[보안뉴스 호애진] 국내 유명 공개자료실에서 개인정보 유출 시도형 안드로이드 악성파일이 배포되고 있는 것이 발견됐다. 이는 안드로이드 기반의 악성파일이 국내에 상륙한 공식적인 첫 사례다.

잉카인터넷 시큐리티 대응센터 대응팀은 6일 블로그를 통해 이같이 밝히고 이번에 보고된 안드로이드 앱은 2012년 새해를 축하하는 내용의 라이브 배경화면으로 구글 정식 마켓 및 국내 자료실을 통해 배포되고 있어 사용자들의 각별한 주의가 요구된다고 주의를 당부했다.

안드로이드 기반 악성파일은 해외의 경우 다수 유포되고 있지만 국내 유명 자료실에서 공식적으로 배포되는 사례는 처음 발견된 것이라 주목된다. 특히 한글화된 서비스를 통해 다운로드를 안내하고 있기 때문에 사용자들은 아무 의심없이 해당 앱을 설치할 것으로 보인다.

해당 공개 자료실 서비스는 국내 유명 N사 포털 사이트의 공개 자료실과도 연계해 서비스 되고 있으며 현재 41명의 사용자가 다운로드 한 것으로 확인됐다.

문종현 잉카인터넷 대응팀 팀장은 “현재 공식적인 안드로이드 개발 제작사를 통해서 배포되고 있지만 사용자의 정보를 수집하기 위한 목적 하에 별도의 기능을 포함시킨 것으로 추정돼 보안상 논란의 소지가 될 수 있다”면서 “해당 앱의 코드를 상세히 분석한 후 최종적으로 악성파일로 분류했다”고 밝혔다.

그에 따르면 이는 라이브 월페이퍼 형태로서 과도하게 불필요한 권한을 다수 요구한다. 아울러 스마트 기기의 배경화면을 라이브 형태로 변경하고 설치가 이뤄지면 사용자의 단말기에서 정보 수집을 하고 특정 호스트 주소로 PHP POST 방식을 이용해서 유출을 시도한다. 수집하는 정보는 구글 이메일 계정 정보, 스마트폰 고유 식별값을 취하기 위한 Android_id 값, 설치된 패키지 리스트, 국가코드다.

잉카인터넷 대응팀에서는 해당 파일을 nProtect Mobile for Android 제품에 긴급 업데이트 했고 사용자들은 무료로 검사/치료를 수행할 수 있다.

진단명 : Trojan/Android.InfoStealer2012.A

한편, 안드로이드 기반의 악성파일로 분류할 수 있는 형태는 개인용 컴퓨터의 악성파일과 같이 지능화되고 고도화된 형태로 발전돼 있지 않다. 따라서 개발자는 자신이 악의적으로 의도하지 않은 형태라도 사용자의 동의 없이 개인정보를 몰래 수집하거나 디바이스 정보 등을 외부로 유출하려고 시도하는 경우 악성으로 분류될 수 있다는 점을 유의해야 할 것이다.

아울러 과도하게 불필요한 설치 권한(Permissions)을 요구하거나 광고 및 사용자 통계 관리 등을 위한 단순한 목적의 정보 수집이라 할지라도 개인의 사생활 정보 등을 사전에 특별한 허가없이 외부로 유출 시도 또는 수집할 경우에는 악의적인 앱으로 분류될 수 있다는 점을 반드시 고려해야 한다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>