실제로 첨단 Android 기기는 업무, 놀이, 창작, 커뮤니케이션 및 기타 다양한 활동을 포함하여 여가를 즐기고 생산적인 활동을 할 수 있는 다양한 기능을 제공합니다.
수많은 보안 위험이 지속적으로 증가하고 있지만, 이러한 위협은 개인 정보의 무결성을 위협할 뿐만 아니라 Android 기기에서 사용자의 안전을 위협할 수 있습니다. 잠재적인 위험과 관련하여 정확히 무엇을 주의해야 할까요?
바이러스
보안 목록 의 보고서에 따르면 카스퍼스카이는 2023년 2분기에만 570만 건 이상의 바이러스, 애드웨어 및 위험 소프트웨어 공격을 Android 디바이스에서 차단했습니다.
유용한 유틸리티로 가장한 원치 않는 애플리케이션이 만연한 문제로, 확인된 위험의 3분의 1 이상을 차지합니다. 소위 “위험 도구”라고 불리는 이러한 잠재적인 원치 않는 프로그램은 기기에 광고를 가득 채우거나 민감한 정보를 수집하여 사용자 개인 정보를 침해하거나 감시를 용이하게 할 수 있습니다.
최신 연구 결과에 따르면 디지털 영역에서 위협이 점점 더 많이 발생하고 있습니다. 특히 지난 분기에는 37만 개가 넘는 악성 앱이 탐지되는 등 상당한 수의 악성 앱이 발견되었습니다. 이 수치에는 민감한 금융 데이터를 무단으로 추출하기 위한 모바일 뱅킹 트로이 목마가 6만 개 가까이 포함되어 있으며, 돈을 지불하지 않으면 디바이스에 대한 액세스를 제한하는 모바일 랜섬웨어도 1,300개 이상 발견되었습니다. 안타깝게도 이러한 통계는 사이버 범죄자들이 계속해서 기술을 향상시키면서 더 늘어날 것으로 예상됩니다. 또한 카스퍼스키 랩은 이전에 알려지지 않은 형태의 랜섬웨어와 뱅킹 트로이 목마를 발견했다고 보고했습니다. 흥미롭게도 이러한 위협 중 하나는
로 위장한 것으로 관찰되었습니다. 애드웨어는 탐지된 위협의 20% 이상을 차지할 정도로 사이버 보안에서 계속해서 중요한 관심사입니다. MobiDash 및 HiddenAd와 같은 교활한 애드웨어 제품군은 은밀한 프로세스를 사용하여 사용자에게 침입성 광고를 대량으로 표시합니다. 이러한 악성 프로그램은 가장 많이 보고된 원치 않는 소프트웨어 인스턴스의 원인이었습니다.
Android 기기를 사용하는 동안 안전을 보장하려면 Google Play 스토어에 의존하고, 요청된 권한을 신중하게 검토하고, 최신 보안 소프트웨어를 유지하고, 신뢰할 수 있는 모바일 보안 솔루션을 사용하는 것이 좋습니다.
피싱
피싱 사기는 Android 사용자에게 또 다른 대규모 보안 위험입니다. 이러한 공격은 사회 공학 및 가짜 인터페이스를 사용하여 사용자를 속여 민감한 정보를 넘기도록 유도합니다. Straitimes는 경찰 보고서에 따르면 2023년 3월 이후 싱가포르에서만 최소 113명의 Android 사용자가 피싱 사기로 약 44만 5천 달러의 손실을 입었다고 보도했습니다.
모바일 디바이스에 대한 피싱 공격이 점점 더 널리 퍼지고 있으며, 사기범들은 다양한 수법을 사용하여 사용자를 속이고 있습니다. 가장 빈번한 방법 중 하나는 위조된 뱅킹 로그인 화면으로 피해자를 유도하는 앱이나 링크를 사용하여 자격 증명과 일회용 비밀번호를 입력하라는 메시지를 표시하는 것입니다. 이러한 세부 정보를 입수하면 사이버 범죄자는 진짜 뱅킹 애플리케이션에 액세스하여 승인되지 않은 금융 거래를 수행할 수 있습니다. 경우에 따라 이러한 피싱 앱에는 사용자 이름과 비밀번호와 같은 민감한 정보를 몰래 캡처하는 악성 소프트웨어가 포함될 수도 있습니다.
