아이폰 및 안드로이드 기기를 위한 모바일 보안 완벽 가이드

팁 & 요령
1 min
작성자 

ExpressVPN

많은 사람들이 컴퓨터에 바이러스 백신 프로그램을 설치하고 정기적으로 시스템 검사를 예약하는 등 컴퓨터 보안에 주의를 기울여야 한다는 사실을 알고 있습니다. 하지만 반면에 휴대폰에는 그 정도의 주의를 기울이지 않는 경우가 많습니다. 최근 휴대폰에 대한 의존도가 그 어느 때보다 높아지면서 모바일 보안은 개인 정보를 보호하는 데 필수적인 요소가 되었습니다.

이 블로그에서는 모바일 보안 팁, 요령 및 모범 사례에 대해 자세히 알아보겠습니다. 호시탐탐 개인 정보를 노리는 해커로부터 휴대폰을 안전하게 보호하는 방법을 확인하세요.

1부: 필수 모바일 보안 팁
2부: 모바일 와이파이 네트워크의 보안 위험성
3부: 모바일 앱을 보호하고 데이터 도난을 방지하는 방법
4부: 휴대폰을 위험에 노출시키는 충전 습관
5부: SIM 카드 및 SMS 메시지의 숨겨진 위험성
6부: 기기를 반드시 잠가야 하는 이유
7부: 모바일 보안 완벽 가이드 인포그래픽

 

1부: 필수 모바일 보안 팁

A phone with a gear icon in the middle of the screen. Four crosses and four ticks stand either side of the phone.

오늘날의 아이폰, 아이패드, 안드로이드 기기는 매우 강력하며 고도로 발달되어 있어 마치 손쉽게 사용할 수 있는 미니 컴퓨터와 같습니다. 이로 인해 우리 삶에 연결성, 생산성, SNS등이 향상되었지만, 동시에 해커와 기타 보안 취약성에 노출되기 쉬운 방대한 데이터가 주머니에 저장되어 있다는 의미이기도 합니다.

휴대폰과 태블릿은 보안되지 않은 와이파이 네트워크에 노출되어 있으며 항상 멀리 떨어진 셀룰러 안테나에 연결되어 있습니다. 또한 물리적으로 도난당할 위험도 있습니다. 그렇기 때문에 보안 모범 사례를 준수하는 것이 매우 중요합니다. 권장 사항은 다음과 같습니다.

화면 잠금 활성화하기

모바일 기기에는 사적인 대화, 연락처, 신용카드 정보, 이메일이 저장되어 있으므로 가능한 한 보안을 강화하는 것이 좋습니다.

첫 번째 보안 계층은 일반적으로 화면 잠금입니다. 화면 잠금은 잠금 해제를 위한 암호 또는 패턴이 있어야 보안 조치로 적절합니다. 또한 일정 시간 동안 사용하지 않으면 자동으로 활성화되어야 합니다. 휴대폰의 기본 설정은 대부분30초이지만 사용자가 원하는 대로 시간을 지정할 수 있습니다.

예를 들어, 책상에서 자리를 비우는 경우에 누군가가 휴대폰 데이터에 접근할 수 있는 가능성을 최소화하려면 화면이 잠기기까지의 시간을 가능한 한 짧게 설정하는 것이 좋습니다.

휴대폰을 멀리 두거나 의심스러운 사람이 다가올 경우에는 항상 휴대폰을 수동으로 잠그세요.

많은 기기에는 지문 스캐너와 얼굴 인식 기능도 있습니다. 보안 옵션으로 생체 인식을 사용할 때는 주의하세요. 생체 인식은 비밀번호보다 편리하지만 적절한 장비를 이용하면 속일 수 있습니다. 그리고 지문 정보가 공개될 경우에 변경할 수 없습니다.

데이터 암호화하기

공용 와이파이 네트워크는 암호화되지 않을 수 있으며 영리 목적으로 개인 정보를 수집할 수 있습니다. 하이퍼링크 대신 북마크를 사용해 웹사이트로 이동하고, 연결이 TLS로 보호되는지 확인하며(브라우저 창에 자물쇠 아이콘이 표시됨), Tor 또는 VPN을 사용하세요.

데이터에 접근할 수 있는 앱 주의하기

평판이 좋은 앱을 사용하고 앱의 권한을 정기적으로 검토하여 앱이 필요한 데이터에만 접근할 수 있도록 하세요.

기본적으로 구글 플레이, F-Droid 또는 iOS 앱 스토어와 같은 신뢰할 수 있는 출처의 앱만 다운로드하세요. Android 휴대폰에서는 SDK 키트를 통해 타사 앱을 로드할 수 있지만, 이 단계를 수행할 때는 매우 주의하기를 권고합니다. 이러한 타사 앱은 구글의 심사를 거치지 않았습니다. 애플리케이션 파일이 신뢰할 수 있는 출처에서 제공되었으며 변조되지 않았는지 항상 확인하세요.

