국가의 지원을 받는 중국의 해킹 단체가 새로운 무기를 들고 나타났다. 이번에는 안드로이드 사용자들을 노린다. 아직 피해 상황이 정확하게 판단되지는 않고 있지만, 꽤나 광범위하게 공격이 실시되는 것으로 추정된다.

[보안뉴스 문가용 기자] 안드로이드 생태계에 새로운 스파이웨어가 두 개나 나타났다. 하나는 웜스파이(WyrmSpy)이고 다른 하나는 드래곤에그(DragonEgg)다. 둘 다 중국의 해킹 단체 APT41의 작품인 것으로 추정된다. APT41은 윈티(Winnti), 더블드래곤(Double Dragon), 바륨(BARIUM) 등으로도 불리는 단체로, 중국 정부가 배후에 있으며 정부 기관과 민간 기업들을 고루 노리는 것으로 알려져 있다. 아시아, 오세아니아, 북미 지역에서 이들의 흔적이 주로 발견되며 미국 사법부는 APT41의 멤버로 추정되는 인물 5명을 기소하기도 했었다.


보안 업체 룩아웃(Lookout)에 의하면 웜스파이와 드래곤에그의 코드들은 같은 인증서들로 서명이 되어 있다고 한다. 개발자가 같다는 뜻이다. 이 두 스파이웨어의 초기 버전 소스코드에는 C&C 서버의 주소도 포함되어 있었다. vpn2.umisen[.]com이었는데, 미국 사법부는 이 주소를 2020년 기소장에 언급하며 “APT41이 사용하는 주소”라고 썼었다. 이런 여러 가지 정황 때문에 APT41은 웜스파이와 드래곤에그의 배후에 APT41이 있다고 보는 것이다.

웜스파이와 드래곤에그
최근에 등장한 스파이웨어답게 웜스파이와 드래곤에그는 기존 스파이웨어보다 뛰어난 면모들을 갖추고 있다. 룩아웃의 연구원인 크리스티나 발람(Kristina Balaam)은 “대부분의 멀웨어 개발자들은 어떤 부분에서는 게으름을 부린다”며 “사용자에게 과도한 권한을 요구해놓고 눈치채지 못하기를 바라는 경우들이 있다”고 설명한다. “APT41은 조금 다른 모습을 보이고 있습니다.”

웜스파이의 경우 디폴트 안드로이드 시스템 애플리케이션으로 스스로를 위장한 채 각종 알림 메시지를 화면에 출력한다. 경우에 따라 성인 콘텐츠나 중국 내 음식 배달 플랫폼인 바이두 와이마이, 어도비 플래시 등을 사칭하기도 한다. 그렇게 해서 피해자들이 속으면 웜스파이는 피해자의 시스템에 설치된다. 여기까지는 다른 멀웨어들과 비슷하다. 여기서 다른 스파이웨어들은 피해자로부터 많은 권한을 노골적으로 요구한다. 피해자가 속으면 남고, 안 속으면 지워진다.

APT41의 경우 루팅 도구들을 활용해 권한을 먼저 상승시키고, 그 다음 공격자들이 C&C 서버로 전송한 명령어들을 실행한다. 로그 파일을 열람하고, 장비의 위치를 확인하고, 오디오 파일과 사진을 외부로 빼돌리고, SMS 메시지를 읽거나 작성하는 등의 명령을 수행할 수 있다. “권한을 요구해 의심을 사는 게 아니라 스스로 권한을 높이는 것”이라는 뜻이다.

게다가 웜스파이는 모듈로 구성되어 있다. “스파잉에 필요한 모든 기능을 한 애플리케이션에 전부 탑재시키는 건 개발이라는 측면에서 속이 편합니다. 하지만 그랬을 때 탐지될 가능성이 더 높아지죠. 업데이트나 업그레이드 모두 힘들어지고요. 필요한 것을 그 때 그 때 추가하거나, 필요한 기능을 금방 손 볼 수 있는 모듈 구성은 개발 과정이 조금 귀찮을 수 있는데 탐지 가능성이 대폭 낮아집니다.”

드래곤에그도 모듈 방식으로 설계되어 있기는 마찬가지다. 웜스파이처럼 멀쩡해 보이는 앱들로 위장되어 퍼진다. 주로 서드파티 키보드 앱이나 텔레그램을 사칭한다. 하지만 웜스파이와 달리 기존 스파이웨어들처럼 피해자에게 많은 권한을 요구한다. 권한을 허용하면 피해자의 연락처, 문자, 외부 저장소, 위치 정보, 사진, 오디오 기록 등에 접근할 수 있게 된다. 그리고 그 모든 정보들을 모아 외부로 빼돌린다.

염탐 전쟁, 모바일로 링을 옮기다
아직까지 이 두 스파이웨어로부터 피해를 본 사람이나 기업의 수는 정확하게 집계되지 않고 있다. 발람은 “이 두 멀웨어가 대단히 광범위하게 공격을 펼치고 있다”며 “좀 더 많은 조사가 필요하다”고 말한다. “멀웨어를 정상적인 앱으로 포장하여 유포하는 경우는 많습니다. 하지만 보통 앱의 종류를 일관되게 합니다. 예를 들어 모바일 뱅킹 앱이나 보험 앱, 사진 편집 앱, 유틸리티 앱 등으로 분야를 좁히죠. 그러면 그걸 보고 저희같은 보안 업계 사람들은 이 공격자들이 어떤 계층을 노린다고 추측할 수 있습니다. 그런데 이번 캠페인에서 APT41은 어도비 플래시를 사칭했다가 또 텔레그램을 사칭하기도 합니다. 공격 계층이 지나치게 광범위한 겁니다.”

하지만 이렇게 ‘광범위하다’는 것 자체가 APT41의 과거 특성과 맞물리는 측면이 있다. APT41은 이전부터 정부 기관, 공공 기관, 민간 기업들을 고루 노려왔기 때문이다. 안드로이드 멀웨어를 활용했던 이전 캠페인에서는 위구르족을 공략하기도 했었다.

그렇다면 APT41의 공격으로부터 안전하려면 어떤 조치를 취해야 할까? 발람은 “개개인이나 개별 조직이 할 수 있는 일이 그리 많지는 않다”고 말한다. “다만 기본적인 보안 실천 사항들을 잘 지키는 게 중요합니다. 아무 앱이나 다운로드 받지 않고, 아무 데서나 다운로드 받지 않고, 미리 앱의 리뷰 글들을 살피고 개발사도 조사해 보는 등의 노력이 있고나서 앱을 설치해야 합니다. 거기서부터 공격이 시작되고, 보안 역시 그 지점에서 시작됩니다.”

발람은 “모바일용 백신 프로그램을 설치해 두는 것도 좋은 생각”이라고 권장한다. “아무리 저렴한 것이라도 아예 아무 것도 없는 것보다는 낫습니다. 그러면 탐지의 가능성이 조금이라도 높아지거든요. 게다가 우리는 APT41의 공격만이 아니라 각종 애드웨어나 뱅킹 트로이목마, 백도어도 막아야 합니다. 그런 모든 위협들을 생각하면 백신 하나 정도에는 투자해도 무방합니다.”

3줄 요약
1. 중국의 APT41, 새로운 스파이웨어 만들어 퍼트리고 있음.
2. 안드로이드 생태계에서, 정상적인 앱들로 위장하여 두 가지 멀웨어가 퍼지는 중.
3. 앱 설치 시 지켜야 하는 기본적인 안전 수칙을 준수하는 게 중요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>