피싱 공격은 사이버 범죄자들이 소셜 미디어 플랫폼과 메시징 애플리케이션을 통해 의심하지 않는 개인을 속이기 위해 사용하는 일반적인 수법입니다. 이러한 공격자는 종종 평판이 좋은 조직을 사칭하여 제품이나 서비스를 구매하기 위해 악성 링크를 클릭해야 한다고 대상자를 설득합니다. 기술이 계속 발전함에 따라 스트리밍, 온라인 게임, 크라우드 펀딩 등과 같은 인기 있는 디지털 서비스와 관련된 피싱 시도가 증가할 것으로 예상됩니다.
피싱 공격은 코로나19 팬데믹과 같은 시사 이슈와 인기 주제를 활용한 맞춤형 콘텐츠를 사용하기 때문에 탐지가 점점 더 어려워지고 있습니다. ChatGPT와 같은 인공지능 모델을 포함한 인공지능 기술의 도입은 매우 설득력 있는 피싱 웹사이트와 메시지 생성을 용이하게 함으로써 이 문제를 더욱 악화시켰습니다.
임베드된 소셜 미디어 광고를 이용할 때는 신중을 기해야 합니다. 익숙하지 않은 애플리케이션이나 개발자와 상호 작용할 때는 주의를 기울이고 부여된 권한을 면밀히 검토해야 합니다.
미패치 취약점
구글은 개의 안드로이드용 보안 업데이트를 발표하여 미패치 버그가 여전히 안드로이드 사용자에게 주요 문제임을 보여주었습니다. 구글에 따르면 가장 심각한 신규 취약점 중 하나는 시스템 구성 요소의 악성 원격 코드 실행 버그인 CVE-2023-21273으로, 해커가 사용자가 아무것도 하지 않아도 장치를 완전히 제어할 수 있게 해줍니다.
모바일 디바이스에서 악성 코드를 실행할 수 있는 미디어 프레임워크(CVE-2023-21282) 및 커널 구성 요소(CVE-2023-21264)를 포함하여 여러 가지 중요한 취약점이 확인되었습니다. 또한 무단 액세스를 허용하거나 시스템 충돌을 일으키거나 사용자 동의 없이 민감한 정보를 공개할 수 있는 30개 이상의 우선순위가 높은 취약점이 추가로 발견되었습니다.
실제로 수많은 Android 기기가 중요한 보안 패치가 포함된 업데이트를 적시에 받지 못하고, 경우에 따라서는 아예 받지 못하는 경우도 있다는 것은 유감스러운 일입니다. 최신 플래그십 모델을 소유하지 않은 사용자의 경우 기기가 몇 달 또는 몇 년 전에 Google에서 해결한 버그에 취약할 확률이 상당히 높습니다. 또한, 매년 또는 격년 단위로 스마트폰을 새로운 고급 모델로 교체할 수 있는 재정적 여유가 있는 사람은 극히 일부에 불과하다는 것은 안타까운 사실입니다.
실제로 안드로이드 기기의 소프트웨어를 최신 상태로 유지하는 것은 기본적인 보안 조치로 우선순위를 두어야 합니다. 기기의 수명이 다하여 더 이상 업데이트를 받을 수 없는 경우 지속적인 보안 패치를 지원하는 리퍼비시 또는 중고 모델로 전환하는 것이 좋습니다.
공용 Wi-Fi 해킹
무료 공용 Wi-Fi는 데이터 요금제가 소진되었거나 연결이 제한된 사람들에게는 반가운 휴식처처럼 보일 수 있지만 카페, 공항, 호텔 등의 장소에서 이러한 네트워크에 연결하기 전에 주의를 기울이는 것이 중요합니다. 사이버 범죄자들이 이러한 취약점을 악용하기 위해 점점 더 악랄한 수법을 사용하는 만큼, Android 기기 소유자는 민감한 정보와 로그인 자격 증명을 손상시킬 수 있는 잠재적 위협에 대해 경계를 늦추지 말아야 합니다.