이와 동시에 다운로드하는 각 앱의 권한을 주의 깊게 살펴보세요. 예를 들어, 바이러스 백신 앱은 사진이나 마이크에 접근할 필요가 없습니다. 과거에 앱 권한을 간과했다고 생각되면 앱 설정으로 돌아가 권한 정보를 확인하세요.

수시로 앱을 정리하는 것도 좋습니다. 거의 사용하지 않는 앱을 다운로드하는 습관으로 휴대폰이 복잡해지기 쉽습니다. 한동안 열지 않은 앱은 삭제하는 것이 좋습니다.

멀웨어로부터 보호하기

멀웨어, 즉 개인적 또는 정치적 이득을 위해 피해를 입히거나 데이터를 훔치려는 악성 소프트웨어는 항상 인터넷의 일부였습니다. 모바일 멀웨어는 보통 인기 있고 신뢰할 수 있는 앱의 클론으로 위장하여 설치됩니다. 그런 다음 계정 자격 증명을 훔치거나 다른 앱을 무단으로 설치하거나 기타 원치 않는 작업을 수행할 수 있습니다.

매일 23만 개의 새로운 멀웨어 변종이 등장하기 때문에 모든 유형의 멀웨어를 포함한 완전한 목록을 만들기는 불가능합니다.

어떤 앱을 설치하는지, 누가 휴대폰에 접근할 수 있는지에 주의를 기울이세요. 의심스러운 경우, 공장 초기화를 수행하여 휴대폰의 운영 체제를 원래 상태로 되돌리세요.

최소한 앱 스토어 또는 플레이 스토어에서 평점이 높지 않은 앱은 주의하세요. 이는 새로 업로드되었으며 잘 알려진 앱과 동일한 보안 기능을 갖추지 않았다는 신호일 수 있습니다. 찾고 있는 앱의 개발자 공식 사이트를 방문하여 설치 링크를 찾아볼 수도 있습니다.

블루투스를 켜두지 않기

블루투스는 휴대폰과 태블릿에서 종종 간과되는 공격 경로입니다. 블루투스는 휴대폰에 대한 원격 연결을 허용하므로 보안 결함을 초래할 수 있습니다. 또한 쇼핑몰이나 사무실을 돌아다닐 때 다른 사람에게 추적당할 수 있습니다. 필요할 때만 블루투스를 켜세요. 이렇게 하면 배터리 전력도 절약할 수 있습니다!

기기 루팅하지 않기

휴대폰을 루팅하거나 탈옥하면 기본 보안 기능이 제거되어 앱이 SIM 카드 세부 정보 및 연결 안테나 등의 개인 데이터에 접근할 수 있게 됩니다.

공식 스토어 외부의 앱을 이용하고 개발자처럼 기기를 마음대로 조작하기 위해 휴대폰을 루팅하고 싶은 유혹이 있을 수 있지만, 일반 사용자에게는 권장하지 않습니다. 어떤 이유로든 기기를 루팅해야 한다면 기기에 개인 데이터를 보관하지 마세요.

바이러스 백신 소프트웨어 사용하기

최신 컴퓨팅 기기에는 바이러스 백신 소프트웨어를 설치해야 합니다. 휴대폰을 항상 최신 상태로 유지하는 것은 버그를 수정하고 제로데이 익스플로잇을 방지하며 개인 정보를 보호하는 중요한 보안 모범 사례이기도 합니다. 실제로 기기가 자동으로 업데이트되도록 설정하여 앱이 항상 패치되고 시스템이 정상적으로 실행되도록 하는 것이 좋습니다.

자동 백업에 주의하기

대부분의 휴대폰에는 제조사 또는 외부 업체에서 제공하는 백업 기능이 포함되어 있습니다. 이 기능은 편리하지만 추가적인 개인 정보 보호 및 보안 문제에 노출될 수 있습니다.

백업할 항목을 신중하게 선택하세요. 개인 메시지, 앱 데이터, 소셜 미디어 게시물과 같은 일부 데이터는 이미 클라우드에 존재할 수 있으므로 별도로 백업할 필요가 없습니다. 암호화된 메시지를 백업할 경우, 자동 백업 시 암호화되지 않는다는 점에 유의하세요. 이로 인해 사용자 또는 사용자 지인의 안전이 위협받을 수 있습니다.

개인용 컴퓨터나 iTunes와 같은 소프트웨어를 사용한 오프라인 백업은 암호화할 수 있으며, 이때 적절한 암호화 암호를 선택해야 합니다. 백업이 제대로 암호화되었다고 확신하는 경우에만 클라우드 스토리지에 업로드하는 것이 좋습니다.

예방이 치료보다 낫다는 말이 있습니다.

조금만 주의를 기울이면 데이터 손실 또는 도난이라는 매우 실제적인 위협에서 벗어날 수 있습니다. 그런 일은 절대 원하지 않으실 겁니다.

2부: 모바일 와이파이 네트워크의 보안 위협

An eye looking up at the Wi-Fi symbol.

공용 와이파이는 매우 훌륭하지만 보안이 철저하지 않고 비공개인 경우가 드뭅니다. 어떤 정보가 누구와 공유되는지 파악하면 와이파이를 더 효율적으로 사용하고 사이버 공격의 위험을 줄이며 기기를 원하는 대로 구성할 수 있습니다.

