| 中 모바일 결제류 바이러스 행위별 유형은? | 2014.05.14 | ||||
바이러스 자체 실행·메시지 훔쳐보기·몰래 설치·삭제 등 뒤이어 [보안뉴스 온기홍=중국 베이징] “올해는 모바일 결제류 바이러스가 집중 폭발하는 한해가 될 것이다.” 중국에서 올해 들어 스마트폰 상 금전 결제를 노린 바이러스가 활개치고 있는 가운데 이들 바이러스의 가장 특징은 사용자 몰래 네트워크에 연결하고 메시지를 훔쳐보거나 삭제하면서 외부로 전송하는 것으로 밝혀졌다.
▲ 2014년 1분기 중국내 모바일 결제류 바이러스의 행위별 비율 모바일 결제를 노린 바이러스의 또 다른 특징으로는 △사용자 몰래 메시지 삭제(37.30%) △몰래 메시지 발송(36.51%) △(단말기 전원 켠 뒤) 스스로 활동 개시(30.10%) △메시지 훔쳐보기(19.74%) 등이 각각 2~5위를 기록했다. 이어 △서브 파일 포함(8.40%) △아이콘 무표시(6.02%) △사용자 몰래 설치(5.62%) △몰래 제거(4.77%) △프로그램 진행 끄기(4.69%) △자판 입력 감시(4.52%) △루트(ROOT) 권한 몰래 획득(3.34%) 순으로 많이 나타났다. 이 중 ‘몰래 설치’, ‘몰래 삭제’, ‘키보드 입력 감시’, ‘루트 권한 획득’ 등 4개 유형의 바이러스는 사용자들이 모르는 상황에서 스마트폰 내 보안 프로그램 같은 중요한 소프트웨어(S/W)를 제거할 수 있다. 이어 바이러스 파일을 설치하거나 사용자의 자판 입력 동작이나 내용을 엿보고, 루트 권한을 획득하며, 사용자 계정과 비밀번호 등 민감한 정보를 훔친다. 텅쉰은 “최근 중국에서 결제류 바이러스에 의한 감염 피해를 입은 사용자 수는 1,126만7,500명에 달했다”고 밝혔다. 텅쉰의 모바일 보안 랩은 결제류 바이러스의 특징을 크게 다섯 가지 유형으로 나눴다. 모바일 결제류 바이러스 유형 1: 유명 앱 상대로 2차 묶음 진행 첫째 유형은 ‘2차 패키징(묶음)’ 결제류 바이러스. 이 바이러스는 중국내 전자상거래 관련 유명 브랜드들을 노리는 것으로 드러났다. 텅쉰의 모바일 보안 랩은 지난해 초 중국내 은행의 첫 스마트폰 앱인 ‘중국건설은행 모바일 앱’을 감염시킨 이동전화 결제 바이러스 ‘a.expense.lockpush’를 탐지했다. 이른바 ‘로크 웜’으로 불리는 이 바이러스는 2차 패키징 방식을 통해 악성코드를 은행 앱에 투입한 다음 몰래 특정 S/W를 내려 받아 설치한다. 이어 악성 서브 파일들을 설치하고 은행 계좌와 비밀번호를 훔쳐서 자금을 빼간다. 이 바이러스는 전형적인 2차 패키징 방식의 결제류 모바일 바이러스로 꼽힌다.
