홍동철 쉬프트웍스 개발 팀장 발표

SK텔레콤에서 모토로라의 ‘모토로이’를 출시한 이후 우리나라에서도 구글의 안드로이드 OS를 탑재한 스마트폰이 점차 늘어갈 것으로 전망되는 가운데, 안드로이드의 보안 취약성이 발표돼 화제가 되고 있다.

 

한국CSO협회가 9일 행정안전부 후원으로 개최한 ‘스마트폰 보안위협 대응전략 워크숍’의 강연자로 나선 홍동철 쉬프트웍스 개발 팀장은 권한 획득으로 인한 안드로이드 취약점에 대해 발표했다.

안드로이드는 설치 시에 애플리케이션이 시스템에 요구하는 권한 정보를 보여주고 있어, 사용자는 권한 정보를 보고 설치할 것인지 설치하지 않을 것인지를 선택할 수 있다. 그러나 문제는 일반 사용자는 설치시 모든 권한 정보를 살펴보고 설치하긴 어렵다는 것. 아울러 사용자 동의를 얻어 설치하기 때문에 문제 발생시 사용자의 책임임을 명확하게 하고 있으며, 휴대폰의 관리 프로그램이 아닌 adb와 같은 프로그램을 이용한 설치시에는 권한정보를 볼 수 없다.

이런 권한정보는 설치시에만 물어보기 때문에 악성 어플리케이션은 사용자 모르게 휴대폰 내의 주소록이나 SMS, 휴대폰 정보를 사용할 수 있게 된다. 그뿐 아니라 위치정보나 주소록, SMS정보를  조작하거나 삭제가 가능하며 피싱을 통해 비밀번호 탈취도 가능하다.

홍동철 쉬프트웍스 개발 팀장은 “얼마 전에 최초로 공개된 droid09 악성코드는 은행 어플리케이션 인 것처럼 속이고 사용자의 비밀번호를 탈취한 사례도 있다”면서 “얼마든지 은행 어플리케이션과 똑같이 만들어 내고 배포 할 수 있는 위험이 있다”고 경고했다.

그가 강연에서 예로 제시한 피싱 악성코드는, 로그인 프로그램처럼 보이지만 실행과 동시에 사용자의 개인 정보를 탈취하는 코드를 가지고 있다. 프로그램을 실행하는 순간 주소록 정보가 타 서버로 전송되어 저장된다는 것.

 

그는 이 프로그램의 디자인을 은행의 어플리케이션과 동일하게 만든다면 사용자의 ID와 암호를 탈취 가능하다고 설명했다. 로그인 버튼을 누르면 임의의 서버로 E-Mail과 Password 정보가 전송된다는 것.

홍 팀장은 “스마트폰은 전화 기능이 있는 작은 컴퓨터와 같으므로 사용자가 악성 어플리케이션과 안전한 어플리케이션을 분리하여 관리하여야 한다”면서 “백신과 같은 보안 어플리케이션을 설치해 관리하는 것이 중요하다”고 주장했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>