스마트폰 “함부로 버리거나 팔면…”
인류 문명이 21세기로 들어선 뒤 최고의 발명품으로 스마트폰을 꼽는 경우가 많다.
전 세계적으로 수십억 명이 사용하는 스마트폰은 등장한 지 겨우 20여 년 만에 다양한 기능을 통해 우리 삶의 방식을 완전히 바꿔놓은 생활필수품이 됐다.
하루가 멀다고 새로운 앱이 등장하는 등 현재진행형인 스마트폰의 눈부신 기술 발전은 젊은 세대에게는 환호할 일이지만, 미처 이를 따라가기도 벅찬 세대에게는 푸념 거리가 늘어났을 뿐만 아니라 실생활에서도 많은 지장을 받는 실정이다.
인터넷을 통한 은행 거래는 물론 지도를 통한 위치 확인, 또한 관공서 일을 처리한다든지 식당 예약을 비롯한 거의 모든 일상생활이 스마트폰 안에서 이뤄지는 가운데 또한 이를 이용한 사기꾼까지 대거 설치면서 조심해야 할 것이 한두 개가 아닌 세상이다.
그러다 보니 음악이나 사진, 동영상은 물론 은행 계좌 정보를 포함한 개인정보가 빼곡히 담긴 스마트폰 관리를 일순간 방심했다가 경제적인 피해까지 본 사례는 셀 수조차 없이 많다.
<스마트폰 유심 유출 사건 터진 SK 텔레콤>
지난 4월 한국에서는 한국 통신 역사상 최악의 해킹 사건으로 평가되는 대규모 ‘유심(USIM)’ 정보 유출 사고가 발생했다.
약 2,300만 명의 SK 텔레콤 가입자 정보를 포함한 민감한 데이터가 유출됐는데, 그럼에도 불구하고 5월 중순까지도 정확한 해킹 경로와 배후가 밝혀지지 않아 이용자들의 불안이 지속되고 있다.
당초 지난 4월 중순에 처음 사건이 발생한 것으로 알려졌지만 정부 기관의 조사 결과 악성 코드에 의한 서버 침투가 2022년 6월부터 시작되었을 가능성이 제기됐다.
유출된 정보는 유심(USIM) 정보, 단말기 고유 식별번호(IMEI), 고객 이름과 전화번호 등이다.
이에 따라 SK텔레콤은 전국 2,600여 개 매장에서 무료로 유심 교체 서비스를 했으며 유심 보호 서비스(SIM Protection Service) 가입을 권장하는 한편, 클라우드 계정 연동 제거 및 데이터 완전 삭제 후 초기화도 당부하고 있다.
복제폰을 통한 금융사기는 없을 거라는 정부 및 관련 기관의 의견에도 불구하고 가입자들의 우려가 가시지 않은 가운데 40만 명이 넘는 가입자가 회사를 옮기면서 한국 제1의 이동통신사인 SK 텔레콤은 주가가 내려가고 기업 신뢰도에도 큰 타격을 입었다.
또한, 이런 혼란을 이용한 사기꾼들이 대거 등장해 SK 텔레콤이니 정부 기관을 사칭해 전자금융 사기(피싱)나 문자 결제 사기(스미싱)으로 공격하는 사례도 덩달아 많이 늘어났다.
그 결과 한국인터넷진흥원(KISA)은, 정부 기관 및 SKT를 사칭해 악성 앱 설치를 유도하고 보이스 피싱을 시도해 민감정보 탈취 및 금전 피해를 주는 해커에 대한 주의를 당부하고 나섰다.
이번 사건은 스마트폰에 기반한 삶이 일상이 된 한국에서 커다란 사회적 파장을 일으키면서, 통신 인프라 보안에 대한 국민적 불안이 증가하는 한편 정부나 기업의 사이버 보안 강화 필요성을 역설하는 목소리도 덩달아 커졌다.
이와 더불어 스마트폰 이용자 스스로가 개인정보 보호의 중요성을 인식하고 개별적인 보안 조치에 신경을 더 써야 한다는 점도 다시 한번 각인시키는 계기가 됐다.
한편, 통신사가 직접 문제를 일으킨 이번 사건과 경우가 조금 다르기는 하지만, 몇 년 전 한국 경찰청 사이버수사대에서는 스마트폰과 관련한 한 금융사기 사건을 발표하면서 사회에 충격과 함께 경종을 울린 바 있다.
