넷플릭스 영화 <스마트폰을 떨어뜨렸을 뿐인데>는 스마트폰을 분실한 뒤 발생하는 미스터리한 사건들을 다루는 스릴러물이다. 영화 속 범죄 수법이 모두 실제 사례를 바탕으로 하고 있어, 스마트폰 보안 문제에 대해 다시금 경각심을 불러일으키고 있다. 범죄 수법으로 등장한 ‘스파이웨어(spyware)’와 ‘스미싱(smishing)’, 그리고 그 예방법에 대해 살펴보도록 하자.
준영은 나미가 분실한 스마트폰을 습득해 고의로 파손하고, 수리기사를 사칭해 스파이웨어를 설치한다. 이 스파이웨어를 통해 준영은 나미의 스마트폰을 원격으로 감시하고 조종하며 나미의 일거수일투족을 들여다본다. 나미의 인간관계, 재산, 주거지 등 모든 개인정보를 파악하고, 이를 악용해 나미의 일상을 망가뜨린다.
스파이웨어란 스마트폰이나 PC에 스파이처럼 숨어 실시간으로 모든 정보를 탈취하는 악성 프로그램이다. 영화에 등장한 것과 같이 스파이웨어가 심어진 스마트폰의 마이크나 카메라를 이용해 사용자의 실시간 상황을 들여다보는 것 또한 가능하다. 그러나 영화의 경우처럼 사용자의 행동을 실시간으로 감시하고 전송하기보단, 주로 사용자가 눈치채지 못하도록 교묘하게 숨어 개인정보를 수집 및 전송하거나 파일을 삭제하고 변조하는 수법으로 사용된다.
준영은 스파이웨어에 감염된 나미의 스마트폰을 이용해 스미싱 수법으로 나미의 아빠, 승우의 스마트폰 또한 해킹한다. 스파이웨어에 비해 비교적 널리 알려진 스미싱은 SMS(문자메시지)와 피싱의 합성어로, 문자메시지를 통해 출처를 알 수 없는 인터넷주소를 보낸 뒤 클릭하게 만든다. 이후 악성코드가 스마트폰에 퍼져 자신도 모르는 사이에 소액 결제가 이루어지거나, 금융 정보를 비롯한 개인정보가 유출된다.
지난 2022년 경찰청이 발표한 사이버 금융 범죄 현황에 따르면, 스미싱 발생 건수는 2019년 207건, 2020년 822건, 2021년 1,336건으로 해를 거듭할수록 점점 증가하고 있다. 반면 검거 건수는 각각 32건, 43건, 99건으로 절반도 못 미치는 수준이다. 결국 스마트폰 이용자 스스로 스미싱에 대해 철저히 경계하고 예방할 필요가 있다.
스파이웨어는 출처가 불분명한 외부 앱이나 프로그램 등을 설치하는 과정에서 유입된다. ‘구글 플레이’, ‘애플 앱스토어’ 등 검증된 모바일 앱스토어 외에 다른 외부 경로를 통해 허가받지 않은 앱을 임의로 다운받는 경우가 해당된다. 또한 스미싱 수법을 통해 스파이웨어에 감염되기도 한다. 이를 막기 위해선 검증되지 않은 앱을 다운받는 등 불특정 소프트웨어를 이용하는 일이 없도록 해야 한다. 스미싱을 예방하는 최선의 방법은 확인되지 않는 발신자로부터 전송된 모든 문자메시지를 의심하고, 또 경계하는 것이다. 스미싱 수법을 이용한 소액결제 사기 예방을 위해 이동통신사를 통해 소액결제를 원천적으로 차단하는 것도 가능하다. 스마트폰용 백신 프로그램을 이용하고, 더불어 스마트폰 운영체제에서 주기적으로 제공하는 업데이트를 실행해 항상 최신의 스마트폰 보안 상태를 유지하는 것이 좋겠다.
우리나라 스마트폰 보급률은 95%로 전 세계 1위다. 스마트폰이 단순히 편리함을 제공해오던 시기는 끝이 나고, 이제 우리는 스마트폰이 없으면 불편함을 느낄 만큼 스마트폰과 뗄 수 없는 삶을 살아가고 있다. ‘편의성’이라는 단어 뒤에 가려진 ‘위험성’을 항상 경계하며, <스마트폰을 떨어뜨렸을 뿐인데>를 통해 그동안 안일하게 생각해왔던 스마트폰 보안 의식을 일깨울 수 있길 바란다.
