스마트폰은 휴대전화 기능을 갖춘 컴퓨터다. 스마트폰도 일반 PC와 마찬가지로 ‘디도스’(DDoS·분산서비스거부) 바이러스에 감염되면 해커의 의도대로 특정 사이트를 공격하는 ‘좀비폰’으로 바뀔 수 있다.

22일 보안업계에 따르면 스마트폰 보안 현실은 위험 수위를 넘어선 상태로 지난해 8월 국내 안드로이드 전용 악성코드가 처음 출현한 후 현재까지 발견된 악성코드는 2151개에 달한다.

국내에서는 지난해 스마트폰 155대가 악성코드인 ‘트레드다이얼’에 감염됐다. 악성코드는 사용자도 모르게 50초 단위로 국제전화를 걸어 요금을 지급하도록 했다. 최근에는 유료 과금 전화로 문자메시지(SMS)를 보내는 바이러스와 스마트폰 통화 내용을 녹음하는 악성코드가 나타났다.

‘3·4 디도스 공격’처럼 스마트폰을 통한 디도스 공격 우려도 커지고 있다. 특히 스마트폰을 기반으로 한 모바일 인터넷전화(mVoIP) 서비스의 보안 취약점도 원인이 된다. 무선랜(와이파이)이 더 많은 위협에 노출돼 있어 스마트폰으로 착신 전화를 할 때 해커에 의해 좀비폰으로 둔갑하면서 디도스 공격에 악용될 수 있다.

이형우 한신대 교수는 “현재 mVoIP 서비스 업체들이 인증을 강화하기 위한 암호화 작업을 거의 하지 못하고 있는 상황”이라면서 “악성코드에 감염된 스마트폰이 사용자의 의지와 상관없이 특정 사이트에 대량 접속하면 서버가 검증하지 못해 좀비폰으로 인한 ‘디도스 대란’이 발생할 수 있다.”고 우려했다.

국내외 안드로이드 마켓에서 발견된 악성코드 10개 중 9개는 ‘메이드 인 차이나’이다. 검증이 안 된 중국산 애플리케이션(앱)을 내려받다가 좀비폰으로 둔갑할 수 있다.

정현철 한국인터넷진흥원(KISA) 인터넷전화 보안팀장은 “스마트폰의 운영체제(OS)와 앱이 많이 공개돼 전문가가 클릭 몇번만 하면 악성코드가 만들어진다.”며 “해커가 좀비폰으로 디도스 공격을 시도하면 그 파괴력은 좀비 PC를 동원한 공격 수준을 뛰어넘을 것”이라고 말했다.

이두걸기자 douzirl@seoul.co.kr