MAC 주소는 기기를 식별하는 데 사용될 수 있다

와이파이 핫스팟에 연결할 때마다 휴대폰은 MAC(미디어 액세스 제어) 주소를 제공합니다. 이러한 주소는 각 네트워크 인터페이스에 포함되기 때문에 서로 다른 네트워크에서도 사용자를 반복 방문자로 식별할 수 있습니다.

Apple 기기에서는 iOS 8부터 사용자 추적을 더욱 어렵게 만드는 가짜 무작위 MAC 주소를 브로드캐스팅하기 시작했습니다. 하지만 이 경우에도 사용자의 기기는 여전히 iOS 기기로 식별되며, 이 방법은 새로운 네트워크를 찾을 때에만 적용됩니다. 알려진 네트워크에 연결하면 실제 MAC 주소가 브로드캐스팅됩니다.

운영 체제 TAILS는 기본적으로 MAC 주소를 무작위로 지정합니다. 이와 같은 소프트웨어를 사용하면 추적되지 않고 여러 와이파이 핫스팟에 반복적으로 연결할 수 있습니다.

MAC 주소는 집이나 사무실 와이파이의 보안을 강화하는 데도 사용할 수 있습니다. 네트워크에서 허용할 기기를 MAC 주소로 식별한 다음 해당 기기를 화이트리스트에 추가하여 알 수 없는 모든 기기를 네트워크에서 차단할 수 있습니다.

개인 정보를 보호하는 또 다른 방법은 설정 메뉴를 열어 휴대폰 이름을 변경하는 것입니다. 기기가 연결된 와이파이 액세스 포인트에 이름이 전송될 가능성이 높기 때문입니다. 기본적으로 이 이름은 휴대폰에 대한 설명, 휴대폰 설정 시 입력한 이름 또는 ‘파트리샤의 아이폰’과 같이 그 두 가지를 조합한 문구인 경우가 많습니다.

와이파이 공유기는 해당 네트워크를 통과하는 데이터를 읽을 수 있다

와이파이 네트워크에 연결한 후에는 공유기가 해당 네트워크 통해 전송되는 모든 데이터를 읽을 수 있다는 사실을 명심해야 합니다. 이 데이터에는 모든 트래픽의 목적지 IP가 항상 포함되므로 시스템 관리자는 각 기기가 어떤 서비스를 사용하고 있는지, 네트워크에 연결된 사람들이 어떤 사이트에 방문하고 있는지 종합적으로 파악할 수 있습니다.

암호화되지 않은 연결(주소 표시줄에 자물쇠 아이콘이 없는 연결)을 사용하면 네트워크 운영자는 사용자가 이 사이트에서 보고 있는 모든 내용과 사진 업로드나 양식 작성 등 사용자가 전송하는 모든 정보를 볼 수 있습니다.

이 정보에는 이메일, 채팅, 비밀번호 및 기타 개인 정보가 포함됩니다. 항상 전송 계층 보안(TLS)를 확인하고 암호화되지 않은 연결을 통해 민감한 정보를 전송하지 않도록 하는 것이 중요합니다.

VPN 또는 Tor를 사용하면 네트워크 제공 업체가 사용자의 트래픽 내용(예: 방문한 사이트 또는 사용하는 앱)을 볼 수 없지만, 소비한 데이터의 양은 여전히 추정할 수 있습니다.

VPN은 타사 앱 등에서 사용자의 기기 사이를 오가는 모든 트래픽을 암호화하기 때문에 더 강력합니다. 하지만 Tor는 사용자의 브라우저 트래픽만 암호화합니다.

암호화되지 않은 와이파이 네트워크는 사용자의 트래픽을 모두에게 노출시킨다

와이파이 네트워크는 여러 프로토콜을 사용하여 기기와 주고받는 트래픽을 암호화합니다. 안타깝게도 모든 프로토콜이 안전한 것은 아니며 암호화를 전혀 사용하지 않는 프로토콜도 많습니다.

예를 들어, 비밀번호 없이 와이파이 액세스 포인트에 연결했던 적이 있으신가요? 이렇게 하면 시간을 절약할 수 있지만 이러한 액세스 포인트는 전혀 암호화되지 않는다는 단점이 있습니다.

즉, 악의적인 주체가 중간자 공격이나 기타 전략을 통해 사용자의 온라인 활동을 가로챌 수 있습니다. 보안되지 않은 네트워크는 공용 와이파이 환경에서 직면할 수 있는 가장 강력한 보안 위험으로, 공유기뿐만 아니라 주변 기기를 통해서도 공격에 노출될 수 있기 때문입니다. 공유기에 연결한 후 로그인 화면을 표시하는 와이파이 네트워크도 마찬가지로 위험합니다.

이러한 위험은 특히 공원, 공항 또는 커피숍과 같은 공공 및 무료 와이파이 액세스 포인트에 해당합니다. 집이든 공공장소든 상관없이 개인 와이파이를 설정할 때는 항상 비밀번호를 설정하고 보안 프로토콜(가급적 WPA2)을 선택해야 한다는 점을 잊지 마세요.

