“하반기 안드로이드 OS 서명 취약점 악용하는 트로이목마 증가 전망”

[보안뉴스 온기홍=중국 베이징] 올 하반기 중국에서 스마트폰 관련 악성 소프트웨어(S/W)는 악성 광고를 위주로 하고, 악성 행위 측면에선 개인정보 절취가 가장 큰 위협이 될 것이란 전망이 나왔다.

또 안드로이드(Android) OS의 서명 취약점을 악용해 공격하는 트로이목마 바이러스가 크게 늘어날 가능성이 높다는 관측도 제기됐다. 중국 유명 온라인 보안솔루션 회사인 치후360의 360인터넷보안센터는 최근 발표한 ‘중국 이동전화 보안 상황 보고’에서 “지난 상반기 이동전화 메시지를 집단 발송하거나 이동전화 메시지 검증 번호를 가로 채는 악성 S/W들이 잇달아 나타났고 웨이신(스마트폰용 채팅 애플리케이션)을 겨냥한 악성 S/W의 사기 행위도 많아졌다”면서 이 같이 밝혔다.

中 상반기 이동전화 보안 초점

먼저 지난 상반기 중국 내 이동전화 보안 상황과 관련해, 360인터넷보안센터는 “위험도가 높은 이동전화 트로이목마가 계속해서 나타났다”며 “메시지 내용을 훔치고 메시지 기능을 통해 몰래 요금을 빼가면서 스팸이나 사기성 메시지를 집단 발송하는 게 일부 고위험 이동전화 트로이목마의 새로운 불법 수단이다”라고 밝혔다.

대표적으로 최근 중국에서 발견된 ‘사기 신사’란 이름의 이동전화 트로이목마는 이동전화기 내 연락처 정보에 접근한 다음, 사기성 메시지를 집단 발송한다. 불법세력은 주로 ‘KTV에서 경찰에 붙잡혔는데 ‘보증금’을 ‘사촌형’의 은행 계좌로 송금해 달라’는 내용의 사기성 메시지를 보냈다.

불법세력이 이 트로이목마에서 쓰는 수법을 보면 △모든 이동전화기가 메시지 ‘발신자’가 될 수 있고, 이동통신 운영회사들의 감독 관리가 매우 어려우며 △메시지 발신 번호가 친구의 번호여서 수신자들이 쉽게 속고 △피해자는 수신 전화의 번호가 친구 번호여서 신고를 하지 않는 점을 악용하고 있다.

360인터넷보안센터는 “메시지 발송 후엔 이동전화 메시지 발신함에 어떠한 기록이나 표시도 없을 만큼, 이 트로이목마는 은폐성이 매우 강하다”며 “이처럼 이동전화 트로이목마를 써서 메시지를 발송해 사기를 치는 신형 메시지 사기 수단은 피해 정도 면에서 이전의 사기 수법보다 훨씬 크다”고 설명했다.

둘째, 모바일 결제 관련 정보를 훔치는 트로이목마들도 눈에 띄게 늘고 있다. 360인터넷보안센터가 지난 5월 탐지한 ‘결제 귀수’란 이름의 트로이목마는 중국 최대 온라인 쇼핑몰 ‘타오바오’(taobao.com)로 위장해 이용자의 계좌번호와 비밀번호를 훔치는 것으로 드러났다.

이 트로이목마는 타오바오의 계좌번호와 비밀번호, 결제 비밀번호를 빼내 메시지를 통해 지정된 이동전화기로 몰래 발송한다. 또 이용자가 트로이목마 파일을 설치하도록 유도하고, 검증 번호가 포함된 모든 메시지들을 가로챈다.

불법세력은 이들 데이터를 손에 넣으면, 중국 최대 온라인 결제 프로그램 즈푸바오에서 이용자의 계좌 내 금액을 모두 빼간다. 이 ‘결제 귀수’는 최근 탐지된 이동전화 트로이목마 가운데 온라인 결제 계좌번호 절취와 관련해 강한 능력을 갖고 있다고 360인터넷보안센터는 설명했다.

