인터넷으로 은행거래를 하려면 여러 가지 보안 앱을 설치해야 한다. 이런 앱으로 오염시키고, 워터링 홀(Watering hole) 수법으로 악성 앱을 설치한 해킹 사건이 얼마 전 경찰청에서 발표되었다. 오염된 금융 보안 앱을 설치한 PC가 자주 방문하는 사이트를 클릭하면 악성 앱이 자동을 설치되는 방법이다. 사자가 물웅덩이에서 찾아오는 먹잇감을 노린다는 뜻에서 워터링 홀이란 이름이 붙었다.
금융 보안 교육을 다니다 보면 수강생 중 반 이상이 이미 보이스피싱을 경험했고, 그중 1~2명은 직접 피해를 보았다. 그만큼 보이스피싱과 해킹은 먼 남의 이야기가 아니라 나의 이야기가 되어가고 있다. 해킹 수법이 나날이 발달해 지금은 사회공학, APT 등 발전된 해킹 수법을 사용한다. 사회공학이란 그 사람에 대해 정보를 수집한 후 신뢰를 바탕으로 침투하는 방법이다. APT는 개인 정보를 바탕으로 지속적이고, 지능적으로 접근해서 해킹하는 방법이다. 무작정 던져서 하나 잡는 예전의 수법이 아니다.
개인 정보는 단순히 주민등록번호 등 개인 속성 정보뿐만 아니라 개인에 의해서 생성된 많은 데이터가 있다. 나의 위치 정보, 통신 정보, 고용 정보, 신체 정보, 습관 및 취미 등 수많은 정보가 있다. 이런 정보는 만들어지고, 그냥 사라지는 게 아니다. 스마트폰이나 정보기기를 통해 매 순간 기록되고 저장되며 보내진다.
스마트폰 기기 회사나 플랫폼 업체, 각종 앱을 제공한 곳에서 내 개인 데이터를 가져가고 활용한다. 지금 당장 활용하지 않아도 차후를 위해 빅데이터로 저장한다. 이런 정보가 철옹성 같이 지켜지는 게 아니라 공유되고, 빠져나간다. 해킹으로 털려서 나가기도 하지만, 그대로 흘러가기도 한다. 대형 검색이나 유통 플랫품 회사는 자기만 정보를 가지는 게 아니다. 관련 있는 조그만 기업과 공유한다. 그래야 일 처리가 되기 때문이다.
보이스피싱은 초기에 스마트폰으로 문자를 보내 속였다. 이것이 알려지고, 조심하자 우리 실생활에서 흔히 쓰는 우체국이나 택배 알림, 당첨, 카드 사용 등으로 바꾸면서 링크를 클릭하도록 했다. 지금은 더 나아가 그 사람의 개인 정보를 바탕으로 친구나 자녀 번호로 문자를 보내어 클릭하도록 한다. 의심스러워 확인 전화를 하면 대상자의 폰을 이미 장악해 통화가 안 된다.
혹자는 그래서 스마트폰을 전화와 카톡, 사진 외에는 쓰지 않고, 일체의 SNS도 하지 않으니 걱정 없다고 한다. 스마트폰은 사서 개통하는 순간부터 내 위치 정보를 가져간다. 새로운 앱을 설치 안 한다고 하지만, 이미 수십 개의 앱이 설치되어 있고, 필요한 정보를 가져간다. 또 내가 아무리 잘해도 친구와 가족을 통해서 악성 앱이 깔릴 수 있다.
내 정보를 잘 지키려면 보안 의식이 중요하다. 내 정보는 스마트폰을 통해 우선 빠져나간다. 지금은 모바일 시대이다 보니 PC보다 스마트폰으로 처리하는 게 많다. 금융 거래도 스마트폰으로 하는 모바일 시대이다. 모바일 금융거래를 할 때 와이파이를 이용하지 말고, 데이터를 쓰자. 와이파이로 파고 들어오는 해킹 수법이 있다.
스마트폰에 설치된 앱 들이 무슨 정보를 가져가는지 체크 해보자. 설정에서 개인정보보호의 권한 사용을 보면 알 수 있다. 사용하지 않는 앱의 권한을 없애는 것도 방법이다. 노트북, PC도 마찬가지이다. 설치된 많은 프로그램 중에서 불필요한 것은 제어판에서 삭제한다. 대표적인 것이 은행이나 정부기관 접속 시 설치한 보안 프로그램이다. 나중에 다시 설치해서 하면 된다.