VPN을 사용하면 이러한 위협으로부터 사용자를 보호할 수 있으며, 특히 암호화되지 않은 와이파이 네트워크에서는 VPN을 사용하는 것이 중요합니다.

와이파이 네트워크는 건물 내 사용자의 위치를 추측할 수 있다

시스템 관리자는 네트워크의 다른 기기와 연결된 여러 액세스 포인트와 기기의 신호 강도를 이용해 사용자의 현재 위치를 정확하게 추정할 수 있습니다.

이 데이터를 사용해 건물 내부나 공공장소에서 사용자의 움직임을 추적할 수 있을 뿐만 아니라, 관리자가 사용자의 연결을 통해 수집할 수 있는 다른 데이터(매장에서의 구매 기록 또는 CCTV 피드 등)와 대조하여 사용자의 행동에 대한 정확한 프로필을 파악할 수 있습니다.

훈련된 공격자는 올바른 정보에 접근할 수 있다면 IP를 신용카드 번호나 얼굴과 연관시킬 수 있습니다. 특히 네트워크에서 많은 시간을 보내는 경우에 이를 방지하기는 어렵습니다.

이상적으로는 항상 사람들 사이에 섞여 있는 것이 좋습니다. 카페에서 가장 늦게까지 자리에 남아 있지 말고 다른 사람들 사이에 있는 테이블에 앉도록 하세요. 또한 비디오 감시가 닿지 않는 장소를 찾는 것이 가장 좋지만 쉽지 않습니다.

네트워크 자동 연결은 위험할 수 있다

와이파이가 자동으로 연결되도록 설정된 경우, 휴대폰은 이전에 연결했던 네트워크를 찾아 새로 연결하기 위해 전파를 지속적으로 모니터링합니다. 하지만 휴대폰이 네트워크를 식별하는 데 사용하는 메커니즘은 네트워크 이름이며, 이는 쉽게 조작될 수 있습니다.

‘Starbucks’라는 이름의 와이파이 네트워크를 실제로 스타벅스에서 운영한다는 보장은 없습니다. 실제로 누구나 쉽게 그런 이름의 악성 네트워크를 설정할 수 있으며, 평소 스타벅스 와이파이에 연결하던 모든 기기가 범위 내에 있으면 자동으로 해당 네트워크에 연결되도록 만들 수 있습니다.

와이파이에 연결되면 기기 이름이 공유기에 공개되며 사용하는 서비스 중 일부가 자동으로 활성화될 수 있습니다. 와이파이가 암호화되지 않은 경우, 네트워크 운영자와 주변 사람들이 이 정보를 읽을 수 있습니다.

따라서 평소에는 와이파이 설정을 꺼두고 꼭 필요할 때만 연결할 것을 권장합니다.

3부: 모바일 앱을 보호하고 데이터 도난을 방지하는 방법

An icon displaying a microphone with a series of ones and zeros underneath.

기기에 저장된 정보의 보안은 기기에 설치된 앱에 달려 있습니다.

위에서 설명한 것처럼 공식 출처에서만 앱을 다운로드하는 것이 좋습니다. 가장 이상적인 출처는 F-Droid, Google Play, Apple 앱 스토어, 그리고 사용자가 직접 신중하게 확인한 기타 출처입니다.

또는 코드가 오픈 소스이거나 개발자로부터 직접 설치 패키지를 찾아 확인할 수 있는 경우에 고급 사용자가 직접 애플리케이션을 빌드할 수 있습니다.

앱 권한

iOS와 Android 모두 앱에 부여하는 권한을 선택적으로 설정할 수 있는 옵션을 제공합니다. 따라서 GPS, 카메라, 마이크, 사진첩과 같은 항목에 대한 접근을 제한할 수 있습니다.

이 기능을 잘 활용하세요! 앱에서 요청하는 권한에 대해 신중하게 판단하고 꼭 필요하다고 생각되는 권한만 허용하세요. 예를 들어, 메시징 앱이 항상 내 위치를 알 필요가 없고, 결제 앱이 항상 내 사진에 접근해야 할 필요가 없습니다. 또한 손전등 앱은 어떠한 접근 권한도 요청할 필요가 없습니다.

대부분의 스타트업과 그들이 제공하는 앱은 데이터를 굉장히 많이 필요로 하며, 사용자 데이터를 판매하는 것이 무료 앱이나 서비스의 유일하고도 가장 유망한 수익화 전략일 수 있다는 점을 명심하세요. 따라서 사용자로부터 수익을 창출하려는 앱이 있을 수 있으므로 어떤 앱을 다운로드할지 신중하게 선택해야 합니다.

주기적으로 휴대폰 설정을 살펴보고 어떤 앱을 설치했는지, 해당 앱에 어떤 권한이 있는지 검토하는 것이 가장 좋습니다. 어떤 앱의 권한이 과도하다고 생각되면 해당 권한을 철회하거나 앱을 완전히 삭제할 수 있습니다.