또 이 ‘결제 귀수’ 트로이목마는 2차원 바코드와 이동전화기 정보토론 사이트 등 여러 경로를 통해 퍼져 나가는 것으로 밝혀졌다. 불법세력은 2차원 바코드 사진을 웹사이트와 이동전화 정보토론 사이트에 배포하고 이용자가 스캔해 내려 받도록 유도한다.

이를 내려 받은 스마트폰 이용자들은 가짜 ‘타오바오’를 설치한 셈이다. 그 뒤 이 트로이목마는 스마트폰 이용자가 ‘가짜 타오바오’ 앱에서 입력한 계좌번호, 비밀번호, 결제 비밀번호를 훔쳐 지정된 이동전화 번호로 발송한다.

이뿐 아니라 ‘결제 귀수’ 트로이목마는 이용자를 꾀어 ‘계정 보안 서비스’란 이름이 붙은 악성 파일을 설치하도록 한다. 이를 통해 스마트폰 메시지를 감시 제어하면서 수신 메시지들을 모두 지정된 이동전화 번호로 자동 전달한다.

이 메시지에는 스마트폰 이용자가 모바일 결제 관련 검증 번호와 비밀번호 수정 시 필요한 검증 정보가 포함돼 있을 가능성도 높다.

셋째, 지난 상반기 불법세력들이 중국판 카카오톡인 ‘웨이신’(微信, WeChat)’을 통해 이익을 챙기는 사례가 증가했다. 이와 관련, 360인터넷보안센터는 지난 2월 자체 모바일 보안 프로그램 ‘360 셔우지 웨이스’를 써서 34종의 신형 안드로이드 폰 트로이목마를 탐지했다.

이 트로이목마들은 각종 S/W를 자동으로 내려 받고, ‘웨이신 소식’ 메시지로 위장해 이용자가 설치하게 한 뒤, 이동전화기의 인터넷 이용량을 대량 소모시켰다. 나아가 이동전화 트로이목마를 2차 전파해 악의적으로 요금을 차감시켰다.

이 트로이목마들은 ‘원탁기사’, ‘쌍절룡’, ‘시혼’, ‘삼국지’, ‘명장’, ‘뇌전’, ‘합금탄두’ 등 인기 게임으로 위장하고, ‘녹색 무광고 버전’이란 문구로 이용자를 시선을 끌어 설치하게 했다.

이용자가 악성 코드가 들어 있는 이들 스마트폰 앱을 설치하면, 이동전화기는 네트워크에 연결해 해커가 서버를 통해 보낸 각종 명령을 받는다. 그 뒤 해커는 원격으로 이동전화기를 제어하게 된다.

이어 이동전화기는 네트워크에 연결해 모바일 브라우저와 모바일 지도를 포함한 악성 코드 앱들을 자동으로 내려 받는다. 다운로드 과정 중에도 대량 트래픽을 일으키면서 이동전화 요금을 소모시킨다.

또한 360인터넷보안센터가 지난 4월 탐지한 ‘차도살인’이란 이름의 이동전화 악성 S/W의 경우, 웨이보어(중국판 트위터)와 웨이신 같은 채팅 앱에서 팝업 광고를 잇달아 띄워 이용량을 소모시킨다.

이 같은 악성 광고삽입 S/W를 보유한 악성 프로그램은 상반기까지 300여 종에 달하고, 감염 피해자 수는 31만 명에 달했다고 360인터넷보안센터는 밝혔다. 스마트폰 이용자가 이 악성 광고삽입 S/W를 가진 앱을 설치한 할 경우, 바이러스는 백 그라운드에서 감시 제어 서비스 기능을 몰래 개시하고 스마트폰 내 웨이신과 웨이보어 앱의 설치 여부를 모니터링 한다.

▲ 악성 소프트웨어에 감염된 스마트폰의 모바일 채팅 애플리케이션인 웨이신(WeChat)에서 팝업 광고가 떠 있는 화면.