당시 한 남성이 쓰던 스마트폰을 아무런 조치도 없이 전자제품 수거함에 버렸는데, 이를 수거한 사람이 복원 프로그램으로 폰 내부의 사진, 문자메시지, 연락처는 물론 중요한 공인인증서 파일까지 복구해 냈다.
이 자료를 갖고 범인은 피해자 명의로 금융 대출까지 받아냈는데, 피해자는 자신이 대출을 받은 사실조차 까마득히 몰랐고 대출 상환 독촉장을 받고서야 뒤늦게 사건을 알게 됐다.
당시 피해자는 노인이었으며 당시 시건은 특히 스마트폰 사용에 익숙하지 않은 고령층에게 큰 경각심을 주었다.
<안 쓰는 스마트폰 “범죄 무서워 집에 둔다”>
한편, 관련 통계를 보면 뉴질랜드의 18~24세, 이른바 Z세대 대부분이 최신형 스마트폰을 갖고 있고 그중 62%는 지난 5년간 손상, 분실 또는 도난으로 스마트폰을 수리하거나 교체한 경험이 있었다.
또한 기술에 민감하고 최신 기능을 가장 선호하는 25~34세는 2년 이내 출시한 모델의 스마트폰 사용자 중 29.3%를 차지했는데, 이들은 다른 세대에 비해 폰 교체 주기도 상대적으로 짧았다.
55세 이상도 최신 스마트폰 사용자 중 19.3%를 차지했는데, 이 연령대는 기존 기기를 가능한 한 오래 사용하는 경향이 있어 교체 주기가 길다는 특징이 있다.
이처럼 교체 주기가 연령대별로 상이하기는 하지만 지금은 스마트폰은 몇 년에 한 번씩 바꾸는 게 일상인데, 이를 폐기하거나 중고로 팔 때 문제가 발생하고 있다.
이제는 스마트폰을 포함한 노트북, 컴퓨터 등 각종 전자기기를 무심코 버리거나 중고로 판매하면 그 안에 남은 민감한 정보가 범죄에 악용될 수 있다는 사실 자체는 잘 알려진 일반적 상식 중 하나이다.
하지만 문제는 이를 막기 위해 단순히 파일을 삭제하거나 ‘공장 초기화(factory resets)’를 실행하는 것만으로는 충분하지 않다는 점인데, ‘전문적인 도구(specialised tools)’을 이용하면 여전히 많은 데이터를 쉽게 복원할 수 있기 때문이다.
실제로 eBay에서 판매된 중고 ‘저장장치(storage device)’의 42%에서 여권 사진이나 학교 성적증명서, 기업 문서 등을 포함한 민감한 데이터가 여전히 발견되고 있는 것으로 알려졌다.
유럽에서 아프리카의 가나로 수출한 폐가전 제품 중 일부에서는 기업 및 정부의 극히 중요한 기밀문서가 무더기로 남았다는 사실이 공개된 사례도 있었다.
또한 미국 대형 통신사에서 저장장치를 안전하게 폐기하지 않아 1,400만 명의 고객 정보가 유출되기도 했으며, 지난 2021년에는 의료용 하드 디스크 드라이브를 부주의하게 폐기해 10만 명 이상 환자의 민감한 정보가 유출된 사례도 있다.
상황이 이렇다 보니 그중에서도 특히 스마트폰 사용자가 전화기를 바꿀 때, 쓰던 전화기를 팔거나 폐기하지 않고 아예 집 안에 모셔두는 사례도 늘고 있다.
한국의 정보통신정책연구원(KISDI)이 지난해 내놓은 ‘번호가 없는 ‘중고 휴대폰(공기계) 보유 현황 조사 자료’에 따르면, 당시 전체 응답자 9,425명 중 1,406명(15%)이 ‘중고폰을 집 안에 갖고 있다’고 답한 것으로 나타났다.
그중 대부분의 응답자인 97.3%가 보관하는 이유로 ‘개인정보 유출 우려’를 꼽았는데, 결국 이는 재사용할 가능성이 있는 자원을 방치하고 있는 셈이기도 하다.
