“전화번호만으로 당신의 이름·주소·직업을 알아낼 수 있다. 이메일이나 당신이 자주 가는 곳, 심지어 현재 당신의 위치도 예외가 아니다.”

세계적으로 큰 인기를 끌고 있는 스마트폰이 개인정보유출의 매개체로 악용될 수 있다는 사실이 입증됐다. 3일(현지시간) 로스앤젤레스타임스(LAT)는 대형 이동통신사의 시스템에 침입해 가입자 정보를 빼낸 화이트해커(시스템의 취약점을 밝혀내 보완하도록 돕는 정보보안 전문가) 닉 디페트릴로와 돈 베일리의 실험을 통해 스마트폰의 보안 취약성을 꼬집었다. 스마트폰의 보안 문제가 여러차례 논란이 된 적은 있지만 실제 이통사의 시스템에서 검증되기는 처음이다.

두 전문가는 AT&T와 T모바일의 발신자번호 확인 서비스(콜러ID) 시스템에 몰래 들어가 특정 전화번호로 허위 발신을 유도하는 프로그램을 작동시키는 방법으로 한 명의 가입자가 통화한 수천명의 이름과 전화번호를 알아냈다. 동시에 가입자들의 통화 당시 위치와 통화시간도 빼냈다. 이들은 같은 작업을 반복해 가입자들의 이동경로와 자주 드나드는 곳에 대한 정보도 얻어냈다. 대부분의 스마트폰이 위성항법장치(GPS)를 내장하고 있기 때문에 기존 휴대전화에 비해 찾아낼 수 있는 위치정보가 많았다는 것이 이들의 설명이다. 더욱이 해당 이통사들의 시스템은 이들이 발생시킨 허위 발신을 정상적인 것으로 인식했다. 디페트릴로와 베일리는 AT&T와 T모바일에 이 사실을 통보했으며, 미국이동통신산업협회(CTIA)는 곧바로 조사에 들어갔다.

LAT는 애플·구글·리서치인모바일(RIM) 등 휴대전화 제조업체들이 소프트웨어 공급을 위해 사용하는 오픈마켓 ‘앱스토어’에도 심각한 보안 결함이 있다고 강조했다. 올려지는 프로그램에 대한 사전검증이 쉽지 않아 해커들이 악성 프로그램을 뿌리는 데 멋대로 사용할 가능성이 크다는 주장이다. 실제 화이트해커 타일러 실즈는 ‘TXS’라는 악성 애플리케이션을 만들어 앱스토어에 올린 뒤 다운로드를 받은 사용자들의 이메일과 문자메시지를 빼냈다. 사용자들의 스마트폰을 원격조종할 수 있는 ‘좀비폰’으로 만들어 버린 셈이다.

실즈는 “각 업체들이 자신들이 운영하는 앱스토어에 올라오는 프로그램의 내용에 지나치게 관심이 없다.”면서 “좀 더 강도 높은 보안정책이 필요하다.”고 지적했다. 보안전문가인 찰스 밀러는 “지난 10년간 사람들은 자신의 컴퓨터에서 중요한 정보가 새나갈 수 있다는 사실을 모두 알게 됐다.”면서 “이제는 스마트폰에도 같은 일이 일어날 수 있다는 점을 명심해야 한다.”고 경고했다.

박건형기자 kitsch@seoul.co.kr