• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

거대조직이 놓은 스미싱 덫, 걸렸다 하면 ‘노다지’ 2014.08.28

경찰 수사 피하기 위해 스미싱 공격자 난독화 기술 적용

악성앱 개발자와 배포자 별도로 존재, 거대조직 구성     


[보안뉴스 김경애] 갈수록 치밀하고 고도화된 수법으로 진화하는 스미싱. 결혼·민방위·택배·카카오톡·할인쿠폰·세월호 등 최대한 많은 사용자가 걸려들도록 공격자는 여기저기 호기심을 자극하는 문구로 덫을 놓고 있다.


사람들의 심리를 노린다

이는 그만큼 모바일이 대세라는 걸 입증한다. 지하철 안에만 보더라도 대부분의 사람들은 스마트폰에 몰두하고 있다. 스마트폰으로 메신저를 하든, 기사를 보든, 인터넷 검색을 하든, 업무를 보든 너나 할 것 없이 스마트폰에 취해 있다. 이러한 대세를 공격자가 놓칠 리가 있나. 공격하기 좋은 황금밭이 훤하게 보이는데 가만 놔둘리 없다. 재빠르게 모바일 공격으로 갈아탄 공격자는 각종 스미싱으로 대어 낚기에 정신이 없다.


그렇다면 이들은 황금밭에 있는 재료를 어떻게 요리해 수많은 사람들이 걸려들도록 하는 것일까. 결론부터 말하자면 사람의 심리+기술의 조합으로 단 하나의 목적을 위해 서로 협업·분업하며 거대한 조직을 구축해 나가고 있다.


초기 스미싱은 쿠폰 문구로 시작됐다. 공짜 싫어하는 사람이 어디 있겠는가? 너도 나도 스미싱 덫에 걸려들기 딱 좋은 케이스다. 이런 식으로 사람들의 심리를 노린 공격자들은 치밀한 상황을 연출한다. 결혼·택배·할인쿠폰 등 걸려들 수 있는 시나리오 소재는 죄다 모아 안 누를 수 없도록 각종 문구로 현혹한다. 지금 바로 내 옆에 있는 투명인간처럼 모든 국내 이슈를 꾀고 있는 건 물론 심지어 내가 처해 있는 상황에 맞게  지인번호, 지인 이름까지 적극 활용하는 맞춤형 공격까지 서슴치 않는다.


수사망 피하기 위해 난독화 기술 적용하는 ‘응용의 고수’

이러한 스미싱은 악성앱 설치에 이용된다. 악성앱이 설치되면 이용자 스마트폰에 저장된 전화번호, 사진, 주고받은 문자메시지, 심지어 메신저까지 모두 공격자 손아귀에 들어갈 수 있다. 공격자에게 전달하는 역할은 공격자의 기술파트 몫이다. 그러나 이들의 기술 솜씨는 보통이 아니다. 범죄를 저지른 만큼 잡히지 않으려면 좁혀오는 수사망을 가뿐히 피할 수 있어야 한다. 그러기 위해선 수사하기 어렵게 시간을 벌어야 하고, 흔적을 남겨선 안 된다.


이와 관련 한국디지털포렌식학회와 경찰청이 주최한 ‘2014 디지털포렌식기술 워크샵’에서 고려대학교 이상진 교수는 “스마트폰 사용이 보급화되면서 금전적 이득을 취하기 위한 악성 어플리케이션의 제작 및 배포 사례가 증가하고 있다”며 “디컴파일(Decompile)이 용이한 안드로이드 운영체제에서는 어플리케이션 보호를 위해 난독화 기술을 적용하고 있다. 그러나 악성 어플리케이션 또한 이러한 난독화 기술을 적용하고 있어 역공학 분석이 어렵게 만들고 있다. 따라서 난독화에 대한 연구가 필요하다”고 설명했다.


난독화 기술은 △변수 이름 등을 난독화 △인코딩 및 암호화 △여러 배열로 분할 저장 △데이터 정렬 △명령 구문 그룹화 변경 △명령 순서 변경 △불필요한 연산 추가 △난독화 해제를 어렵게 하기 △난독화 해제 도구의 버그나 취약점 이용 등이 있다.


이러한 난독화 기술은 난독화 도구 개발단계에 적용하는 △Proguard △Dexguard와 개발 이후에 적용되는 △Medusah △DexProtector △Apk Protect로 종류가 구분된다. 이 도구들은 저마다의 특징을 갖추고 수사시관의 추적을 방해하거나 수사를 지연시키는 역할을 하기도 하고, 이용자의 정보 수집 등에 악용되곤 한다.


‘안드로이드앱 난독화 동향 및 대처방안’에 대해 연구한 고려대 디지털포렌식연구센터 박찬웅 박사는 “악성 어플리케이션을 만든 제작자는 어떻게 만들어졌는지 수사기관에서 쉽게 추적하지 못하도록 숨겨야 하기 때문에 수사를 지연시키는 난독화 기술을 악용한다”고 밝혔다. 


고려대 디지털포렌식연구센터와 경찰대학 국제사이버범죄연구센터가 공동 연구한 ‘스미싱용 악성 애플리케이션의 변화 추이 분석’을 주제로 발표한 고려대 이국헌 연구원은 “실제 스미싱 관련 피해사례가 접수된 160건 중 동일한 APK파일을 제외한 129건의 스미싱용 악성애플리케이션을 분석한 결과, 안드로이드 개발 환경 특성상 퍼미션 파일로 분류되는 악성앱 개발자와 사인 파일로 분류되는 배포자가 별도로 존재하는 것을 확인할 수 있었으며, 이러한 분석을 토대로 조사한 결과 대규모의 악성앱 개발 및 배포 그룹이 존재하는 것을 확인했다”고 말했다.

한편, 스미싱과 취약한 웹사이트와의 상관관계에 대해 경찰청 사이버안전국 정활채 경정은 “보안이 취약한 웹사이트에서 개인정보가 유출돼 2차적으로 스미싱에 악용될 수 있는 가능성은 얼마든지 있지만 아직까진 정확하게 확인된 건 없다”고 밝혔다.

[김경애 기자(boan3@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>