샤오미 커뮤니티 DB유출·스마트폰 악성코드 등

[보안뉴스 온기홍=중국 베이징] 중국의 치후360과 텐센트, 루이싱 등 정보보안업체들이 최근 공개한 중국내 주요 이동전화 보안 사건·사고들을 보면, 수 백만명의 스마트폰 사용자 정보 유출, 유명 스마트폰내 백도어 악성코드 투입, 유명 애플리케이션(이하 앱) 강제 삭제 등이 잇달아 일어났다.

中 ‘샤오미’ 스마트폰 사용자 800만명 정보 유출돼

중국에서 유명세를 타면서 빠르게 시장점유율을 끌어 올리고 있는 스마트폰 ‘샤오미’의 사용자 800만 명 안팎의 정보가 유출됐다. 지난해 4월 13일 저녁 중국판 트위터인 웨이보어의 한 사용자는 ‘샤오미 커뮤니티 사이트에서 사용자 데이터베이스(DB)가 유출된 것으로 의심된다’는 내용의 메시지를 올렸다.

중국내 보안 취약점 정보공유 플랫폼인 우윈의 조사한 결과, 샤오미 커뮤니티의 공식 DB가 유출된 것으로 확인됐다. 유출된 내용은 샤오미 스마트폰, MIUI 시스템 등 샤오미 제품 사용자 800만명과 관련돼 있었다. 온라인에 퍼진 샤오미 DB로 판단할 때, 패스워드 데이터는 보호 조치가 취해졌지만, 해커가 평문 암호를 복원할 확률은 70~80%(간단한 패스워드는 쉽게 풀 수 있음)였다고 360인터넷보안센터는 밝혔다.

360인터넷보안센터는 “유출된 데이터들은 대량의 사용자 자료를 담고 있으며, 샤오미 ‘클라우드 서비스’를 방문하고 더 많은 민감한 정보들을 획득하는데 쓰일 수 있다”고 지적했다. 게다가 유출된 데이터로 연락처·메시지·사진·위치정보 등도 얻을 수 있고, 단말기 잠금과 메시지 삭제도 가능한 것으로 드러났다.

유출된 DB는 불법세력에 의해 사기 행위에도 악용될 수 있다. 실제 데이터가 유출된 이후 많은 샤오미 스마트폰 사용자들이 웨이보어와 커뮤니티를 통해 밝힌 바에 따르면, ‘01053799231’, ‘02160544527’ 같은 번호에서 걸려온 전화를 받았다. 전화를 건 사람들은 샤오미 스마트폰 사용자의 성명, 주소, 전화번호, 구매(쇼핑) 기록 등 정확한 정보를 제시했고, ‘물건이 (고객에) 도착하면 대금을 지불하는’ 방식으로 사기 행위를 벌였다고 사용자들은 전했다.

中 ‘Coopad’ 스마트폰, 백도어 악성코드 발견

중국에서 지난해 일어난 이른바 ‘쿠파 스마트폰 백도어 사건’은 사회적으로 논란을 일으킨 이동전화 보안 사건이었다. 미국 보안솔루션회사 팔로알토네트웍스는 지난해 12월 18일 중국 토종 스마트폰 브랜드 쿠파(酷派·Coolpad)의 최대 24종에 백도어 취약점 프로그램이 존재한다고 밝혔다. 이 회사는 이들 취약점을 ‘CoolReaper’로 명명했다. 중국내 보안 취약점 정보공유 플랫폼인 우윈(WooYun)도 쿠파 스마트폰의 보안 취약점을 공개하고, 백도어 악성 SW가 내장돼 있다고 밝혔다.

이 백도어 프로그램은 사용자가 동의하지 않는 상황에서 출처불명의 앱을 단말기에 설치하며, 임의로 메시지를 발송하거나 지우고, 전화를 걸기도 한다. 또 OTA SW 업그레이드로 위장해 다른 앱을 스마트폰에 설치한다고 우윈은 밝혔다. 이 백도어는 스마트폰 기기 정보를 쿠파 서버에 올릴 수 있는 것으로 밝혀져 사용자들의 정보보안·알권리·프라이버시 침해에 대한 논쟁을 불러 일으켰다.

‘appkiller’ 바이러스, 유명 스마트폰 앱 강제로 삭제

중국내 많은 스마트폰 사용자들은 지난해 3월, 스마트폰에 자체적으로 설치한 UC 브라우저가 이유도 없이 삭제됐고, 다시 새로 다운로드해 설치한 뒤에도 여전히 제거됐다고 잇달아 밝혔다.