<공장 초기화만으로는 절대 안심 못 해>
많은 스마트폰 사용자가 스마트폰에 내장된 이른바 ‘공장 초기화’를 실행하면 데이터가 완전히 삭제된다고 믿는데 실제로는 그렇지 않다.
한 연구에 따르면 공장 초기화 후 중고로 판매된 스마트폰의 35%에서 여전히 복구 가능한 데이터가 존재했으며, 특히 오래된 기기나 암호화 기능이 없는 기기에서는 초기화만으로는 데이터 복구를 막기 어렵다.
또한 iPhone은 기본적으로 하드웨어 암호화를 사용해 초기화 효과가 상대적으로 강력하지만 Android 기기는 제조사별로 암호화 및 초기화 방식이 달라 보안 수준 역시 제각각이다.
이에 따라 안전한 폐기를 위한 최선의 방법은 데이터를 ‘완전 삭제(data wiping)’하는 것인데, DBAN, Eraser와 같은 하드디스크 전문 삭제 소프트웨어를 사용하는 게 좋다.
또한 SSD는 플래시 메모리와 알고리즘을 사용하여 데이터를 저장하기 때문에 일반적인 삭제법이 효과가 없고 ‘BitLocker(Windows)’나 ‘FileVault(Mac)’로 암호화한 후 초기화하도록 권장된다.
앞서 언급했듯이 iPhone은 전체 초기화만으로 기본 암호화가 적용돼 안전하고 ‘완전한 재설정(full reset)’이 데이터를 지우는 가장 효과적인 방법인데, 한편 Android 기반 스마트폰은 안전한 삭제 옵션을 제공하는 ‘Shreddit’ 등 앱을 이용한다.
하지만 스마트폰 환경에 익숙하지 않은 고령층 사용자는 공장 초기화만으로 안전하다고 믿는 경우가 많은 데다가 또한 복잡한 보안 소프트웨어 설치나 암호화 작업이 어려워 결국 보안에 취약할 수밖에 없다.
이런 경우에는 가족이나 전문가 도움을 받아 안전한 초기화 및 데이터 삭제가 필요하며, 폐기 전에 전문가 또는 공인된 재활용센터를 찾는 것이 좋다.
항상 공장 초기화는 끝이 아니라 시작이라는 인식이 필요하며, 한 번의 초기화보다 한 번의 암호화가 더 안전하다는 사실을 잊지 말아야 한다.
공장 초기화는 두 세차례 반복하면 더 좋은데, 또한 폰에 장착된 SD 카드는 공장 초기화를 해도 데이터가 지워지지 않는 만큼 중고폰으로 되팔기 전에 이를 반드시 제거해야 한다.
한편, 민감하고 중요한 데이터가 있다면 아예 하드디스크를 자석을 활용한 강력한 자기장으로 파괴하거나 드릴로 구멍을 뚫거나 분쇄하는 등 ‘물리적 파괴(Physical destruction)’를 할 수도 있지만 이럴 경우 당연히 재활용은 불가하다.
또한 ‘인증된 재활용 서비스(certified recycling services)’를 이용할 수도 있는데, R2, e-Stewards, AS/NZS 5377 인증 여부를 확인해야 하며, ‘SERI(Sustainable Electronics Recycling International)’의 R2 인증 데이터베이스에서 재활용 업체를 검색할 수 있다.
SERI는 중고 및 수명이 다한 전자 제품이 초래하는 환경 및 건강 위험을 최소화하는 동시에 장비가 주는 사회와 경제적 가치 극대화를 목표로 하는 세계 유일의 비영리 전문 단체이다.
현재 SERI 웹사이트를 보면 43개 국가의 1,263개 시설이 인증된 곳으로 나오며, 하단의 검색 창에 사는 지역을 입력하면 인증 시설의 위치와 함께 어떤 종류의 작업을 처리할 수 있는지도 알 수 있다.
특히, 전자기기 중에서도 스마트폰은 중고로 판매하거나 그냥 넘겨주는 경우에도 클라우드 계정과의 연동을 제거하고 데이터를 완전히 삭제한 후 초기화해야 한다는 점을 잊지 말아야 한다.
한편, 각 사업체에서는 국가별로 상이한 데이터 보호법에 따라 기업이 민감정보를 부적절하게 폐기하면 법적 제재를 받을 수도 있다는 점도 유념해야 하는데 특히 많은 고객을 상대하는 업체는 주의해야 한다.
