스마트폰으로 기업의 무선네트워크를 해킹, 내부 자료를 빼내갈 수 있다는 사실이 처음 입증됐다. 스마트폰이 해킹 대상이 아닌 해킹 도구로도 활용될 수 있다는 것으로 정부나 군부대, 기업 등의 스마트폰 보안 대책 수립에 비상이 걸렸다.
보안업체 터보테크는 16일 구글 등 검색사이트에서 쉽게 구한 WEP(Wired Equivalent Privacy) 키 값을 알아내는 무선랜 해킹툴인 `에어크랙` `웹크랙` 등을 이용해 기업 무선 네트워크 암호를 탈취한 후 스마트폰으로 이를 이용해 기업 내부 데이터를 해킹하는 시연에 성공했다. 터보테크는 탈옥한 아이폰 · 루팅한 안드로이드폰 등의 스마트폰을 해킹 도구로 활용했다.(관련기사 3면)
기업을 방문한 외부인이 스마트폰을 소지하고 사무실을 방문, 무선랜을 해킹해 기업 내부 정보를 해킹할 수 있다는 사례가 처음 입증된 것으로, 모바일 오피스, 스마트오피스를 구현하는 기업과 정부기관의 대비책이 절실해졌다.
권석철 터보테크 사업총괄 사장은 “아직 스마트폰에서 사용하는 무선랜 네트워크 카드가 지원되지 않아 PC를 사용해 WEP 값을 알아내는 과정을 거쳐야 하지만 전문 해커가 마음만 먹으면 스마트폰만으로 무선랜 해킹이 가능하다”며 “스마트폰은 일반 PC와 동일하기 때문에 PC에서 해킹이 된다면 스마트폰으로도 해킹할 수 있다”고 말했다.
또 해커가 가짜 무선공유기를 이용해 특정지역에서 무선액세스포인트(AP)에 접속한 불특정 가입자의 스마트폰을 해킹할 수 있다는 사실도 증명됐다. 터보테크는 신호세기가 강한 가짜 무선공유기(AP)를 양재역 부근에 설치한 후 스마트폰 사용자들이 가짜 AP에 접속하는지를 시연해본 결과 다수 사용자들이 무심코 가짜 AP에 접속한 것으로 파악됐다. 가짜 무선AP에 접속하게 되면 노트북을 이용해 사용자의 데이터를 실시간으로 분석, 확인할 수 있다. 대부분의 스마트폰 사용자들은 AP이용 시 신뢰할 만한 곳인지 검증하지 않고, 무작정 AP에 접속, 해킹 대상이 됐다.
권 사장은 “스마트폰 사용자들은 신뢰할 수 있는 AP인지 확인한 후 접속하고 스마트폰에서는 개인정보 입력 등 민감한 데이터 전송은 자제하는 것이 좋다”며 “스마트폰 역시 PC와 비슷한 보안 장치가 필요하다는 것을 명심하고 보안 등급이 낮은 WEP 대신 WPA2 등 강력한 보안인증을 사용해 무선네트워크를 보호해야 한다”고 지적했다.
용어설명
탈옥:별도의 툴을 이용해 아이폰이 보안 설정을 변경, 애플 정책과 관계없이 사용 의도대로 아이폰 기능을 활용하는 행위.
루팅:CPU 속도를 높이거나 외장 메모리에 애플리케이션 설치가 가능토록 스마트폰 기종별로 설정 기준을 바꾸는 행위.
장윤정기자 linda@etnews.co.kr
터보테크 시연서 `기업 무선랜` 해킹
관련 통계자료 다운로드 스마트폰 이용 기업 무선랜 해킹 개념도