다양한 방법으로 모바일 보안위협 확대...이용자 각별히 주의해야

[보안뉴스 김태형] 최근 ‘초·중고 교육비 지원 신청’을 미끼로 안드로이드 폰 사용자들을 대상으로 악성 앱 설치를 유도해 소액 결제 사기 피해를 입히는 앱이 포착되어 이용자들의 주의가 요구된다.

잉카인터넷 대응팀은 ‘(원클릭) 2013년 초·중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요’라는 내용과 악성 앱이 설치되는 단축 URL 주소를 포함해 사용자에게 스마트폰 소액결제사기용 악성 앱이 설치되도록 시도한 정황을 추가 포착했다고 밝혔다.

이같은 내용은 ‘[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요’라는 문구로도 유포에 악용됐다. 복지로는 이전에도 ‘[복지로]복지알림이 모바일어플 설치하시고 실시간 복지정책 체크하세요’ 라는 유사한 내용으로 전파된 바 있다.

잉카인터넷측은 “이러한 소액결제사기용뿐만 아니라 모바일 디도스(Mobile DDoS)공격용, 이용자의 문자메시지 등을 탈취 하려는 스파이(Spy) 기능용 변종도 지속적으로 발견되고 있어 안드로이드 기반 스마트폰 이용자들의 각별한 주의가 요망된다”고 강조했다.

특히 국내 이용자를 노리고 사생활 침해 우려가 존재하는 새로운 스파이앱 형태의 악성 안드로이드 악성파일은 수신자의 이름을 문자메시지 상에서 거론하는 등 특정 표적자를 직접적으로 지목해서 악성파일을 설치하도록 유도했다는 점에서 공격행태가 매우 과감해지고 있다는 점을 입증하고 있다.

아울러 국내 이용자들을 대상으로 한 맞춤형 안드로이드 보안위협이 급속도로 증가하고 기능적으로도 빠르게 진화하고 있다는 점을 직시해 스마트 기기를 이용하는 개인과 관련기업들은 다양하고 입체적인 모바일 보안대책을 논의하고 수립해야 한다.

‘2013년 초중고 교육비 지원 신청 원클릭용 앱 설치’ 문자로 위장한 악성 앱은 다음과 같은 형태의 메시지로 전파되었으며, ‘(원클릭)’ 이라는 문구 대신에 ‘[복지로]’라는 문구로 사용된 경우도 발견됐다.

(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요 taoul.es/***

[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요! http://taourl.es/***

잉카인터넷 대응팀은 “이용자가 단축 URL 주소를 클릭하면 해외의 DropBox 파일 공유 서비스를 통해서 ‘smartbilling.apk’이라는 악성 안드로이드앱이 다운로드되고 이용자가 다운로드된 APK 파일을 실행해 설치하면 사이버 범죄자들에 의해서 최대 30만원 상당의 소액결제 피해를 입을 수 있게 된다”면서 “이렇다보니 사이버 범죄자들은 금전적 이득을 취하기 위해서 소액결제사기용 안드로이드 악성 앱의 변종을 끊임없이 양산해 변칙적인 사이버 범죄 행위을 멈추지 않고 있다”고 말했다.

또 사용자의 안드로이드 기반 스마트폰에 수신되는 문자메시지(SMS)를 감시하고 이용자의 동의 없이 외부로 불법적으로 유출될 수 있는 스파이앱(SpyApp) 형태의 안드로이드 악성파일 변종도 계속 보고되고 있다.

한국인터넷진흥원(KISA)을 통해 확인된 새로운 종류는 특정인의 이름을 직접적으로 문자에 포함하는 등 표적형 공격형태로 진화하고 있다는 점에서 상황의 심각성을 더해주고 있다. 잉카인터넷 대응팀은 관련 정보를 추적하던 중 다양한 변종이 추가로 존재하는 것을 발견해 nProtect Mobile for Android 제품에 긴급 업데이트를 완료한 상태이다.

                 

*** 나야 전화가 안되서 이걸로 나랑 대화해 많이 급하다www.k****protect.com/kids.apk

*** 나야 지금 전화가 안돼 이걸로 하자 급해 www.a****-protect.com/adult.apk

위와 같이 특정인을 표적화하여 ‘kids.apk’, ‘adult.apk’ 파일을 설치하게 유도했으며 이용자의 문자 메시지는 외부의 특정 서버로 몰래 유출될 수 있다. 현재는 해당 서버의 접속이 한국인터넷진흥원(KISA)의 신속한 대응으로 차단 조치된 상태이기 때문에 정보유출 가능성은 낮다.

그러나 이러한 형태의 스파이앱 변종이 꾸준히 제작되고 발견되고 있다는 점은 안드로이드 보안위협 측면에서 시사하는 바가 크다. 특히 특정인의 일거수 일투족을 실시간으로 엿보거나, 사이버 흥신소라는 비즈니스 모델이 스마트기기의 다양한 취약점을 통해 급격히 증가할 수 있다는 것에 주목해야 한다.

이는 사이버 범죄자들이 음지에서 은밀히 활동하고 점조직으로 수사기관의 추적을 피해 운영되고 있는 고유한 특수성 때문에 활동자체가 외부에 쉽게 노출되지 않을 수 있고 그로인해 예상하지 못할 정도로 다양한 보안위협이 스마트환경을 통해 가속화될 수 있다는 가능성을 열어두고 있다.

잉카인터넷 대응팀에 의하면 앞서 언급한 스파이앱은 가입제로 운영이 되고 있으며 변종을 유포했던 이력과 정황을 포착한 상태이다. 해당 서버는 하기와 같이 접근권한을 가진 멤버가 보유하고 있는 계정과 암호를 통해서만 접근할 수 있다고 밝혔다.

해당 서버의 내부에는 관리자가 여러 가지 설정 및 등록을 할 수 있도록 구성되어 있고, 악성앱에 감염된 이용자의 문자메시지 현황을 모니터링 할 수 있도록 제작되어 있다.

이와 같이 소액결제사기 형태와 모바일 디도스 형태에서 이제는 문자 메시지 등 개인정보 탈취 기능으로 모바일 보안위협이 확대되어 가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요하다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>