네트워크 트래픽을 가로채기 위해 일반적으로 ‘핫스팟’이라고 하는 무단 무선 액세스 포인트를 설정하는 것은 악의적인 의도를 가진 개인이 비교적 쉽게 달성할 수 있습니다. 공용 네트워크는 이러한 공격에 취약하여 로그인 자격 증명, 금융 계정 세부 정보, 신용카드 번호 등 다양한 기밀 데이터가 탈취될 수 있습니다.
중간자 공격과 같은 적대적 전술은 사이버 범죄자가 사용자의 디바이스와 Wi-Fi 라우터 사이에 위치하여 네트워크 트래픽을 가로채고 잠재적으로 조작할 수 있도록 합니다. 또한 다른 수법은 기만적인 수단을 통해 악성 소프트웨어를 배포하여 사용자가 사기성 무선 연결에 연결하도록 강요합니다.
특정 상황에서 Android 기기는 이전에 사용했던 무선 네트워크에 자동으로 다시 연결되는 것으로 알려져 있으며, 이로 인해 의도하지 않게 손상된 공용 네트워크에 연결될 수 있습니다. 따라서 가능하면 공용 Wi-Fi 사용을 자제하는 것이 좋습니다. 하지만 부득이하게 사용해야 하는 경우 신뢰할 수 있는 가상 사설망(VPN)을 사용하면 보안을 강화하는 데 도움이 될 수 있습니다. 또한 자동 재연결 설정을 비활성화하고, ‘보안되지 않은 네트워크’ 알림에 유의하며, 기밀 애플리케이션이나 웹사이트에 액세스하는 동안 잠재적인 도청자에 주의하는 것도 신중한 조치입니다.
집에서 개인 네트워크의 개인 정보를 보호하는 것도 중요하지만, 공용 Wi-Fi 연결을 통해 원격으로 이러한 네트워크에 액세스할 때도 각별한 주의가 필요합니다. 이러한 보안되지 않은 연결을 통해 클릭하거나 정보를 입력하거나 이메일을 열기 전에 민감한 데이터, 신원 및 계정 보안을 손상시킬 수 있는 잠재적 침해를 피하기 위해 잠시 멈춰서 고려하는 것이 현명합니다.
USB 충전 위험
방전된 휴대폰 배터리를 탐색하는 것은 문화적, 언어적 장벽을 뛰어넘는 고된 작업일 수 있습니다. 그러나 공용 USB 충전 포트는 보안 위협이 될 수 있으므로 주의해야 합니다. 부도덕한 사람들이 의심하지 않는 사용자의 Android 기기에 무단으로 액세스하기 위해 이러한 충전 스테이션을 조작하는 것으로 알려져 있습니다.
주스 재킹은 사이버 범죄자가 오염된 충전 케이블을 통해 기기를 감염시키고 민감한 정보를 탈취하며 무단으로 액세스할 수 있도록 하는 교묘한 기술입니다. 공항, 쇼핑 센터, 식당과 같은 공공장소에서 이러한 악의적인 공격이 확산되면서 편리한 에너지 보충이라는 미끼로 사용자를 유인하여 심각한 위협이 되고 있습니다.
악의적인 케이블이나 충전 장치는 연결되면 사용자가 장치를 열지 않아도 즉시 휴대폰을 오염시킬 수 있습니다. 이렇게 되면 악성 소프트웨어가 휴대폰이 눈에 띄지 않게 충전되어 있는 동안 휴대폰의 개인 정보 및 데이터를 유출할 수 있습니다.
잠재적인 보안 위험으로 인해 공용 USB 충전소 사용을 완전히 자제하는 것이 좋습니다. 그러나 불가피하게 사용해야 하는 경우에는 충전소에서 제공하는 충전 케이블과 전원에 의존하지 말고 개인 충전 케이블과 전원을 휴대하는 것이 현명할 것입니다. 또한 충전 중에는 휴대폰을 잠그고 파일 전송 활동을 금지하는 등의 조치를 취하고, 충전 후에는 기기를 철저히 검사하여 비정상적이거나 승인되지 않은 활동이 있는지 확인하는 것이 좋습니다.
또는 전기 흐름은 허용하지만 정보 교환은 차단하는 USB 데이터 차단 장치를 선택할 수도 있습니다. 장기적으로는 승인되지 않은 충전소가 상당한 위협이 될 수 있으므로 타사 옵션을 사용하는 것보다 원래 사용하던 충전기와 배터리를 사용하는 것이 좋습니다. 휴대용 배터리를 휴대하는 데 드는 추가 비용은 주스 재킹과 관련된 잠재적 위험에 비하면 미미한 수준입니다.
