[김승혜 기자] "카메라가 눈이 되는 거고, 마이크가 귀가 되는 거예요. 지금 모습이 상대방에게 그대로 노출된다고 보시면 됩니다. 위치 추적도 가능하고 문자, 통화도 다 듣고 볼 수 있고요."

넷플릭스 영화 '스마트폰을 떨어트렸을 뿐인데'에서 스마트폰에 깔린 '스파이웨어'를 설명하는 장면이다. '스마트폰을 떨어뜨렸을 뿐인데'는 평범한 회사원이 자신의 모든 개인 정보가 담긴 스마트폰을 분실한 뒤 일상 전체를 위협받기 시작하며 벌어지는 현실 밀착 스릴러다. 

영화는 지난 17일 공개 후 3일 만에 넷플릭스 글로벌 TOP 10 영화(비영어) 부문에서 3위를 차지, 한국을 비롯해 대만, 베트남 등 국가에서는 1위를 기록했다. 또한 브라질, 멕시코, 포르투갈, 홍콩 그리고 싱가포르 등 총 34개 국가에서 TOP 10 리스트에 등극했다. 

회사원 나미는 퇴근길, 자신의 분신과도 같은 스마트폰을 잃어버린다. 스마트폰을 주운 준영은 나미의 폰에 '스파이웨어'를 몰래 설치한 뒤 돌려준다. 나미의 스마트폰으로 취미, 취향, 직업, 동선, 경제력, 인간관계 등 모든 일상을 알아낸 준영은 정체를 숨긴 채 나미에게 접근한다. 스마트폰을 찾았다는 기쁨도 잠시, 그날 이후 나미의 평범했던 일상은 점점 파국으로 치닫게 된다.

영화적 상상력이 가미됐지만 스파이웨어로 휴대폰 이용자들의 일거수일투족을 모두 감시할 수 있다거나, 스마트폰에서 얻은 개인정보로 그 사람인 것처럼 위장해 다른 사람들에게 2차 피해를 가할 수 있다는 내용은 현실에서 충분히 가능한 사이버 범죄 수법이라는 게 보안 전문가들의 지적이다.

남폰을 내폰 보듯 볼 수 있다?…전문가들 "기술적으로 충분히 가능"  

극 중 준영이 나미의 스마트폰에 심은 '스파이웨어(Spyware)'는 말 그대로 스파이처럼 스마트폰이나 컴퓨터에 몰래 숨어 숨겨져 실시간으로 아이디, 비밀번호, 신용카드 정보 등 각종 정보를 빼가는 악성 소프트웨어다. 

영화 속에 그려진 스파이웨어의 위력은 소름 끼칠 정도다. 준영은 나미의 휴대폰 속에 저장된 모든 정보를 실시간으로 수집해 범죄에 이용한다. 통장 비밀번호, 공인인증서 비밀번호, SNS 비밀번호, 스마트폰 비밀번호, 폰 기종 등은 기본. 카메라를 통해 자택 CCTV, 혼자 사는지 여부와 출근 동선, 자주가는 카페까지 확인할 수 있다.

전문가들은 영화에 소개된 스마트폰 악성 프로그램의 기능 상당수가 현재 사이버 범죄에 악용된 기술이라고 말한다. 

문종현 이스트시큐리티 이사는 "스마트폰을 손바닥 들여다보듯 훔쳐 볼 수 있는 해킹 프로그램은 기술적으로 충분히 가능하다"며 "마이크를 이용한 도청 기능 등 영화에 소개된 기법들도 이미 확인된 공격 기법이며, 카메라로 스마트폰 이용자를 실시간 모니터링하는 기술 역시 기술적으로 불가능하진 않다"고 말했다. 

그는 나홀로 세대 중 유튜브를 들으며 샤워하는 이들에게 카메라 방향을 꼭 다른 쪽으로 돌려 놓을 것을 추천한다고 한다. 혹시 악성코드가 깔려있을 경우 얼마든지 몰카가 가능하기 때문이라는 설명이다. 

