솔직히 제가 작년까지만 해도 유심(USIM)에 비밀번호를 걸 수 있다는 사실 자체를 몰랐습니다. 회사 동료가 알뜰폰 명의도용으로 300만 원 대출 피해를 본 사건을 직접 보고 나서야, 스마트폰 보안이 남의 일이 아니라는 걸 뼈저리게 느꼈습니다. 그 친구는 네이버 계정이 먼저 뚫렸고, 클라우드에 백업해 둔 신분증 사진이 유출되면서 모든 게 무너졌습니다. 제가 직접 겪은 건 아니지만, 바로 옆에서 본 일이라 더 무서웠습니다. 이후 제 스마트폰 설정을 처음부터 다시 점검하면서 알게 된 보안 맹점들과, 실제로 효과를 본 설정 방법들을 정리해 봤습니다.
기본 설정만 해도 해킹 확률이 90% 줄어드는 이유
해킹이라고 하면 영화에서 보던 천재 해커가 복잡한 코드를 두드리는 장면을 떠올리기 쉽습니다. 하지만 실제 해킹 피해 사례를 분석해 보면 대부분 '설정 미흡'에서 출발합니다. 2024년 경찰청 사이버안전국 통계에 따르면, 스마트폰 관련 해킹 피해의 83%가 기본 보안 설정을 하지 않은 사용자에게 집중되었습니다(출처: 경찰청). 여기서 기본 보안 설정이란 화면 잠금, 2단계 인증(OTP), 유심 PIN 설정 등을 의미합니다.
가장 먼저 확인해야 할 것은 유심 PIN입니다. PIN(Personal Identification Number)은 개인 식별 번호로, 유심 자체에 비밀번호를 거는 기능입니다. 최근 해커들은 타인의 신분증을 이용해 알뜰폰을 개통하고, SIM 스와핑(SIM Swapping) 공격을 통해 휴대폰 번호 자체를 탈취합니다. 제 동료가 당한 방식도 정확히 이것이었습니다. 해커가 신분증 사진을 확보한 뒤 알뜰폰을 개통해 유심을 받아냈고, 그 번호로 네이버·카카오 등 모든 계정의 비밀번호를 초기화했습니다. 본인 인증이 휴대폰 문자로 이뤄지다 보니, 유심만 장악하면 인터넷상에서 그 사람 행세가 가능해지는 구조입니다.
유심 PIN 설정은 안드로이드의 경우 설정 > 보안 > SIM 카드 잠금 메뉴에서, 아이폰은 설정 > 모바일 데이터 > SIM PIN에서 설정할 수 있습니다. 설정 후에는 스마트폰을 재부팅할 때마다 4~8자리 PIN을 입력해야 하는데, 이 한 번의 불편함이 계정 탈취를 원천 차단합니다. 제가 직접 설정해 본 결과, 일주일 정도 지나니 입력이 습관처럼 자연스러워졌고, 보안 체감도가 확실히 올라갔습니다.
두 번째는 클라우드 보안입니다. 네이버 클라우드, 구글 드라이브, 아이클라우드 등 자동 백업 기능은 편리하지만, 계정 보안이 뚫리면 사진첩 전체가 통째로 넘어갑니다. 특히 신분증 사진이 문제입니다. 과학기술정보통신부 조사에 따르면, 20~30대 스마트폰 사용자의 47%가 신분증 사진을 사진첩에 저장한 채 클라우드 백업을 켜두고 있습니다(출처: 과학기술정보통신부). 저도 예외는 아니었습니다. 예전에 은행 앱 가입할 때 찍었던 신분증 사진이 구글 포토에 그대로 있더군요. 지금은 삭제하고, 필요할 때만 찍어서 쓴 뒤 바로 지우는 습관을 들였습니다.
클라우드 계정에는 반드시 2단계 인증을 설정해야 합니다. 2FA(Two-Factor Authentication)는 비밀번호 외에 휴대폰 문자나 OTP 앱으로 한 번 더 인증하는 방식입니다. 비밀번호가 유출되더라도 두 번째 인증 단계에서 막을 수 있습니다. 네이버, 구글, 카카오 모두 설정 메뉴에서 2단계 인증을 지원하며, 설정에 걸리는 시간은 3분 미만입니다.
세 번째는 의심되는 파일 설치 금지입니다. 안드로이드에서 APK(Android Package Kit) 파일 설치 요청이 뜨면 무조건 경계해야 합니다. APK는 안드로이드 앱의 설치 파일 형식으로, 구글 플레이 스토어를 거치지 않고 직접 설치할 수 있습니다. 문제는 대부분의 악성 코드가 이 경로로 유포된다는 점입니다. "택배 조회", "코로나 지원금 신청" 같은 문자에 링크가 있고, 클릭하면 APK 다운로드가 시작되는 식입니다. 정상적인 앱이라면 플레이 스토어나 앱스토어를 거쳐 설치되므로, APK 직접 설치를 요구하는 순간 의심해야 합니다.
이 세 가지만 지켜도 일상적인 해킹 시도의 대부분을 막을 수 있습니다. 실제로 한국인터넷진흥원(KISA) 자료를 보면, 기본 보안 설정을 완료한 사용자의 해킹 피해율은 미설정 사용자 대비 91% 낮았습니다.