물리적 장치 도난
모바일 장치에는 비밀번호, 계정부터 사진, 메시지 등에 이르기까지 방대한 양의 개인 데이터가 포함되어 있습니다. 따라서 이러한 민감한 정보를 훔쳐서 악용하려는 도둑들의 주요 표적이 되고 있습니다. BBC 에 따르면 런던에서 9만 대 이상의 휴대폰이 도난당했다고 메트로폴리탄 경찰이 보고했습니다. 휴대폰 도난이 가장 많이 발생하는 장소는 레스토랑, 바, 공항, 대중교통과 같은 공공장소입니다.
고도로 숙련된 범죄자들은 민감한 정보에 액세스하기 위해 PIN을 몰래 관찰하거나 피해자의 기기를 강제로 압수하는 등의 기술을 사용합니다. 일단 휴대폰을 손에 넣으면 무차별 암호 대입 공격을 통해 잠금 화면의 장벽을 극복하고, 안드로이드의 보안 조치를 우회하고, 개인 정보를 빼내는 유해한 소프트웨어를 설치할 수 있습니다.
무단 액세스를 방지하고 모바일 장치에 저장된 민감한 정보를 보호하려면 절전 모드에서 잠금 화면이 즉시 활성화되도록 잠금 화면 설정을 구성할 것을 적극 권장합니다. 또한, 쉽게 식별할 수 있는 패턴이나 생일과 같은 개인 식별자보다는 임의의 문자 시퀀스와 같이 예측하기 어려운 비밀번호를 사용하는 것이 좋습니다. 또한, 분실 또는 도난 시 원격 위치 추적 및 데이터 삭제 기능을 사용할 수 있도록 Android 운영 체제 내에서 ‘내 디바이스 찾기’ 기능을 미리 활성화하는 것이 현명합니다.
실제로 잠금 화면 패턴 설정이나 생체 인증과 같은 예방 조치를 취했음에도 불구하고 휴대폰을 물리적으로 분실하거나 도난당한 경우 권한이 없는 사람이 기기에 저장된 민감한 정보에 액세스할 수 있는 가능성은 여전히 존재합니다. 개인 데이터를 완벽하게 보호하려면 분실 또는 도난 시 원격 잠금, 삭제 및 복구 기능과 같은 기능을 갖춘 강력한 모바일 보안 솔루션을 사용하는 것이 필수적입니다. 또한 중요한 파일을 외부 저장 장치에 백업하면 잠재적인 침해에 대한 보호 수준을 더욱 높일 수 있습니다.
실제로 잠금 해제된 디바이스를 확보하면 강도에게 가상 도메인에 대한 액세스 권한을 부여하는 것과 같습니다. 공공장소에서는 신중을 기하고 휴대전화를 보호할 가치가 있는 민감한 정보의 저장소로 취급하는 것이 필수적입니다.
안드로이드 위협에 대한 방심은 금물
안드로이드의 기본 보호 기능이 지속적으로 개선되고 있음에도 불구하고 이러한 취약점은 사전 예방과 부지런함의 중요성을 강조합니다.모바일 기기가 제공하는 편리함과 자유로움에 현혹되어 보안에 대한 안일한 태도를 취해서는 안 됩니다.
디지털 자산을 보호하려면 모든 계정에 대해 2단계 인증과 함께 강력하고 고유한 비밀번호를 사용하는 것이 중요합니다. 애플리케이션을 다운로드하기 전에 평판이 좋은 개발자가 출시한 애플리케이션인지 신중하게 평가하세요. 운영 체제 및 보안 소프트웨어를 정기적으로 업데이트하여 최적의 보호를 보장하세요. 또한 위치 추적 기능과 디바이스 분실 시 원격으로 데이터를 삭제할 수 있는 기능을 활성화하세요. 마지막으로, 기밀 정보를 입력하거나 보안되지 않은 Wi-Fi 연결 및 충전 스테이션을 통해 네트워크에 액세스할 때는 항상 신중을 기하세요.