360인터넷정보센터는 또 “웨이신의 경우 일단 비밀번호가 도난당하면, 불법세력의 금전 편취 속도가 기존 ‘QQ’(중국 최대 온라인 채팅 프로그램)보다 매우 빠르다”며 “불법세력이 훔친 웨이신 계정을 통해 피싱 사이트를 함께 보내 상대방이 클릭하게 함으로써 QQ 계정을 훔친다”고 설명했다. 또 웨이신 내 ‘친구’는 일반적으로 이용자가 아는 사람들이기 때문에 프라이버시 유출의 위험도 있다고 센터는 덧붙였다.

中 하반기 이동전화 보안 예측

올 하반기 중국에서는 기술 수단이과 전파 방식에서 이동전화 바이러스의 속임수가 새로워질 것이라는 관측이다. 올 하반기 이동전화 보안 상황과 관련, 첫째 이동전화 악성 S/W들은 악성 광고류가 위주가 될 전망이라고 360인터넷보안센터는 밝혔다.

지난 상반기에 이어 하반기에도 감염 피해자가 가장 많은 이동전화 악성 S/W는 계속해서 악성 광고류를 위주로 할 것이라는 전망이다. 이들은 주로 요금 소모 목적의 악성 S/W를 비롯해, 각종 통지 안내와 사기 방식으로 이용자를 유도해 클릭하게 하는 사기류 S/W다.

사기류 악성 광고의 경우, 올해 중국에서 나타난 새로운 악성 광고 형식으로 각종 수법을 써서 이용자의 금전을 편취한다. 예컨대 ‘웨이신’ 안내 메시지로 위장해 이용자가 클릭하게 하고, 상용 S/W로 위장해 이용자에게 추천하기도 하며, 다른 상용 S/W에 광고를 삽입해 이용자를 속여 클릭하게 한다. 하반기 이 같은 사기류 광고는 더욱 세밀해지면서 이용자가 진위를 판별하기 어려워질 것이라고 보안센터는 예상했다.

둘째, ‘프라이버시 절취’는 하반기에 스마트폰 이용자에게 커다란 위협이 될 전망이라고 보안센터는 밝혔다. 센터는 “악성 행위 측면에서 이동전화 악성 S/W의 요금 차감과 이용량 소모, 프라이버시 절취 같은 악성 행위는 계속해서 널리 퍼지고 있으며, 동시에 프라이버시 절취의 2차 피해는 뚜렷하게 드러날 것이다”고 밝혔다.

요금 소모류 악성 S/W의 경우, 지속적으로 주요 보안 위협으로 자리잡아 가고, 악성 코드 일부는 더욱 세밀해 질 것으로 보인다. 이와 관련, 대표적으로 상반기에 ‘스챠오’계열 트로이목마의 경우 고강도 암호 기술을 채택해 악성 행위를 숨겼다.

셋째, 안드로이드 OS 서명 취약점을 이용한 악성 공격이 크게 늘 가능성이 있다고 보안센터는 밝혔다. 보안센터는 “올해 들어 안드로이드 OS 서명 취약점이 한 달 내 3개가 발견됐는데, 해커는 이 취약점을 악용해 디지털 서명을 훼손하지 않은 상황에서 임의의 정상적인 스마트폰 앱을 변조할 수 있다”고 설명했다. 이어 해커는 계정을 훔치고 개인정보를 절취하거나 요금을 차감시키는 각종 악성 코드를 투입한다.

센터는 “이들 트로이목마는 보안 모니터링을 하지 않는 앱 스토어의 감독 관리를 쉽게 피하면서 이용자의 이동전화기로 침투한다”며 “올 하반기 이 취약점을 이용한 이동전화 트로이목마와 악성 S/W가 광범위하게 나타날 가능성이 있다”고 밝혔다.

360인터넷보안센터는 이동전화 이용자들에게 △악성S/W의 주요 전파 근원지인 밀수 폰이 나 조립 스마트폰이 아닌 정식 경로를 통해 정품 이동전화기를 구매하고 △공식 웹사이트와 경로에서 스마트폰 앱을 내려 받으며 △앱을 설치하기 전에 앱의 요구 권한을 주의 깊게 살피고 △스마트폰 OS에 대한 보안 패치를 때맞춰 실시하며 △스마트폰을 구입 한 뒤 보안 프로그램을 설치해 보안 검사를 하는 게 바람직하다고 당부했다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>