안드로이드 앱, 웹에서 소스코드로 원복...악성앱으로 교체도 가능

[보안뉴스 오병민] 안드로이드 스마트폰 앱(애플리케이션)들이 웹상에서 공개될 경우 소스코드가 노출될 우려가 있는 것으로 나타났다. 이 같은 문제점은, 인터넷뱅킹이나 증권거래와 같은 금융거래 앱에 적용된 보안솔루션의 소스코드도 노출될 수 있어 심각성을 더하고 있다. 악성공격자들은 노출된 소스코드를 통해 보안솔루션을 우회하거나 악용할 수 있기 때문이다.

조주봉 안철수연구소 주임 연구원은 15일 서울 양재동 교육문화회관 거문고홀에서 진행되고 있는 ‘제5회 국제 해킹·보안 컨퍼런스 POC2010’ 둘째 날 강사로 참여해 ‘Android Application Hacking & Security Threat┖라는 주제로 안드로이드의 취약점으로 인한 애플리케이션 이용의 위험성을 강조했다.

그는 시연에서 첫 번째로 디컴파일 웹을 만들어 웹에 올려진 안드로이드 앱을 소스코드로 복원하는 장면을 연출했다. 디컴파일 웹을 이용하면 금융권 앱의 경우에는 금융거래 알고리즘이나 보안솔루션 체계 등의 중요한 내용들이 그대로 노출될 수 있다.

이어 그는 소스코드를 어샘블리 형태로 수정해서 악성코드를 삽입했다. 그리고 이렇게 악성코드를 삽입한 앱을 웹에 올려 재배포했다.

조주봉 주임 연구원은 “이같은 방법을 이용하면 기존 잘 알려진 유명한 앱들도 악성코드를 삽입해 불법 프로그램으로 재배포할 수 있다”면서 “더욱이 이런 방법에 더해 친구나 지인을 사칭한 사회공학적 기법을 이용하면 더욱 빠르게 악성 앱을 배포할 수 있다”고 덧붙였다.

마지막으로 그는 안드로이드 스마트폰을 이용해 단지 웹사이트 방문만으로 기존에 설치된 앱을 악성앱으로 교체하는 장면을 시연했다. 이 방법을 이용하면 인터넷뱅킹 앱과 같은 금융거래 앱을 사용자 몰래 악성코드가 삽입된 앱으로 교체할 수 있다.

그리고 이미 감염된 컴퓨터에서는, 악성코드가 안드로이드폰이 연결될 때까지 대기하다가 연결이 되면 자동으로 스마트폰에서 최고 권한을 획득해 모든 정보를 유출할 수도 있고 제어할 수 있다.

조주봉 주임 연구원은 “이런 앱 교체 공격이 가능한 이유는 웹킷(WEPKIT) 취약점이 방치되고 있기 때문으로, 이 취약점은 공개 웹기술에 대한 문제이기 때문에 안드로이드폰 뿐만 아니라 아이폰에서도 가능하다”고 덧붙였다.

그리고 그는 “이와 같이 사용자 몰래 악성 프로그램 설치가 가능한 이유는 결국 안드로이드 OS 자체의 취약점과 더불어 구글의 안드로이드 마켓 자체가 검증이 없기 때문”이라며 “검증이 없이 자유롭다는 점은 개발자나 사용자에게 여러 편의를 제공하지만, 역으로 이런 점을 악용할 수 있다는 단점이 있다”고 말했다.

따라서 그는 이 같은 문제점을 해결할 수 있는 방법 사용자가 스스로 보안에 관심을 가지고 인터넷에서 유포되는 불법복제 앱들은 되도록 설치하지 말아야한다고 주장했다.

더불어 통신사와 백신업체간의 공조를 통해 이 같은 문제를 해결할 방안을 찾아야한다고 역설했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>