▲ 중국 텅쉰의 ‘모바일 보안 랩’이 중국내 은행의 첫 스마트폰 앱인 ‘중국건설은행 모바일 앱’에서 이동전화 결제류 바이러스 ‘a.expense.lockpush’(로크 웜)를 탐지한 화면. 텅쉰이 자사 이동전화 보안 프로그램을 써서 지난해 탐지ㆍ퇴치한 바이러스 ‘a.expense.tgpush’(은행 귀수)와 ‘a.expense.googla.a’(은행 독수) 바이러스도 2차 패키징 방식의 결제류 바이러스에 속한다. 이 중 ‘a.expense.tgpush’ 바이러스는 사용자의 동의 없이 백그라운드에서 몰래 출처 불명의 S/W를 내려 받음으로써 요금 소모 피해를 초래하고 맬웨어 행위를 한다. 또 ‘a.expense.googla.a’와 ‘a.payment.googla.b’ 같은 모바일 결제류 바이러스는 2차 묶음을 통해 정상적 S/W로 위장하고, 백그라운드에서 악성 프로그램을 실행시킨다. 이를 통해 개인정보 유출을 야기하고 몰래 메시지를 발송해 요금을 소모시킨다. 이런 바이러스는 일반적으로 은행류와 구매(쇼핑)류 S/W를 대상으로 2차 패키징을 진행한다. 이 가운데 ‘a.expense.googla.a’ 바이러스는 지난 2월 2차 묶음을 통해 많은 유명 전자상거래류 앱들로 위장한 다음 스마트폰 사용자들을 꾀어 내려 받게 했다. 이들 바이러스는 전송돼 온 확인 메시지(자금 결제 확인 메시지)를 차단하고 이동전화기 정보를 특정 서버로 전송한다. 유형 2: 특정 프로그램 모조 사칭 고위험의 결제류 바이러스의 두 번째 특징은 특정 프로그램을 사칭한다는 점이다. 텅쉰 측은 “최근 출현한 고위험 결제류 바이러스의 목적은 매우 뚜렷한데, 바로 모바일 결제 S/W와 쇼핑(구매) S/W, 모바일 은행류 S/W를 노린다는 것이다”고 밝혔다. 모바일 결제류 앱 영역에서 중국내 대표적 제3자(서비스 전문회사) 결제서비스인 ‘즈푸바오(Alipay)’와 최대 전자상거래 사이트 ‘타오바오(Taobao)’는 결제류 바이러스가 집중 겨냥하는 결제·쇼핑류 앱이다. 이들 앱을 모조 사칭한 결제류 바이러스 가운데 전형적인 바이러스는 지난해 5월 텅쉰이 이동전화 보안 프로그램을 써서 탐지·퇴치한 바이러스 ‘a.privacy.leekey.b’ 이다. 텅쉰의 조사 결과, 이동전화기 사용자가 ‘가짜 타오바오’ 트로이목마 버전을 설치한 뒤 웹페이지에 등록할 경우, 아이디와 비밀번호를 입력한 다음 ‘등록’ 버튼을 클릭하면 메시지 발송 코드를 실행하게 된다. 이어 사용자의 아이디와 비밀번호를 지정된 이동전화 번호 ‘13027225522’로 발송한다. 동시에 사용자를 꾀어 ‘taobao.account.safety’란 파일명의 악성 파일을 설치하게 한다. 이 파일은 ‘계정 보안 서비스’란 이름을 갖고 있다. 사용자가 이 악성 파일을 설치 완료한 뒤 ‘제출’을 클릭하게 되면 악성 파일이 작동하게 된다. 텅쉰은 “이 바이러스는 타오바오 모바일 앱으로 위장해 사용자의 타오바오 아이디와 비밀번호, 결제 비밀번호를 훔쳐 지정된 이동전화 번호로 전송하는 동시에 사용자를 속여 악성 파일을 설치하게 함으로써 핵심 정보와 금전을 대규모 유출시킨다”며 “이 바이러스는 모바일 상 구매와 결제 안전의 위험을 크게 키운다”고 지적했다. 유형 3: 이동전화 인증번호 훔쳐 이동전화 인증번호는 고위험 결제류 바이러스가 금전을 훔치는 과정의 핵심 부분이다. 