• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

[외신] 휴대전화 봇넷 등장?...휴대전화 이용한 DDoS 공격 우려 2009.07.20

지난해 노키아가 인수한 휴대전화 운영체제 심비안(Symbian) OS의 제조업체 심비안 파운데이션의 보안 감사에 걸러지지 않은 맬웨어가 확인돼 충격을 주고 있다. 


심비안 파운데이션(Symbian Foundation)은 최근 섹시 스페이스(Sexy Space)라는 트로이 목마가 보안 테스트 디지털 사이닝 프로세스에 걸러지지 않았음이 확인됐으며 이와 관련해 심비안 OS 기반 휴대전화의 악성 애플리케이션 프로세스에 문제가 있음을 인정했다. 이어 심비안 파운데이션은 2주 전 이 섹시 스페이페이스가 트로잔임을 확인하고 해당 시그니처를 무효화했고 밝혔다.


그러나 이 트로이 목마, 즉 맬웨어가 모바일 봇넷을 형성할 가능성이 있는 것으로 알려졌으며 특히 트렌드 마이크로(Trend Micro)사의 보안 연구자들은 이에 관해 심각한 우려를 표했다.


트렌드 마이크로의 보안 연구팀 트렌드랩(TrendLabs)은 최근 자사 맬웨어 블로그(http://blog.trendmicro.com)를 통해 “지난 며칠 간 심비안 기기의 새로운 위협을 확인했다”며 이 맬웨어가 SYMBOS_YXES.B으로 탐지됐다고 밝혔다.


트렌드랩은 “보고 된 바에 따르면 이것은 합법적인 애플리케이션 ACSServer.exe으로 위장하고 있다”며 자칭 섹시 스페이스라고 부르는 이 맬웨어가 “가입자 정보, 네트워크 정보 등을 탈취하며 탈취한 정보를 발송하기 위해 웹에 연결한다”고 설명했다. 또한 “이것은 가입자의 지인들에게 SMS 스팸 메시지를 발송할 수 있다”고 트렌드랩은 덧붙였다.


특히 트랜드랩의 분석에 따르면 이 맬웨어는 모바일 맬웨어 ‘섹시뷰(Sexy View)’의 변종으로, 이른바 ‘섹시 스페이스(Sexy Space)’라고 불리며 심비안 S60 OS를 구동하는 기기를 노린다.


약 6개월 전쯤 탐지된 섹시뷰(Sexy View)는 휴대전화 문자메시지(SMS)를 통해 전파되는 맬웨어로는 가장 처음 알려진 것으로 중국에서 처음 나타났던 것으로 알려졌다.


이 휴대전화 맬웨어에 감염된 전화는 그 전화기의 연결 목록에 있는 모든 전화기로 SMS를 발송하는데, 사용자가 이 SMS에 첨부된 링크를 클릭할 경우 성인물 컨텐츠와 관련된  섹시뷰가 즉시 인스톨되기 때문에 이러한 이름이 붙여졌다.


문제는 이 섹시뷰가 심비안의 보안 테스트를 통과해 애플리케이션으로 승인되고 등록되었다는 점. 섹시뷰의 작성자들은 자동 검사 프로세스를 파괴할 수 있는 것으로 알려졌으며 이를 통해 애플리케이션이 SMS 등의 기능에 액세스 할 수 있게 한다.


이러한 섹시뷰의 최근 변종이 바로 섹시 스페이스로, 이 역시 ACSServer.exe라는 합법적인 애플리케이션으로 위장해 심비안의 보안 검사를 통과했다. 이에 대해 심비안 파운데이션은 “섹시스페이스 트로이목마의 위험도는 ‘낮음’으로 분류되고 있다”며 “현재 보안 감사 절차를 개선 중”이라고 밝혔다.

 ▲ 중국 모바일 보안 업체 NetQin Tech는 최근 블로그를 통해 “중국과 사우디아라비아 등에서 모바일 전화 맬웨어에 의한 감염이 심각하게 발생하고 있다”고 전했다.

한편 트렌드 마이크로의 분석가들의 조사에 따르면 이 섹시 스페이스는 새로운 SMS 스팸을 발송하기 위해 원격 서버로부터 새로운 SMS 템플릿을 다운로드하는 것으로 확인됐다. 또한 이 섹시 스페이스는 휴대전화 기기에서 가입자와 네트워크 정보를 탈취해 원격 서버로 발송하는 것으로 알려졌다.


이는 지금까지의 모바일 기기 맬웨어들과의 차이점으로, 트렌드 마이크로의 분석가들은 섹시 스페이스를 봇넷 코드로 간주해도 되는지에 관해 내부 논의 중인 것으로 알려졌다.


트렌드랩은 블로그를 통해 “이 맬웨어는 모바일 전화 봇넷(botnet for mobile phones)으로 나타났다”며 “이는 충분히 걱정해야만 하는 것으로 특히 YMBOS_YXES.B와 이전 변종인 SYMBOS_YXES.A 모두 승인된 프로그램이다”라며 우려의 목소리를 높였다. 즉, 심비안 파운데이션의 보안 테스트를 거쳐 합법적인 애플리케이션으로 등록된 만큼 이를 추적하고 제거하기가 어렵다는 것이다.


지난 7·7 DDoS 대란을 통해 익히 알려졌듯이 봇넷은 스팸을 발송하거나 데이터를 탈취하는데 이용되며 특히 DDoS 공격을 수행하는데 이용될 수 있다. 즉, 이제 휴대전화를 이용한 분산서비스공격이 등장할 수도 있다는 뜻이 된다.


그러나 아직까지 얼마나 많은 휴대전화가 감염되었는지는 파악되지 않았으며 중국 모바일 보안 업체 NetQin Tech는 최근 블로그를 통해 중국과 사우디아라비아 등에서 감염이 심각하게 발생하고 있다고 언급한 정도다.

[김동빈 기자(foreign@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>