2016년 6월 9일(목)



유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱,http://www.estc.co.kr)는 스마트폰 중고 거래를 통한 개인정보 유출 사례가 다수 발견되어 이에 주의를 요한다고 전했다.


최근 새로운 스마트폰이 쏟아지듯 출시되고 있는 가운데, 기기변경이나 번호이동 등의 통신사 서비스를 활용하여 최신 기종의 스마트폰으로 갈아타는 이용자가 늘어나고 있다. 스마트폰의 사용 주기는 점점 짧아지고 있으며, 기존 사용하던 중고 스마트폰도 실사용에 전혀 문제가 없기 때문에 이를 온라인 중고시장에서 사고 파는 이용자도 흔히 볼 수 있다. 그러나 중고 스마트폰 판매자들은 낯선 사람의 손에 자신의 중요한 정보가 노출될 수 있다는 위험성을 간과한 채로 기기를 판매하고 있는 것이 현실이다.


스마트폰 내의 정보를 삭제하는 것만으로 해당 정보가 완전히 지워졌다고 믿을 수 있을까? 불행하게도 그렇지 않다. PC 를 비롯한 대부분의 IT 장비에서 파일 삭제란, 추후 데이터를 기록할 수 있는 공간을 확보한다는 의미이며, 확보된 공간에 새로운 쓰기 동작이 수행되기 전까지는 이전 데이터를 그대로 보관하고 있기 때문이다. 이러한 종류의 삭제를 "논리적인 삭제"라 말하며, 거의 모든 운영 체제가 이러한 방법을 사용한다. 이와 반대로, "물리적인 삭제"라 불리우는 방법은, "논리적 삭제"로 확보된 공간에 0, 1 등의 정크 데이터를 기록함으로써 이전 데이터의 흔적을 모두 지우는 것인데, 데이터 복원을 어렵게 만들 수 있지만 훨씬 오래 걸리기 때문에 일반적인 용도에서는 많이 사용되지 않는다.


그렇다면, 사용하던 스마트폰을 공장 출고시 설정으로 복원하면 어떻게 될까? 이는 기종에 따라 다르다. 애플과 블랙베리 제품은 나중에 데이터가 복구되는 것을 방지하기 위해 하드웨어 암호화를 기본적으로 수행하는 반면, 모든 안드로이드 장치는 저장되어 있던 많은 양의 데이터를 복구할 수가 있는 것으로 알려져 있다. 애플과 블랙베리 제품은 공장 초기화시 전체 데이터의 "물리적 삭제" 대신에 암호화에 사용된 키만 "물리적 삭제"를 수행함으로써 보다 더 효율적이면서 안전하게 장치의 데이터를 초기화 할 수 있다. 반면, 안드로이드 기기는 이러한 암호화 기능이 기본적으로 수행되지 않기 때문에 여러 번의 공장 초기화를 거친 기기의 데이터도 복구가 가능하다.


그렇다면 타인이 자신의 개인정보를 복구하는 것을 어떻게 방지할 수 있을까? 물론 애플 제품의 사용자라면 공장 초기화 만으로 충분하지만, 안드로이드 기기 사용자는 이야기가 달라진다.



(주)이셋코리아의 김남욱 대표는 "스마트폰은 매우 개인적인 기기입니다. 실제로 스마트폰 내부에는 각종 신용카드 정보, 구매 기록, 일정, 위치 정보, 파일 및 관련 메타 데이터, 친구와 가족의 사진과 비디오, 인터넷 접속 기록, 로그인 ID 및 이메일, 문자 메시지, 소셜 미디어 로그 채팅 및 기타 정보들이 포함되어 있으며, 이러한 스마트폰 내의 정보는 잠재적으로 스마트폰 소유자에 대하여 사회 공학적 기법의 사이버 공격을 가능하게 하는 정보로 활용될 수 있습니다. 또한, 기기에 설치된 온라인 쇼핑, 뱅킹, 소셜 네트워크 애플리케이션의 계정을 도용하여 접근할 수도 있습니다. 스마트폰에 저장된 데이터를 복구하기 위한 도구들은 쉽게 입수가 가능하며, 주로 포렌식 분석 도구로 알려져 있지만, 악용될 경우 개인정보를 탈취하는 도구로도 사용될 수 있기 때문에 범죄에 이용될 소지가 크다고 볼 수 있습니다."라고 언급하면서, "안드로이드 스마트폰 내의 데이터 복구를 어렵게 만드는 가장 간단한 방법은 공장 초기화 전에 장치를 한 번 암호화하는 것입니다. 복호화에 필요한 키는 사용자가 지정한 패스워드로 관리되고, 저장된 데이터는 모두 암호화되어 있기 때문에 추후 복구를 어렵게 만드는 것이 가능합니다. 전문적인 사용자라면 기기를 리커버리 모드로 진입시켜 저장장치를 포맷하는 방법도 있으며, 효과는 동일하다고 볼 수 있습니다. 아울러, 판매 전에 SIM 카드 및 마이크로 SD 카드를 제거하는 것을 잊지 말아야 합니다." 고 스마트폰 중고거래시 주의를 당부했다.



사업자 정보 표시
ESET KOREA operated by ESTC | 정형래 | 서울시 강남구 논현로 406 요경빌딩 4층 | 사업자 등록번호 : 264-81-44862 | TEL : 070-7839-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

안전한 기술을 즐기는 ESET KOREA operated by ESTC 공식 블로그입니다.

댓글을 달아 주세요