앱이 사용자를 감시하고 있을 수 있다는 경고 신호

주요 위험 신호로는 과도한 배터리 소모, 네트워크 혼잡 또는 메모리 사용량 등이 있습니다. 이러한 징후가 반드시 감시를 받고 있다는 것을 의미하지는 않지만, 스파이 애플리케이션의 부작용인 것은 분명합니다.

휴대폰에 내장된 기능과 직감을 사용해 이러한 지표를 모니터링하세요. 배터리, 네트워크 또는 메모리 사용량을 최적화하는 데 도움을 준다고 약속하는 애플리케이션은 신뢰할 수 없는 경우가 많으며 시스템에 데이터 도난 위험을 증가시킵니다.

앱에서 데이터를 암호화하나요?

고급 분석 도구를 이용하지 않고 앱이 백그라운드에서 데이터를 처리하는 방식을 파악하기는 쉽지 않습니다. 특히 평판이 좋지 않은 애플리케이션을 사용할 때는 입력하는 모든 정보, 특히 주민등록번호나 결제 정보와 같은 개인 정보에 주의해야 합니다.

필요한 모든 예방 조치를 취하더라도 앱 개발자가 데이터를 클라우드에 제대로 저장하지 않을 위험은 항상 존재합니다. 서비스 제공 업체의 서비스 약관을 주의 깊게 읽고 개인 정보 보호를 명시적으로 약속하는 서비스 및 앱을 선택하세요. 비밀번호 관리자를 통해 안전한 비밀번호를 선택하세요(ExpressVPN의 랜덤 비밀번호 생성기도 사용해보세요).

비밀번호가 서버에 해시 형식으로 저장되는지 확인하는 것이 매우 중요합니다. 이 기본 절차를 따르지 않는 앱을 구별하는 좋은 지표는 비밀번호 길이가 제한되거나 특수 문자 사용이 불가능한 경우입니다.

또 한 가지 주의해야 할 점은 전송 중인 데이터가 HTTPS로 암호화되는지 여부입니다. 하지만 브라우저와 달리 연결이 암호화되었는지 수동으로 확인하거나 인증서가 제대로 확인되었는지 확인하는 것이 불가능할 수 있습니다. 대신 앱 개발자의 약속, 해당 플랫폼의 정책(예: Apple 앱 스토어는 새 앱이 기본적으로 HTTPS를 사용하도록 요구함), 개발자의 역량에 의존해야 합니다.

애플리케이션의 신뢰성을 판단하려면 해당 애플리케이션의 웹사이트를 확인하거나 해당 앱의 정보가 앱 스토어에 어떻게 표시되는지 살펴보세요. 애플리케이션이 정기적으로 업데이트되나요? 변경 사항 등이 잘 문서화되어 있나요?

이중 인증

비밀번호 외에도 이중 인증(2FA)을 사용하여 기기를 보호할 수 있습니다. 이는 짧은 시간 동안만 유효한 추가적인 비밀번호입니다. 휴대폰이나 외부 기기에서 생성하거나 문자 메시지나 이메일을 통해 전송할 수 있습니다.

휴대폰이나 외부 기기에서 코드를 생성하는 것이 가장 안전하지만, 이러한 기기를 분실했을 때 문제가 발생할 수 있습니다.

문자 메시지로 코드를 전송하는 경우, 주변 사람이나 휴대폰의 다른 애플리케이션이 이 정보를 가로챌 수 있다는 점에 유의해야 합니다. 그렇기 때문에 이중 인증을 사용하는 가장 좋은 방법은 FIDO U2F 표준을 사용하는 하드웨어 기기를 통해 코드를 생성하는 것입니다. 이러한 기기가 없는 경우, Google Authenticator 또는 Duo와 같은 앱을 사용할 수 있습니다.

4부: 휴대폰을 위험에 노출시키는 충전 습관

A USB-A cable with a circle, triangle, and square above it.

스마트폰은 배터리 충전과 데이터 다운로드를 위해 동일한 물리적 포트를 사용합니다. 이렇게 하면 더 많은 작업을 수행하는 데 필요한 케이블 수가 줄어들어 사용자에게 도움이 되지만 보안 위험은 다소 높아집니다.

예를 들어, 비행기에 탑승하면 기내에서 기기를 충전할 수 있는데 이때 기내 컴퓨터가 기기에 접근하려고 시도하는 경우가 많습니다. 이는 좌석 앞 화면에서 미디어를 재생하고 싶을 때 유용하지만 이런 컴퓨터를 과연 신뢰할 수 있을까요?

자신을 보호하려면 개인 충전기를 휴대하고 USB 콘센트 대신 일반 전기 콘센트에 꽂아서 충전하세요. 전기만 전달하고 데이터는 전달하지 않는 케이블을 이용할 수도 있습니다. 또는 충전하는 동안 데이터가 전송되지 않도록 하는 ‘USB 콘돔‘을 사용할 수도 있습니다.

SIM 카드 및 SMS 메시지의 숨겨진 위험성

SIM(가입자 식별 모듈) 카드는 휴대폰의 알려지지 않은 몇 가지 보안 취약점을 야기합니다.

