받았다는데, 김 영사가 J 부총영사의 지시를 받고 그 문건을 나 몰래 보냈다.’는 게 골자다. 법무부는 공식 논평을 통해 “정부·여권 인사 200여명의 연락처를 비롯해 이번 사태와 관련된 자료들은 감찰관실에서 지난해 12월 말 J씨와의 전화통화 후 이메일을 통해 그에게 직접 전달 받은 것”이라며 일부 언론사에 뿌려진 J씨의 도용 메일이 허구임을 뒷받침했다. 김승훈기자 hunnam@seoul.co.kr

방송통신위원회는 8일 신원미상의 해커가 악성코드로 공격하는 사례가 발생했다고 밝혔다. 　방통위는 이 해커가 하드디스크 삭제용 악성코드를 정상 보안패치 파일로 위장, 기관과 업체 내부의 패치관리시스템(PMS)을 통해 동 시스템에 연결된 모든 PC에 자동으로 유포하는 새로운 공격 방법을 사용하고 있다고 설명했다. 방통위는 각 기관 및 업체에 각종 패치관리서버, 백신서버 등의 관리자 계정 및 비밀번호를 변경하거나 비인가자 접속 여부와 악성코드 설치 유무를 점검하고, 해킹에 대비한 모니터링을 철저히 할 것을 당부했다. 　또 해커가 새로운 공격 방법으로 개인용 PC를 해킹해 좀비PC를 만들거나 하드디스크를 파괴할 수 있으므로 인터넷 사용자들은 정보보안 수칙을 지켜달라고 강조했다. 방통위 관계자는 “새로운 변종 악성코드가 출현할 가능성을 배제하기 어렵다.”며 “신속하게 전용백신으로 치료해달라.”고 말했다. 　방통위는 현재 보호나라(www.boho.or.kr)와 안철수연구소(www.ahnlab.com) 등을 통해 새로운 악성코드 전용백신을 배포하고 있다고 밝혔다. 　한편 방통위는 지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스) 공격으로 하드디스크 손상을입은 피해신고가 8일 오후 3시 현재 모두 522건으로 늘었다고 밝혔다. 　이어 전용백신으로 위장한 악성코드가 유포된 사례가 발견되기도 했고, 보호나라 홈페이지를 사칭한 피싱 사이트가 개설돼 이용자들에게 결제를 유도한 경우가 있었다며 해당 사이트를 즉각 삭제했다고 덧붙였다. 맹수열기자 guns@seoul.co.kr

지난 4일부터 시작된 ‘분산서비스거부’(DDoS 디도스)공격이 큰 피해없이 마무리 된 가운데 경찰청은 8일 이른바 ‘좀비 스마트폰’의 위험성을 경고하면서 예방법을 소개했다. 　경찰청은 공식 블로그인 ‘폴인러브’를 통해 컴퓨터는 물론 스마트폰도 악성코드에 감염돼 개인정보 유출과 데이터 조작, 기기 오작동, 사생활 침해 등에 노출될 수 있다고 밝혔다. 경찰청은 “특히 악성코드를 통한 스마트폰 뱅킹 해킹은 물론 문자 메시지 가로채기를 통한 소액결재 해킹도 가능하다는 것이 전문가들의 의견이며 실제로 가능하다.”며 “심한 경우 스마트폰이 해커들에 의해 좀비 스마트폰으로 악용돼 디도스 공격의 또 다른 범인이 될 수도 있다.”고 경고했다. 　현재 스마트폰의 인터넷 매개체인 와이파이 등 무선랜은 보안 설정을 하지 않을 경우 누구든 접속이 가능하기 때문에 해킹하거나 악성코드를 침투시키기 쉽다는 것이다. 경찰청은 스마트폰 해킹을 막기 위해서는 사용자의 주의가 필요하다며 다음과 같은 예방법을 소개했다. 　●정품을 그대로 사용하자. 　아이폰과 안드로이드폰 사용자들은 이른바 ‘탈옥’, ‘루팅’이라는 자의적이고 임의적인 해킹을 통해 단말기에서 제공하는 응용프로그램 등 설정사항을 마음대로 변경하고 있다. 하지만 이런 해킹은 단말기에 보안상 취약점을 만들 수 있기 때문에 정품을 사용하는 것이 중요하다. 　●조금이라도 의심이 가는 응용프로그램(애플리케이션)은 내려받지 말자.　 　●신뢰할 수 없는 사이트의 방문을 되도록 줄이자. 　●스마트폰용 백신(V3, 알약 등)을 반드시 설치하자. 　백신 설치와 함께 중요한 것은 수시 업데이트이다. 해커들의 해킹능력과 기술이 업데이트되는 만큼 백신의 업데이트도 중요하다. 　●보안설정이 된 무선랜을 사용하자. 　가정에서 무선랜을 이용하고 있다면 최상위급 암호화 보안기술인 WPA2를 적용하고, 어쩔 수 없이 외부에서 보안설정이 없는 무선랜을 사용할 때는 인터넷뱅킹 등의 서비스는 이용하지 말자. 　 　●무선 인터페이스(블루트스기능)는 사용할 때만 켜두자. 　 　●보안이 취약할 가능성이 높은 중소형 쇼핑몰에서의 거래에도 주의를 귀울여야 한다. 　 　●멀티미디어 메시지(MMS)나 e메일의 첨부파일도 주의하자. 　특히 발신인이 불분명하고 경품에 당첨되었다고 하거나, 친한 척하는 의심스로운 메일은 특히 주의해야 한다. 　 　●개인 무선랜에 보안설정을 해 자신의 무선랜이 불법행위에 악용되지 않게 주의하자. 　●스마트폰 사용자에게 이미 널리 애용중인 P2P를 통한 정보공유나 불법 다운로드를 하지 말자. 맹수열기자 guns@seoul.co.kr