MS “안드로이드 기기에서 스팸 발송” VS 구글 “가짜 모바일 서명 사용”

[보안뉴스 호애진] ‘안드로이드 봇넷’의 존재 여부에 관심이 쏠리고 있다. 앞서 마이크로소프트와 보안업체 소포스(Sophos)의 연구원이 스팸 메일을 전송하는 데 사용된 안드로이드 봇넷을 발견했다고 밝혀 논란이 됐다. 이에 구글은 반박하고 나섰다.

7월 초 마이크로소프트의 엔지니어인 테리 징크(Terry Zink)는 MS개발자 블로그를 통해 안드로이드 봇넷을 발견했다고 밝히고, 새로운 형태의 이 악성코드가 해킹된 야후 메일 계정을 통해 스팸 메일을 전송하고 있다고 주장했다. 또 해당 스팸이 아시아, 동유럽, 남미, 중동 IP를 통해 발송된 것이라고 덧붙였다.

이와 관련 소포스 캐나다의 수석 보안 고문인 체스터 위스뉴스키(Chester Wisniewski)는  “이러한 스팸 메일들은 감염된 안드로이드 스마트폰이나 태블릿에서 발송하는 것으로 보인다”면서 “소포스랩(SophosLabs)이 확보한 모든 샘플은 야후의 무료 메일 계정으로부터 보내졌고, 올바른 헤더와 DKIM 서명을 포함하고 있었다”고 설명했다.

그는 또 “안드로이드 사용자가 트로이목마가 심어진 유료 안드로이드 앱의 해적판 사본을 다운로드 받으면서 해당 악성코드에 감염된 것으로 추정된다”고 덧붙였다.

미디어와 많은 블로그들이 안드로이드 봇넷과 관련된 주장을 제기함에 따라 구글은 성명서를 발표하고 “연구원들이 제시한 증거는 안드로이드 봇넷이 존재한다는 주장을 뒷받침하지 못한다”며, “스패머들은 사용 중인 이메일 플랫폼에서 안티스팸 매커니즘을 우회하기 위해 감염된 컴퓨터와 가짜 모바일 서명을 사용하고 있는 것으로 파악된다”고 밝혔다.

이에 징크는 스팸페일 헤더가 스푸핑 돼 안드로이드 기기로부터 발송된 것으로 보일 수도 있다는 점을 인정했다. 그는 “감염된 PC상에서 봇이 야후 자체 메시지 ID를 없애고, 메시지 하단에 ‘안드로이드용 야후 메일(Yahoo Mail for Android)’ 태그라인을 추가한다면 해당 스팸 메일들이 안드로이드 기기로부터 발송된 것처럼 가장할 수 있다”고 밝혔다.

그러나 징크는 “안드로이드 악성코드가 급증하고 있고, 널리 이용되고 있다는 점에서 스패머들이 안드로이드 플랫폼에 대한 공격을 시도했을 수 있다”면서 “최근 발견된 스팸 메일들이 안드로이드 기기로부터 전송된 것처럼 보이는 이유는 정말 안드로이드 기기로부터 전송됐기 때문일 것”이라고 덧붙였다.

소포스의 위스뉴스키 역시 구글의 주장을 받아들여 이러한 스팸 메일들이 가짜 서명을 사용하고 있는지 아니면 실제로 안드로이드 기기로부터 전송된 것인지 재확인하고 있는 것으로 알려졌다.

[호애진 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>