문 이사는 "다만 실시간 카메라 녹화 기능 등을 사용하면 이용자에게 쉽게 발각될 수 있어 사실 이런 방법보단 들키지 않고 폰에 오래 머물면서 정보를 빼내는 인포스틸러 기능이 주로 사용된다"고 부연했다.

AS기사 위장해 악성 프로그램 심는다?…현실에선 한순간 방심을 노린다 

영화에서는 나미의 스마트폰에 악성 프로그램을 깔기 위해 준영이 AS 직원을 가장해 직접 스파이웨어를 심는 장면이 나온다. 

보안 전문가들은 스마트폰에 악성코드를 몰래 심는 작업은 영화 속 내용보다 현실에선 보다 수월하다고 말한다. 전 국민이 툭하면 받는 "배송을 확인해달라"는 스미싱 문자나 카카오톡 링크를 통해 악성 프로그램을 유포할 수 있다는 설명이다. 

최상명 다크트레이서 이사는 "실생활에선 특정 사이트에 접속하거나, 단순히 URL를 클릭해 스파이웨어에 노출되는 것 뿐만 아니라, 사용자의 전화번호만 알아도 문자로 스파이웨어를 보내 감염시킬 수 있다"고 지적했다. 

사용자가 일부러 설치하지 않아도 스마트폰에서 해당 문자 내용을 해석하는 과정에서 바로 스파이웨어에 감염된다는 게 그의 경고다. 최 이사는 "이는 패치(해결)되지 않은 OS 취약점을 악용한 것으로, 최근 삼성전자가 갤럭시 S23 시리즈에 '삼성 메시지 가드' 보안 솔루션을 적용한 것도 이런 이유"라고 설명했다. 

보안 전문가들은 스파이웨어와 같은 악성코드는 빠르게 진화하기 때문에 100% 완벽하게 방어할 순 없다고 말한다. 하지만 기본적인 예방 수칙만 잘 지키면 피해를 최소화할 수 있다는 지적이다. 가령 운영체제(OS)를 항상 최신 버전으로 업데이트하고, 보안 프로그램으로 실시간으로 악성코드 감염 여부를 확인하는 습관을 들여야 한다.

또 앱은 믿을 수 있는 공식 사이트에서 다운 받는다. 만약 스마트폰 탈취 상황을 대비해 스마트폰을 원격으로 다룰 수 있는 방법을 익혀두는 것도 필요하다고 당부했다. 아이폰 사용자라면 '내 아이폰 찾기' 기능이 도움이 된다. 안드로이드 사용자라면 구글 계정을 통해 원격으로 스마트폰을 보호할 수 있다.

 내가 메신저 지인들에게 '돈'을 요구했다고? 현실 속 2차범죄 

영화에서 준영은 스마트폰 속 나미의 최근 검색 기록과 SNS, 메신저 대화 내용 등을 통해 좋아하는 스포츠와 게임, 노래 등 취향을 파악해 그녀의 환심을 살 수 있었다. 뿐만 아니라 회사, 연봉, 야근 횟수, 입사년도, 직원수 등의 정보를 파악해 2차 범죄에 악용했다.

전문가들은 정보 유출로 인한 2차 피해를 예방하기 위해선 SNS 등 온라인에 너무 상세한 개인정보를 공유하지 말 것과 메신저나 SNS, 메일 계정 서비스를 사용할 때 지문이나 홍채인증 등 생체인증 방식을 포함해 추가 계정 인증 절차를 둘 것을 권고했다. 

한 보안 전문가는 "많은 사람들이 메일 계정과 여러 포털 사이트나 서비스 앱 계정에 동일 아이디와 비밀번호를 쓰는 경우가 많고 인증절차도 허술하게 설정해 놓다 보니 한 곳에서 계정이 털리면 동시다발적으로 다른 서비스 계정이 탈취되는 일이 비일비재하다"며 "자신도 모르게 사이에 자신의 메일계정으로 스팸메일을 보내거나 메신저나 SNS로 지인에게 돈을 빌리는 범죄가 기승을 부리는 것도 이 때문"이라고 지적했다.