텐센트의 바이러스 검사기술팀은 이동전화 보안S/W를 써서 이 바이러스를 찾아냈고, 이 바이러스에 ‘a.system.appkiller.’(안쟨 자객·暗箭刺客)이란 이름을 붙였다. 이 바이러스는 주로 ROM내장과 일부 다운로드 방식을 통해 스마트폰 시스템에 삽입된다고 텅쉰의 모바일보안랩(Mobile Security Labs)은 밝혔다. 이 바이러스는 백그라운드에서 범죄를 저지르는데, UC 브라우저, 바이두 검색 같은 많은 유명 스마트폰 앱을 강제로 삭제하는 등 매우 강한 악의적 공격성을 띠는 것으로 드러났다.

이 바이러스를 두고 기술성과 논리성이 매우 높다는 평가도 나오고 있다. 루트(ROOT) 권한 신청, 스마트폰 잠금 해제 또는 네트워크 변화 감시, 악의적인 서비스 활성화 등을 진행하고, 동시에 앱과 관련한 데이터베이스를 만들며, 앱을 삭제할 수 있는 데이터 표를 보호한다고 텅쉰은 설명했다. 이 바이러스는 사전에 설정된 시간에 스마트폰을 네트워크에 연결시킨 뒤 앱 삭제를 진행한다. 텅쉰은 “이 바이러스는 ROM 층면의 스마트폰 안전에 대한 조기 경보”라고 지적했다.

‘장로’ 트로이목마, 여러 변종 안드로이드 OS 스마트폰에 침입

360인터넷보안센터는 지난해 3월 스마트폰 ROM 안에 3년 동안 숨어 있던 ‘장로급’ 이동전화 트로이목마를 발견했다고 밝혔다. 이 트로이목마에서는 지난 2011년부터 지난해까지 10여개의 변종이 나왔다. 최신 변종은 이동전화 번호·IMEI·위치정보 등 개인의 민감한 정보들을 훔칠 뿐 아니라, 강제적으로 단말기 SW들을 통해 광고를 내보낸다.

동시에 스마트폰 브라우저 홈페이지를 변조시키고 다른 출처불명의 스마트폰 앱을 몰래 설치한다. 나아가 이 ‘장로’ 트로이목마는 훔친 스마트폰 전화번호에 근거해 단독으로 다른 단말기를 통제할 수 있다고 정보보안 전문가들은 설명했다.

360인터넷보안센터는 지난해 6월 30일 ‘장로 트로이목마’ 2세대를 탐지했다고 밝혔다. 이 새로운 변종은 스마트폰 안의 메시지와 전화번호·위치정보·일정·와이파이(WiFi)·브라우저 등 20여 개에 달하는 계정과 비밀번호를 훔칠 수 있다. 나아가 해커의 명령에 따라 스마트폰 환경음을 빼내고 사용자의 전화 발신을 제한할 수 있는 것으로 드러났다.

이 ‘장로 트로이목마’ 2세대는 스마트폰을 감염시킨 후 자신의 아이콘을 숨겨서 사용자가 알아차리기 어렵게 했다. 스마트폰 사용자가 단말기를 껐다가 다시 켜거나 OS를 다시 설치하더라도, 이 트로이목마는 여전히 단말기 안에 남아 있다고 정보보안 전문가들은 강조했다.

360인터넷보안센터이 지난해 11월 중순 자사 이동전화 보안 S/W 사용자들로부터 받은 신고에 따르면, 스마트폰에 잇달아 ‘손전등’, ‘달력’이란 이름이 붙은 앱들이 나타났다. 이들 앱이 몰래 과금한 전화요금은 수 백 위안에 달했다. 이들 앱은 제거하기도 매우 어렵고, 제거가 될지라도 나중에 다시 단말기에 출현했다.

360인터넷보안센터은 또 “이른바 ‘장로 트로이목마’ 3세대 변종은 스마트폰 시스템 파일을 바꿔서 가짜를 진짜로 만들고, 많은 악성 프로그램을 내려 받는다”며 “이는 삭제도 매우 어렵다”고 밝혔다. 단말기 안의 소위 ‘에볼라’는 중국에서 100만 대의 스마트폰을 감염시킨 것으로 밝혀졌다.

[중국 베이징 / 온기홍 특파원(onkihong@yahoo.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>