[보안뉴스 오병민] 좀비 PC에 이어 스마트폰도 좀비로 만드는 봇이 등장했다. IRC프로토콜을 이용하고 있는 이 봇은 기본적으로 관리자 권한에 접근해 명령을 수행하기 때문에 감염되면 모든 기능이 공격자의 수중으로 들어갈 수 있어 주의가 당부된다.

보안업체 하우리에 따르면 최근 안드로이드 기반 스마트폰을 노리는 IRC봇이 등장한 것으로 전해졌다. 현재 하우리 스마트폰 백신인 바이로봇 모바일에서 ‘Android/Spaware.Foncy’로 진단하고 있는 이 IRC봇은 진저브레드 기반에서 작동하며 최고 관리자 권한을 회득하는 루팅을 진행한 후 설치되기 때문에 IRC 프로토콜로 모든 기능을 제어하는 악성 명령을 내릴 수 있는 것으로 파악되고 있다.

즉, 이 봇을 이용하면 스마트폰을 좀비 스마트폰으로 만들어 공격자가 원하는 특정기능을 수행할 수 있고 심지어 모든 데이터를 삭제하는 포맷도 가능한 것.

더욱이 우려가 되는 것은 스마트폰 와이파이 접속기능으로 내부 네트워크에 접속할 수 있다는 점이다. 따라서 봇에 감염된 스마트폰을 이용하면 내부망 침투를 비롯해 정보수집이나 특정기능 실행도 가능해져 APT 공격에도 악용될 수 있다.

사실 PC에서 IRC 프로토콜을 이용한 봇은 탐지가 쉽기 때문에 대부분 봇들이 HTTP 프로토콜로 많이 옮겨간 상황이다. 그러나 스마트폰의 3G 네트워크는 악성 트래픽 탐지가 잘 이뤄지지 않기 때문에 공격자들은 적용이 쉬운 IRC 프로토콜을 우선적으로 이용한 것으로 전문가들은 분석하고 있다.

현재 외국에서는 IRC 프로토콜을 이용한 변종 봇이 지속적으로 나타날 것으로 보고 주시하는 분위기다. 특히, IRC 프로토콜에 대한 탐지가 늘어나면 PC에서처럼 암호화나 HTTP 프로토콜을 이용한 변종도 나타날 가능성이 있어 변종 추이를 주목하고 있다.

전문가들은 스마트폰에서 주로 이용되고 있는 3G를 비롯한 LTE 등 이동통신에서도 악성 트래픽을 탐지할 수 있는 탐지체계 구축이 필요하다고 이야기한다.

최상명 하우리 선행기술팀장은 “봇에 의해 제어가 가능한 좀비 스마트폰 악성코드가 실제로 나타나기 시작했기 때문에 이동통신 데이터 망에서도 C&C와 통신하는 악성 트래픽을 탐지할 수 있는 탐지체계가 구축되어야 한다”며, “이용자들 역시 악성 앱의 피해를 최소화하기 위해 모바일 백신을 이용함과 동시에 정식 안드로이드 마켓을 제외한 인터넷이나 블랙마켓에서 앱을 설치하는 것을 자제해야 한다”고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>