공용 와이파이와 보안 업데이트, 생각보다 위험합니다
카페나 공공장소의 무료 와이파이는 편리하지만, 보안 측면에서는 상당히 취약합니다. 특히 HTTP 통신을 하는 사이트에서는 중간자 공격(MITM, Man-In-The-Middle Attack)에 노출될 위험이 큽니다. MITM 공격이란 공격자가 사용자와 서버 사이에 끼어들어 데이터를 가로채는 방식입니다. 쉽게 말해, 내가 와이파이를 통해 주고받는 모든 정보를 누군가 엿보고 있는 상황입니다.
제가 직접 테스트해 본 결과, HTTP 사이트에 로그인할 때 입력한 아이디와 비밀번호가 평문(암호화되지 않은 텍스트)으로 전송되는 것을 확인했습니다. 반면 HTTPS(Hypertext Transfer Protocol Secure)는 데이터를 암호화해서 보내기 때문에, 중간에 가로채도 내용을 알 수 없습니다. HTTPS는 주소창에 자물쇠 표시가 있고, URL이 'https://'로 시작합니다. 카페에서 와이파이를 쓸 때는 반드시 주소창을 확인하고, HTTP 사이트에서는 로그인이나 결제를 절대 하지 않습니다.
또 하나 주의할 점은 가짜 와이파이입니다. 해커가 '스타벅스 Free WiFi' 같은 이름으로 공유기를 띄워놓으면, 사용자는 진짜 와이파이인 줄 알고 접속합니다. 접속 후 네이버나 은행 로그인 페이지처럼 보이는 가짜 화면이 뜨고, 여기에 아이디와 비밀번호를 입력하는 순간 정보가 해커에게 넘어갑니다. 이를 피싱(Phishing) 공격이라고 합니다. 저는 공용 와이파이에서는 VPN(Virtual Private Network)을 사용합니다. VPN은 데이터를 암호화된 터널로 전송해 주는 서비스로, 외부에서 내 통신 내용을 볼 수 없게 만듭니다.
보안 업데이트도 절대 미뤄서는 안 됩니다. 스마트폰 제조사는 취약점이 발견될 때마다 보안 패치를 배포합니다. 최근 애플은 iOS 18.4.1에서 음성 파일 실행만으로 해킹이 가능한 제로데이(Zero-Day) 취약점을 긴급 수정했습니다. 제로데이란 취약점이 발견된 당일부터 악용이 가능한 보안 결함을 의미합니다. 이런 업데이트를 미루면, 해커가 그 취약점을 악용해 공격할 수 있는 시간을 벌어주는 셈입니다.
제가 보안 업데이트를 습관처럼 하게 된 계기는, 작년에 안드로이드에서 블루투스 취약점이 발견됐을 때였습니다. 업데이트를 미룬 사용자 일부가 블루투스만 켜놓아도 악성 코드가 설치되는 피해를 봤습니다. 그 이후로는 "나중에"를 누르지 않고, 알림이 뜨면 바로 업데이트합니다. 특히 "보안 업데이트" 항목이 포함된 경우 절대 미루지 않습니다.
홈캠이나 공유기도 보안 설정을 해야 합니다. 공유기 관리자 페이지는 보통 192.168.0.1 주소로 접속하며, 초기 비밀번호가 'admin/admin'으로 설정된 경우가 많습니다. 이걸 바꾸지 않으면, 같은 와이파이에 접속한 사람이 관리자 권한으로 들어와 네트워크를 조작할 수 있습니다. 실제로 제가 촬영 현장에서 공유기를 확인했을 때, 초기 비밀번호가 그대로 남아있는 경우가 있었습니다. 관리자 페이지에 들어가면 접속자 목록, DNS 설정, 방화벽 등을 모두 볼 수 있고 조작도 가능합니다.
안드로이드와 아이폰의 보안 접근 방식도 다릅니다. 안드로이드는 오픈소스 기반이라 취약점이 빨리 발견되고 패치도 빠릅니다. 반면 아이폰은 소스 코드를 공개하지 않아 취약점 발견 자체가 어렵지만, 해커가 취약점을 찾으면 오래 악용될 가능성이 있습니다. 대표적으로 이스라엘 NSO 그룹의 페가수스(Pegasus) 스파이웨어는 아이폰 제로클릭(Zero-Click) 취약점을 악용해, 사용자가 아무것도 하지 않아도 기기를 장악했습니다. 어느 쪽이 절대적으로 안전하다고 단정할 수는 없지만, 두 OS 모두 기본 설정과 업데이트만 잘 지키면 일상적인 위협은 충분히 막을 수 있습니다.
해킹은 영화 속 판타지가 아닙니다. 대부분은 내가 설정을 안 해서, 업데이트를 안 해서, 링크를 함부로 눌러서 발생합니다. 제가 동료의 피해 사례를 보고 느낀 건, 기본만 지켜도 90% 이상의 위험을 피할 수 있다는 점입니다. 유심 PIN, 2단계 인증, 클라우드 신분증 삭제, 공용 와이파이 경계, 보안 업데이트. 이 다섯 가지는 오늘 당장 실천할 수 있고, 실천해야 합니다. 스마트폰은 이제 단순한 통신 도구가 아니라 디지털 신원 그 자체입니다. 현관문을 열어두지 않듯, 스마트폰 보안 설정도 닫아두시길 바랍니다.