한국MS, 숭실대 스마트폰 해킹 테스트 반박

 스마트폰 해킹에 성공했다는 한 대학교 보안연구팀의 연구결과에 대해 한국마이크로소프트가 테스트 환경에 문제가 있다며 정면으로 반박하고 나섰다.

16일 한국마이크로소프트(한국MS)는 스마트폰 취약성을 이용해 해킹에 성공했다고 지난 1일 발표한 숭실대학교 IT대학 컴퓨터학부 이정현 교수보안연구팀의 해킹 테스트에 대해 “해킹이 가능하도록 스마트폰 환경을 구성한 후 테스트한 것으로 일반 사용자 환경에서 이같은 해킹 환경에 노출되는 것은 사실상 불가능하다”고 밝혔다.

한국MS가 이처럼 문제를 삼는 것은 이번 이 교수 보안연구팀의 해킹 대상이 모두 MS의 스마트폰 운용체계(OS)인 ‘윈도모바일’이 설치된 스마트폰이기 때문이다. 한국MS는 이번 테스트로 인해 ‘윈도모바일’의 보안성에 문제가 있다는 인식이 생길 것을 우려해 검증에 나선 것이다.

한국MS는 이 교수 보안연구팀에서 시연한 해킹이 가능하려면 △특정 프로그램(닷넷 프레임워크3.5)이 설치돼 있어야하며 △사용자가 휴대폰번호를 스마트폰에 입력해 놓은 상태에서만 가로채기 수법이 가능하고 △악성코드 설치도 특정포트가 열려있어야 된다고 밝혔다. 그러나 현재 윈도모바일 스마트폰에는 ‘닷넷 프레임워크3.5’가 설치돼 있지 않은데다가 사용자의 대부분이 본인 휴대폰에 번호를 입력하지 않아 실효성이 크게 떨어진다고 설명했다.

또, 악성코드가 설치되는 포트를 인위적으로 열어놓은 상태에서 테스트를 시행한 것으로 실제 이용자 환경에서는 사용자가 일부러 설치하는 경우를 제외하고 감염될 수 없다고 덧붙였다.

한국MS 이상용 CSA 부장은 “이 교수연구팀이 시행한 테스트는 윈도모바일 취약점을 이용한 것이 아니라 해킹 환경을 인위적으로 조성한 상태에서 이뤄진 것으로 동일한 조건이라면 어떤 스마트폰 운용체계도 해킹이 가능할 것”이라며 “의도된 해킹이라는 점에서 이번 테스트는 현실성이 떨어지며 이로 인해 스마트폰 보안에 대한 과도한 불안감을 조성하게 된다”고 말했다.

이같은 지적에 대해 이정현 교수는 “이번 실험은 개념적으로 해킹이 가능하다는 것을 검증한 것으로 별도의 악성코드를 제작하지 않았지만 이미 해외에서는 스마트폰용 SMS 해킹 솔루션이 판매되고 있어 이를 악의적인 목적으로 활용할 수 있다”며 “또, 많은 스마트폰 사용자들이 악성코드 여부를 제대로 확인하지 않고 설치하고 있어 위험성이 높다”고 설명했다.

한편, 이처럼 양측의 공방이 이어지자 한국정보보학회 주최로 17일 서울 삼성동 섬유센터에서 스마트폰 보안에 대한 공개 토론회가 개최되는 등 스마트폰 안정성 문제가 공론화될 전망이다. 이번 토론회에서 한국MS는 지정토론에 참석해 공식 입장을 밝힐 예정이다. 반면, 이정현 교수측은 불필요한 오해가 생길 수 있다는 이유로 참석을 거부한 상태다.

서동규기자 dkseo@etnews.co.kr