결제류 바이러스 공격주기 단축...모바일 뱅킹 위험 상승

[보안뉴스 온기홍=중국 베이징] 중국에서 스마트폰용 모바일 결제나 온라인뱅킹 구매류 애플리케이션(이하 앱)의 증가세가 두드러지고 모바일 전자상거래가 ‘봄날’을 맞고 있지만, 이를 노린 악성 소프트웨어(S/W)도 늘어난 것으로 나타났다.

중국 포털·메신저·게임·보안회사인 텅쉰(QQ.com) 산하 ‘모바일 보안 랩’(QQSecurityLab)은 최근 발표한 ‘2013년 상반기 이동전화 보안 보고’에서 “올 상반기 이래 모바일 뱅킹을 겨냥한 악성 S/W나 트로이목마의 간헐적인 발생 추세가 뚜렷해진데다, 공격 주기가 짧아지고 있다”고 밝혔다.

모바일 보안 랩은 “해커들이 시차를 둬서 바이러스를 투입하는 공격 방식을 통해 사회나 업계의 관심을 피하고, 모바일 뱅킹 사용자에 대한 악의적 의도를 숨긴 채 거액의 이익을 몰래 챙기고 있다”고 덧붙였다.

모바일 보안 랩은 또 모바일뱅킹 결제 계좌를 노린 이동전화 바이러스나 악성 S/W는 공격 방식과 계좌 절취 과정에서 △클라우드 명령을 통한 공격 강화 △과정 복잡화 △위장성 강화 같은 특징을 띠었다고 강조했다.

◆ 결제류 바이러스 공격주기 짧아져...모바일뱅킹 위험 증가

중국에서 모바일 결제류 바이러스는 지난해 8월 100만 명 이상의 이동전화 사용자를 감염시킨 바이러스 ‘메시지 좀비’와 함께 본격 수면 위로 떠올랐다. 이 ‘메시지 좀비’란 바이러스는 메시지 수신함 감시·제어, 악성 메시지 삽입, 은행카드 계좌정보 발송·차단 같은 행위를 했다. 해커는 원격 제어·명령을 통해 계좌·메시지 같은 정보를 미리 지정한 번호로 발송함으로써 불법 이익을 챙겼다.

모바일 보안 랩은 “중국에서 모바일 결제류 바이러스는 지난해엔 손꼽을 정도로 소수였으나, 올해 들어 본격적으로 퍼져나가면서 규모가 늘었고 출현 주기도 짧아지는 특징을 띠었다”고 밝혔다. 이어 “해커나 바이러스 제작자들이 이동전화기 사용자의 모바일뱅킹 결제 계좌를 겨냥해 이익을 추구하는 움직임도 갈수록 뚜렷해지고 있다”고 덧붙였다.

대표적 사례를 보면, 올해 초 텅쉰의 모바일 보안 랩이 탐지한 모바일 결제 바이러스 ‘a.expense.lockpush’(일명 로크 웜(lock worm))은 처음으로 중국내 은행 가운데 중국건설은행의 모바일 클라이언트 버전을 감염시켰다. 해커는 2차 묶음 방식을 통해 악성코드를 중국건설은행의 모바일 뱅킹 앱에 심었고, 사용자 몰래 S/W를 내려 받아 설치하게 했다. 나아가 다른 악성 S/W들도 설치하고 은행 계좌·비밀번호를 빼낸 뒤 계좌 내 자금을 훔쳐갔다.

이어 중국 최대 온라인 쇼핑몰인 ‘타오바오(taoboa)를 모방한 스마트폰용 ‘가짜 타오바오’ 트로이목마가 지난 5월 20일 발견됐다. 스마트폰 사용자들이 ‘가짜 타오바오’ 모바일 앱을 설치 한 후 등록 페이지에서 아이디(ID)와 비밀번호를 입력하고 등록버튼을 클릭하면, 바이러스는 메시지 발송 코드를 실행해 사용자의 ID와 비밀번호를 특정 이동전화 번호로 몰래 보낸다.

