[메트로신문 오세성 기자] 자율주행차, 로봇, 인공지능 등 사물인터넷(IoT) 시대가 열리면서 사이버 보안에 대한 우려도 증대되고 있다. 과거에는 공공기관과 기업이 해킹의 주 대상이었다면 이제는 개인도 안심할 수 없는 상황이다.

11일 IBM에 따르면 지난 2014년 10억개 이상의 개인 이메일, 신용카드 번호, 비밀번호 등 개인 식별 정보(PII)가 유출됐다. 이는 해킹 기술이 고도화되며 해커들이 악성코드 배포에 인터넷 보안 프로토콜인 SSL/TLS를 활용하기 시작했기 때문으로 풀이된다.

SSL/TLS는 다음, 네이버 등 국내 대형 포털에서도 개인정보 보호를 위해 사용하고 있다. 지난해 8월에는 SSL/TLS 암호화 방식이 적용된 HTTPS 트래픽을 통해 글로벌 포털 야후에 개재된 광고에 악성코드가 침투했고 9억명 정도의 사용자가 이에 노출되기도 했다.

DELL에 따르면 2015년 말웨어(악성코드)로 인한 공격 건수는 81억9000만건으로 정부 단체와 기관은 물론 일반 개인에게까지 많은 피해를 입혔다.

스마트폰이 보급되며 해커들의 공격 기술은 더욱 정교해졌다. 최근에는 과거 데스크톱 브라우저 웹 인젝션처럼 모바일 플랫폼에 악성코드를 숨겨놓고 최종 사용자의 개인 데이터를 훔치는 일도 발생한다.

모바일의 경우 기본 보안 시스템도 허술해 델의 연간 위협 보고서는 전통적 해킹 방식인 말웨어(18%)와 디도스(15.1%) 공격도 모바일에는 유효하다고 기술했다. 특히 '스테이지프라이트 취약점'은 안드로이드 프로요 2.2, 롤리팝 5.1.1 버전을 사용하는 10억개 이상의 기기에 영향을 끼쳤다. 해커들이 벡터(vector)로 비디오가 담긴 문자 메시지를 전송하면 안드로이드 기기에서 자동 재생이 되며 악성코드 공격이 이뤄진 것이다.

애플리케이션(앱)도 안심할 수 없다. IBM은 정상적인 프로그램 사이에 악성 코드를 심어두는 트로이목마를 모바일 애플리케이션에서도 발견했다. 대표적으로는 구글 안드로이드 트로이 목마 'SlemBunk'가 있다. 이 애플리케이션은 합법적 APK로 위장해 피해자의 인증 정보를 실시간으로 수집하고 SMS 메시지로 전송된 2중 인증 코드도 수신하는 악성코드다.

이러한 보안 위협에서 가장 우려되는 부분은 모바일 결제 기능이다. IBM은 사이버 범죄자의 평균 연령이 35세로 80%의 전문 해커가 범죄조직에 연루됐으며 전문적인 프로그래밍 기술뿐 아니라 버전 관리, 애플리케이션 보안 등 개발 프로세스까지 영역을 넓힌 것으로 분석했다.

개인 PC 보안 위협에 대해 한국마이크로소프트는 "정품 소프트웨어 사용과 꾸준한 업데이트가 중요"하다고 당부했다. 마이크로소프트는 지난달 4일 한국에 사이버 보안센터를 개관했다. 이를 통해 아시아 태평양 지역에서 발생하는 말웨어 정보를 수집하고 운영체제에서 해당 코드를 차단·치료하는 업데이트를 제공한다.

모바일 보안 위협은 이용자의 주의가 더 필요하다. 모바일 보안업체 360시큐리티 관계자는 "알 수 없는 URL은 열지 않고 구글플레이 등 공식 스토어가 아닌 곳에서 유포된 APK 파일을 설치하지 않는 등 PC와 동일한 수준의 기본적인 보안 의식을 갖추는 것이 우선"이라며 "말웨어나 웜바이러스 등에 적극적으로 대처하려면 모바일 백신 프로그램을 설치해야 한다"고 말했다.

국내에 대표적인 모바일 백신으로는 360시큐리티, CM시큐리티, 인텔시큐리티, 알약 안드로이드, V3 모바일 시큐리티 등이 있다.