모바일 결제류 바이러스의 행위별 비율로 볼 때, ‘사용자 몰래 메시지 삭제’, ‘메시지 발송’, ‘메시지 훔쳐 보기’ 행위는 각각 2위, 3위, 5위를 차지했는데, 이는 메시지가 결제류 바이러스의 중요한 절취 목표가 됐다는 점을 보여주고 있다. 텅쉰의 모바일 보안 랩은 “즈푸바오(Alipay) 등 제3자 결제사이트에서 이동전화 인증번호의 권한은 즈푸바오 디지털 증서 권한보다 높은데, 누구든 즈푸바오와 연결된 이동전화 번호를 통해 즈푸바오 비밀번호를 되찾기와 삭제, 은행카드 연결이 가능하고, 잔액도 이체할 수 있다”고 지적했다. 따라서 이동전화기를 잃어버리면 제3자 결제 계좌도 위험에 놓이게 된다. 이와 함께 모바일 결제 과정에서 이동전화 인증번호는 매우 중요한 부분이 되고 있다. 텅쉰의 모바일 보안 랩의 최근 표본 통계에 따르면, 지난 1분기 결제류 바이러스 중 19.74%는 메시지를 훔쳐 볼 수 있는 것으로 나타났다. 이 메시지에는 결제 거래에 필수적인 이동전화 인증번호가 들어 있다. 해커는 인증번호를 통해 사용자의 결제 계좌를 손에 넣을 수 있다. 텅쉰은 “해커가 이동전화 인증번호를 훔치게 되면, 절취한 이동전화 번호 같은 민감한 정보와 합침으로써, 디지털 증서 등 설치를 취소할 수 있게 되며, 이는 ‘즈푸바오’ 거래의 안전을 크게 위협한다”고 설명했다. 이동전화 인증번호를 노리는 바이러스와 관련해, 지난해 12월 텅쉰의 모바일 보안 랩이 탐지한 바이러스 ‘a.remote.eneity’(메시지 도적)의 경우, 이동전화 메시지(인증번호 메시지 포함)를 해커가 지정한 번호로 전달한다. 이어 메시지를 차단해, 사용자의 상업성 정보와 자금 결제 안전을 위협한다. 텅쉰의 모바일 보안 랩이 지난해 말 퇴치한 타오바오 겨냥 고위험 바이러스 ‘a.expense.regtaobao.a’(메시지 절도 좀비)는 감염 이동전화기를 통해 몰래 메시지를 발송해 타오바오 계정에 등록한다. 동시에 전송돼 온 결제 확인 메시지를 차단하고 가린다. 또 이동전화 결제 확인 인증번호와 이동전화 요금을 절취하며, 즈푸바오 계좌 내 잔액도 노린다. 텅쉰은 지난 2월에도 이동전화 보안 프로그램을 써서 재차 이 바이러스를 탐지해 퇴치했다고 밝혔다. 텅쉰은 “이들 ‘메시지 도적’과 ‘메시지 절도 좀비’ 바이러스는 모두 이동전화 결제 인증번호를 절취할 수 있다”며 “이 ‘메시지 도적’ 바이러스의 특징은 이동전화 결제 인증번호 감시 제어인데, 인증번호 절취를 통해 즈푸바오 안의 자금을 훔친다”고 설명했다. 텅쉰은 또 “이러한 결제류 바이러스가 인터넷 뱅킹을 절취하는 수단은 뚜렷한데, 즉 메시지를 전달하거나 결제 인증번호를 감시·수집한다”고 덧붙였다. 이들 결제류 바이러스는 인터넷 뱅킹 및 결제와 관련한 메시지 내용을 차단해 인터넷 뱅킹 관련 자금을 훔친다. 유형 4: 감시제어·사용자 유도 행위 모바일 결제류 바이러스의 감시제어와 사용자 유도 특징은 고위험화의 신호가 되고 있다. 최근까지 가장 심각한 감시제어류 모바일 결제 바이러스로는 텅쉰이 지난 1얼 10일 탐지한 ‘a.rogue.bankrobber’가 꼽힌다. 이는 20여개의 중국 은행 앱을 직접 감시 제어하고 계정과 비밀번호 정보를 훔칠 수 있는 고위험류 바이러스다. 