또 지난 5월 하순 스마트폰상 자판 입력을 엿볼 수 있는 안드로이드(Android) 관련 악성 프로그램 ‘a.privacy.keylogger’(일명 자판 흑수)가 해외에서 출현했다. 바이러스 제작자는 이 바이러스를 써서 자판 입력 앱을 감염시킬 수 있으며, 사용자의 신용카드, 온라인뱅킹과 각종 계좌의 비밀번호 정보도 기록할 수 있다. 수많은 사용자를 가진 세계 유명 스마트폰용 자판 입력 앱인 ‘SwiftKey KeyBoard’도 감염됐다.

지난 6월 말에는 텅쉰이 자사의 이동전화 보안 솔루션 ‘셔우지 관쟈(이동전화기 관리자)’를 써서 신형 안드로이드 폰 바이러스 ‘a.privacy.bankun’를 탐지했다. 이 바이러스는 △webcash.wooribank △scfirstbank △hanabank.ebk △android.hananbank 등 한국 내 은행 관련 앱을 감시 제어할 수 있다고 텅쉰은 주장했다.

텅쉰은 “이들 악성 S/W는 이동전화 연락처를 업로드하고 메시지를 감시·제어하면서 업로드하는 데다 개인정보까지 훔치기 때문에 사용자의 결제계좌 번호 같은 정보는 위험에 처하게 된다”고 설명했다.

◆ 결제류 바이러스, 사기과정·공격방식 변화 빈번해지고 다양화

올해 중국 내 모바일 결제류 트로이목마의 특징을 보면, ‘가짜 타오바오’ 바이러스는 중국건설은행 모바일 클라이언트 버전을 감염시키는 ‘로크 웜(a.expense.lockpush)’ 바이러스에 비해 위장성과 사기성이 더욱 강해졌다는 평가를 받고 있다.

한편으로 ‘가짜 타오바오’는 클라우드 명령 기술을 이용해 아이디와 비밀번호를 지정된 번호로 발송하며, 바이러스 행위 면에서 전문적 분업의 특징을 띠고 위해성이 더욱 커졌다고 텅쉰은 설명했다.

텅쉰이 탐지해 퇴치한 악성 프로그램 ‘a.privacy.keylogger’는 입력법 S/W와 묶음을 통해 자판 입력을 감시하는 등 ‘스파이’ 특징을 지녔다. 텅쉰은 “이 바이러스가 입력법 S/W 전파를 통해 중국 대륙에 본격 진입하면, 다른 입력법 S/W를 감염시킴으로써 위험한 상황에 이를 것”이라고 지적했다.

텅쉰은 지난 6월 말 자사 보안 솔루션을 써서 탐지한 ‘USB 도둑’이란 바이러스는 하나의 USB 데이터 라인을 통해 모바일 기기에서 PC로 개인정보를 빼내고 사용자의 무선 네트워크 비밀번호를 훔친다.

이 바이러스는 또 PC 브라우저의 계정 체계를 겨냥해 구글의 크롬(Chrome)과 마이크로소프트의 인터넷 익스플로러(IE), 파이어폭스(Firefox) 같은 유명 브라우저의 비밀번호를 수집하고 사용자의 SNS 계정, 은행 계좌를 비롯한 핵심 개인정보의 대량 유출을 야기한다.

이를 볼 때, 모바일 결제류 바이러스가 입력법이나 브라우저에서부터 온라인뱅킹 계좌 번호까지 위협해 개인정보를 훔치는 흐름이 더욱 두드러졌으며, 지능화 역시 빠르게 이뤄지고 있다고 텅쉰은 설명했다. 올 상반기 ‘자판 흑수’ 바이러스와 ‘USB 도둑’ 모두 이런 특징을 드러냈다. 특히 텅쉰은 “이런 온라인뱅킹 결제류 바이러스는 사기 과정에서부터 공격 방식까지 변화가 잦고, 다양화 특징이 매우 뚜렷하다”며 “동시에 잠재된 위해성도 한층 더 커졌다”고 강조했다.