더욱 치명적인 문제는 SIM 카드를 사용하면 전 세계에서 매우 쉽게 추적당할 수 있다는 것입니다. 어떻게 그런 일이 발생하는지 자세히 살펴보겠습니다.

휴대폰 추적

휴대폰에 유효한 SIM 카드가 삽입되어 있는 한, 휴대폰은 항상 기지국에 연결을 시도합니다. 기직국에 연결되면 메시지 또는 전화 수신 시 안정적인 연결을 보장하기 위해 주변 기지국에 계속해서 신호를 보냅니다. 휴대폰에서 SIM 카드를 제거하더라도 익명성이 보장되지는 않습니다. 대부분의 휴대폰은 긴급 전화 발신 등의 이유로 SIM 카드 없어도 연결이 유지됩니다. 비행기 모드를 활성화하면 도움이 될 수 있지만, 배터리를 물리적으로 제거해야만 기기를 통한 추적을 완전히 방지할 수 있습니다.

휴대폰 회사는 사용자가 어떤 기지국에 연결되어 있는지 추적하고 이 정보를 신호 강도와 비교하여 사용자의 위치를 상당히 정확하게 삼각 측량할 수 있습니다. 휴대폰을 켜고 SIM 카드를 삽입하기만 하면 위치 추적이 가능합니다. 또한 속도 및 위치와 같은 지표를 이용해 이동 중인 차량 안에 있는지 아니면 빌딩 내 높은 층에 올라가 있는지를 추론할 수도 있습니다.

통신사가 수집된 정보를 비공개로 유지한다고 가정해서는 안 됩니다. 많은 통신사가 침입자로부터 시스템을 보호하지 못하여 지리적 위치를 거의 공개적으로 노출하고 있습니다. 실제로 일부 통신사는 사용자의 위치를 광고주에게 판매하기까지 합니다.

그뿐만 아니라 통신사는 이러한 정보를 법 집행 기관과 공유하기도 합니다. 그러나 법 집행 기관이 사용자 위치를 더 정확하게 추적하려면 스팅레이와 유사한 장치가 필요합니다.

스팅레이란?

스팅레이는 널리 사용되는 IMSI(국제 모바일 가입자 식별) 캐처입니다. 이 장치는 신발 상자 정도의 크기로 자동차나 비행기 등 모든 이동 수단에 부착하거나 배낭에 넣어 휴대할 수 있습니다.

스팅레이는 GSM 네트워크에 연결된 모든 기기에 대해 작동합니다. 스팅레이는 3G 또는 4G 네트워크에서는 그다지 효과적이지 않지만, 언제든지 대상의 휴대폰 번호와 위치를 알아낼 수 있습니다. 보안이 취약한 2G 네트워크에 연결하도록 속여 전화 통화나 SMS를 가로챌 수도 있습니다.

각 휴대폰은 휴대폰 제공 업체의 기지국에 자신을 인증해야 하지만, 그 반대의 경우에는 인증이 필요하지 않습니다. 일반적으로 알려진 GSM 네트워크의 취약점 때문에 이 장비(대당 약 16,000~125,000원)만 있으면 누구나 기지국을 모방할 수 있으며, 그 결과 주변의 모든 휴대폰이 자신도 모르게 해당 기지국에 연결하게 됩니다.

이를 통해 스팅레이 운영자는 근처에 있는 모든 휴대폰의 식별자 목록을 얻을 수 있습니다. 경우에 따라서는 중간자 공격이라고 불리는 방식으로 피해자의 모든 전화 통화를 엿듣고 문자 메시지를 엿보는 것도 가능합니다.

스파이 기관이나 법 집행 기관에서 유사한 기능을 적용하여 모바일 데이터를 쉽게 읽고 가로챌 수 있는지는 알 수 없지만, 가능성은 분명히 존재합니다. 즉석에서 암호화를 해독하는 일은 매우 어렵지만, 큰 규모의 스파이 기관에서 이미 암호 키를 훔치거나 국가 보안 서한을 통해 요청했을 수 있다고 믿는 것은 무리가 아닙니다.

스팅레이는 은밀하게 사용되며 그 사용법이 매우 비밀스러워 보통 법정에서조차 밝혀지지 않습니다. 이 장치는 대량 감시 도구이기 때문에 법원에서 수사를 위해 허가하는 사례는 거의 없습니다. 하지만 스팅레이가 널리 사용됨에 따라 대중은 스팅레이와 그 작동 방식에 대해 점점 더 많이 알게 되었습니다.

법 집행 기관, 범죄자 또는 스파이가 여러 대의 장치를 사용할 수 있는 경우, 여러 장치를 동시에 사용하여 용의자의 휴대폰 위치를 계산할 수 있습니다. 소형 비행기처럼 장치를 이동시켜서 비슷한 결과를 얻을 수도 있습니다.

5부: SIM을 통한 위치 추적을 피하는 방법

A wavelength graph with a SIM card in the middle.

비행기 모드를 사용하면 도움이 될 수 있지만, 추적을 완전히 피할 수 있는 유일한 방법은 휴대폰의 배터리를 제거하는 것입니다. 고급 사용자의 경우, 휴대폰에서 스팅레이를 감지하는 특수 소프트웨어를 실행하고 원할 때 휴대폰 전원을 꺼둘 수 있습니다.