이 바이러스는 백그라운드에 숨어 이동전화 단말기 정보와 메시지를 훔치는 동시에 사용자 몰래 메시지를 삭제하고 메시지를 발송한다. 또 통화기록을 훔치고, 메시지 명령에 따라 이동전화기를 제어한다. 최근 ‘a.rogue.bankrobber’ 바이러스는 중국농업은행, 쟈오샹(초상)은행, 광파은행, 싱예(흥업)은행, 우정저축은행, 난징은행, 중신은행, 광다은행, 민생은행, 푸동발전은행, 핑안(평안)은행, 광저우농상은행, 충칭은행, 중국은행, 화샤은행, 후저우은행, 상하이은행 등 중국내 20여개 모바일 은행의 계정과 비밀번호를 훔친 것으로 드러났다. 이 바이러스는 또 이들 모바일 은행 앱의 진행을 강제로 종료시키고 이동형 팝업 광고를 띄워 사용자의 계정과 비밀번호를 편취한다. 최근 이 ‘a.rogue.bankrobber’ 바이러스에 의해 감염 피해를 입은 이동전화기 사용자는 6만여명에 달했다고 텅쉰은 밝혔다. 텅쉰은 “이 바이러스는 공식 모바일 은행 앱을 고도로 모방하므로 사용자들이 앱 아이콘 상에서 구분하는 게 매우 어렵다”며 “일단 사용자가 가짜 모바일 은행을 설치해 실행하게 되면 이동전화 번호, 신분증 번호, 은행 계좌, 비밀번호 등을 입력하라는 요구를 받게 된다”고 설명했다. 이어 이 바이러스는 이들 정보를 해커가 지정한 서버로 전송하고, 해커는 은행 계좌와 비밀번호를 빼낸 다음 즉시 계좌 내 자금을 다른 곳으로 옮기게 된다. 지난해 텅쉰이 이동전화 보안 프로그램을 써서 퇴치한 ‘a.privacy.keylogger’ 도 전형적인 감시제어·유도류 결제 바이러스로 꼽힌다. 이른바 ‘자판 흑수’로 불리는 이 바이러스는 자판 입력 앱인 ‘SwiftKey’에 내장돼 사용자의 자판 입력을 감시할 수 있으며, 사용자의 계정과 비밀번호, 신용카드, 온라인뱅킹 결제 정보 등을 빼내 외부로 전송한다. 또 입력 내용을 해커가 지정한 서버로 전송한다. 텅쉰 모바일 보안 랩은 “결제류 바이러스가 키보드 입력을 엿보거나 백그라운드에서 사용자 결제 계좌와 비밀번호 입력 정보를 감시하는 특징은 갈수록 뚜렷해지고 있다”며 “이는 모바일 결제류 바이러스가 고위험화로 치닫고 있는 신호가 되고 있다”고 강조했다. 유형 5: 여러 행위 일체화 흐름 뚜렷 여러 가지 행위를 일체화한 결제류 바이러스도 출현하고 있다. 텅쉰은 “결제류 바이러스 진전 과정에서 여러 가지 특징의 융합화 흐름이 나타나고 있다”고 밝혔다. 대표적으로 텅쉰이 지난 3월 말 탐지해 퇴치한 ‘구이먠인제이’란 이름의 바이러스는 2차 패키징, 특정 프로그램 모조·사칭의 특징을 갖고 있다. 사칭 대상 앱에는 중국인민은행, 중국건설은행을 포함해 10여 종의 앱이 포함돼 있다. 게다가 이 바이러스는 이동전화 메시지를 엿보고 메시지 내용을 해커가 지정한 이동전화 번호로 보내기도 한다. 텅쉰은 “모바일 결제류 바이러스는 2차 패키징, 특정 프로그램 사칭, 인증번호 전달, 감시제어 유도 행위를 통해 금전 결제 같은 민감한 정보를 훔치는 데 깊이 파고 들고 있고, 단일 결제류 바이러스에서 여러 특징이 융합하는 흐름이 보이고 있다”며 “올해는 모바일 결제 보안 문제와 형세가 더욱 심각해질 것”이라고 강조했다. [중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