◆ 결제류 바이러스, 뱅킹결제·구매류 앱 노리고 개인정보 절취

지난 상반기 결제류 바이러스가 공격 대상으로 삼은 이동전화 S/W와 이동전화 사용자 집단도 뚜렷해졌다. 이들은 온라인뱅킹 클라이언트, 모바일 결제 클라이언트, 중국건설은행·타오바오망 사용자, ‘SwiftKey KeyBoard’ 입력법 사용자와 한국 내 모바일 뱅킹 애플리케이션이다.

텅쉰은 “온라인뱅킹 결제와 개인정보 절취류 바이러스가 은행 결제류와 구매류 앱을 대상으로 2차 묶음과 변조, 바이러스 투입을 진행하고, 대량 복제·확산·감염을 시도한다는 점이 상반기에 나타난 한 가지 두드러진 특징이다”고 설명했다.

동시에 최근 중국에서 불법 복제된 구매·결제류 앱들이 여러 대형 e마켓과 이동전화 포럼 사이트에서 넘쳐나고 있어 사용자의 모바일 결제 안전성에 적신호가 켜졌다.

텅쉰은 “모바일 결제류·구매류 앱의 보안 위험은 앱이 개인정보 권한을 과도하게 얻는 데서도 나타난다”며 “이는 온라인뱅킹 계좌를 비롯한 핵심 개인정보 절취를 야기한다”고 덧붙였다.

◆ 모바일 구매류 앱의 개인정보 권한 접근 비율 분석

텅쉰의 모바일 보안 랩은 최근 5만2,004개의 모바일 구매류 앱 S/W를 뽑아 코드를 스캔하고 S/W 중에 개인정보 권한 신청과 개인정보 접근의 API 관련 코드 문제가 있는지 여부를 분석했다. 그 결과, 사용자 개인정보 접근 권한을 가진 모바일 구매류 S/W는 4만2,305개로 전체의 81.3%에 달했다고 텅쉰은 밝혔다.

모바일 구매류 앱이 취하려는 각종 정보 권한들을 구체적으로 보면, ‘기기 식별 정보’는 73.91%(복수 권한 선택)의 점유율로 압도적인 1위를 차지했다. 이어 ‘지리 위치 정보’는 41.96%로 2위, ‘해당 이동전화기 번호’는 31.82%로 각각 2, 3위를 기록했다.

이 밖에 ‘카메라 열기’가 11.88%, ‘연락처’는 6.47%, ‘녹음기 열기’ 4.87%, ‘메시지’ 1.59%, ‘브라우저 책갈피’ 1.44%, ‘통화기록’은 0.57%의 비율을 각각 보였다.

이들 5만 2,004개 모바일 구매류 앱 중에서 ‘광고를 포함하고 있는 부가 S/W류’ 앱은 2만3,401개로 전체의 44.9%에 달했다. 광고 포함 S/W류 앱이 취하는 프라이버시 권한을 보면, △기기 식별 정보(73.29%) △지리 위치 정보(44.74%) △이동전화기 번호(40.09%) 순으로 많았다. 이들 세 가지 정보 권한의 점유율은 다른 권한들에 비해 10~18배 가량 높았다.

이 외에 ‘카메라 열기’ 권한을 취하는 앱의 비중은 4.90%이었고, ‘녹음기 열기’ 4.36%, ‘연락처 취하기 2.56%, ‘브라우저 책갈피 취하기’ 2.27%, ‘메시지 취하기’ 0.61%, ‘통화기록 취하기’는 0.44%의 비율을 각각 보였다.

이에 따라 △기기 식별 정보 △지리 위치 정보 △이동전화기 번호는 ‘모바일 구매류 앱’과 ‘광고 포함 구매류 앱’이 모두 접근해 얻으려는 핵심 정보 권한들인 것으로 밝혀졌다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>