  • 하지만 이 소프트웨어는 실험 단계이며 철저한 테스트를 거치지 않았습니다. 공공 와이파이, VPN, 비트코인으로 결제하는 VoIP 서비스는 발신 통화를 대체하기에 좋은 수단입니다. VoIP를 통한 수신 통화는 가입이 필요하기 때문에 프라이버시가 덜 보장되지만, 위치를 숨기는 것이 주된 목적이라면 여전히 효과적인 도구가 될 수 있습니다. 단, 이러한 통화는 암호화되지 않으므로 쉽게 도청당할 수 있다는 점을 유의해야 합니다.

암호화 통화는 Signal, FaceTime과 같은 소프트웨어를 통해서도 가능하지만 양쪽 당사자 모두 해당 소프트웨어를 사용해야 합니다.

또 다른 방법은 SIM 카드를 자주 교체하는 것입니다. 이렇게 해도 추적이 불가능해지지는 않지만 스누퍼가 수집할 수 있는 정보의 양이 줄어듭니다. 하지만 SIM 카드를 너무 빨리 교체하지 않는 것이 중요합니다. 두 번호가 동시에 켜지지 않는다는 점을 관찰하는 것만으로도 두 번호를 서로 연결 지을 수 있습니다.

이 전략의 또 다른 장애물은 SIM 카드를 별도의 매장에서 독립적으로 구매하고 현금으로 결제해야 한다는 점입니다. 새로 구입한 SIM 카드를 동일한 휴대폰에 삽입하는 경우, 휴대폰 회사 또는 스파이 기관이 기존 SIM 카드와 새 SIM 카드를 서로 연결할 수 있는 다른 일련 번호나 식별자가 있을 수 있습니다.

SIM 카드를 통한 위치 추적을 피하려면 두 개의 SIM 카드를 현금으로 별도의 공급 업체에서 구입하고 별도의 가명으로 등록하며 별도의 기기에서 사용해야 합니다. 또한 두 SIM 카드를 같은 지역에서 사용해서는 안 되며 장소를 이동할 때는 두 기기의 전원을 모두 꺼놓아야 합니다.

SIM 카드 해킹

안타깝게도 가장 큰 보안 위협은 위치 추적기가 아니라 SIM 카드 자체입니다. 기본적으로 이 모듈은 외부 코드를 실행하고 응답할 수 있으며 원격으로 접근할 수 있는 소형 컴퓨터입니다.

이 문제가 있는 아키텍처를 악용한 가장 큰 해킹 사례는 2013년에 밝혀졌습니다. IT 분석가들은 7억 5천만 대의 휴대폰이 공격자가 쉽게 알아낼 수 있는 구식 암호를 사용하고 있다는 사실을 발견했습니다.

공격자는 이 키를 이용해 SIM 모듈에 새 소프트웨어를 다운로드하고, 연락처에 있는 연락처로 문자 메시지를 보내거나 사용자의 음성 메일 비밀번호를 변경할 수 있었습니다.

2013년 이전에 발급된 SIM 카드를 사용하는 경우, 이 문제의 영향을 받을 확률은 약 10%입니다.

그러나 이러한 암호화 키는 다른 방식으로도 유출될 수 있으며, 특히 자금력이 풍부한 정부 행위자에 의해 노출될 수 있습니다.

디 인터셉트는 스노든의 폭로를 보도하며 미국영국 정보 기관이 전 세계 450개 이상의 통신사에 SIM 카드를 제조하는 네덜란드 회사 젬알토에서 생산한 수십억 개의 SIM 카드의 암호화 키를 훔친 사실을 공개했습니다. 정보 기관은 이 암호화 키를 이용해 더 진보된 버전의 스팅레이로 가로챈 트래픽을 해독할 수 있었을 것입니다.

SMS 메시지 및 연락처

전체 디스크 암호화를 설정했더라도 문자 메시지와 연락처 정보가 SIM 카드 자체에 저장되어 있을 수 있습니다. 이 정보는 암호화되지 않은 채로 남아 있어 휴대폰을 손에 넣을 수 있는 모든 사람이 접근할 수 있습니다.

SIM 복제 / SIM 카드 교환

SIM 카드 복제는 어렵지만 불가능하지는 않습니다. 공격자가 SIM 카드에 물리적으로 접근할 수 있는 경우, SIM 카드에서 개인 키를 추출할 수 있습니다. 또한 SIM 카드와 휴대폰 사이의 리더기를 사용해 중간자 공격을 실행할 수도 있습니다.

SIM 카드를 복제하는 가장 쉬운 방법은 사용자를 사칭하여 서비스 제공 업체에 직접 접근하여 사본을 요청하는 것입니다. 일부 서비스 제공 업체는 신원 확인 없이 즉석에서 또는 우편을 통해 보조 또는 교체 SIM을 쉽게 제공합니다.

이는 모바일 서비스 제공 업체가 사용자를 상당히 신뢰하고 있음을 의미합니다. 누군가가 서비스 제공 업체에 사용자를 사칭하여 보조 SIM에 접근할 수 있는 경우, 사용자에게 발신된 문자 메시지와 전화를 수신할 수 있으며, 사용자의 이름으로 전화와 문자 메시지를 보낼 수 있습니다.

이는 특히 이중 인증 솔루션이 문자 메시지를 통해 코드를 전송하는 경우에 보안에 심각한 영향을 미칠 수 있습니다.

이 기법은 SIM 카드 스와핑이라고도 하며 2019년 8월 트위터 CEO 잭 도시의 개인 계정이 해킹된 후 화제가 된 바 있습니다.

SIM 카드 스와핑의 피해는 심각하며, 특히 이를 막기 위해 할 수 있는 일이 거의 없다는 점을 고려하면 더욱 그렇습니다. 그러나 SIM 카드 스와핑을 감지할 수 있는 가장 확실한 지표는 모든 휴대폰 서비스가 갑자기 중단되고 기기를 재시작한 뒤에도 여전히 서비스가 복구되지 않는 경우입니다. 이는 무언가 잘못되었다는 뜻이며 사용자 측의 문제가 아닙니다.

심재킹

새로운 SIM 카드 보안 취약점은 2019년 9월에 스파이웨어 코드가 포함된 악성 문자 메시지로 인해 발견되었습니다. 사용자가 해당 문자를 클릭하면 코드가 실행되어 해커가 사용자의 통화, 메시지, 위치 데이터를 감시할 수 있게 됩니다.

이 공격은 SIM 애플리케이션 툴킷의 일부인 S@T 브라우저라는 소프트웨어를 통해 이루어졌습니다. 이 브라우저는 선진국에서는 일반적으로 사용되지 않지만 중동, 북아프리카, 동유럽 국가에서는 여전히 널리 사용되고 있습니다.

휴대폰 사업자들이 이 공격의 표적이 된 것은 정부 기관의 의뢰를 받아 운영되는 한 개인 회사 때문이었습니다.

6부: 기기를 반드시 잠가야 하는 이유

A padlock with a series on random digits either side of it to represent a strong and secure password.

잠금 화면에 충분히 안전한 비밀번호를 설정하는 것은 매우 중요하게 여겨야 하는 보안의 첫 번째 단계입니다. 이렇게 하면 다른 사람이 동의 없이 휴대폰에 접근하기가 더 어려워집니다.

일반적인 인식과는 달리, 지문을 사용해 디바이스 잠금을 해제하는 것은 보안을 강화하는 데 별로 도움이 되지 않습니다. 엄지 손가락 사진만 있으면 지문을 쉽게 복제하여 휴대폰 잠금을 해제할 수 있습니다. 대부분의 관할권에서는 법적으로 비밀번호를 공개하도록 강요할 수 없지만, 서구의 자유민주주의 국가에서는 동의 없이 지문을 찍어 휴대폰 잠금을 해제하는 것이 완전히 합법입니다.

드라이브 암호화하기

Apple은 iOS 8부터 기본적으로 하드 드라이브를 암호화하기 시작했습니다. 이를 통해 기기 분실 후 임의 수색 및 개인 데이터 도용으로부터 소유자를 보호하는 기능이 크게 향상되었습니다.

Android 역시 사용자가 드라이브를 암호화할 수 있는 기능을 제공하지만, 이 기능은 기본적으로 활성화되어 있지 않아 직접 활성화해야 합니다.

기기 암호화 옵션은 설정에서 찾을 수 있습니다.

쉽지는 않지만, 드라이브를 암호화하지 않으면 사용자의 동의 없이 휴대폰에서 개인 정보를 추출할 수 있습니다. 기술 회사들이 법 집행 기관의 기기 잠금 해제를 도와주다가 적발된 사례도 있습니다.

좋은 비밀번호 선택하기

Apple과 Google 모두 잘못된 비밀번호를 입력할 수 있는 횟수를 제한하거나 몇 번의 실패 후 드라이브를 삭제하는 등 해커로부터 암호화된 데이터를 보호하기 위한 조치를 취하고 있지만, 가장 좋은 보호 방법은 여전히 강력한 비밀번호를 사용하는 것입니다.

12자 이상의 비밀번호를 선택하거나 랜덤 비밀번호 생성기를 사용하세요. 또한 대문자와 소문자뿐만 아니라 숫자를 섞어서 사용하세요. 또는 Diceware를 사용해 4~5개의 단어로 구성된 비밀번호를 생성할 수도 있습니다.

개인 정보 보호를 시작하세요
ExpressVPN 구매

30일 환불 보장

온라인에서 자신을 보호하기 위한 첫 단계를 시작하세요. ExpressVPN을 위험 부담 없이 이용해보세요.
ExpressVPN 가입
VPN이란?
ExpressVPN
ExpressVPN은 고객의 온라인 보안 및 개인정보 보호를 위해 최선을 다하고 있습니다. 이 계정의 게시물은 회사 뉴스 또는 중요한 개인 정보 보호 및 보안 사례를 다룹니다.