신종 악성코드 고유패턴 추출·분석 및 사설 마켓 유포 차단해야

[보안뉴스= 한명묵 한국인터넷정보학회 학술진흥부회장] 2009년 아이폰 출시를 시작으로 스마트폰의 보급이 빠르게 늘어나기 시작하면서 SNS, 각종 모바일 서비스, 인터넷 이용환경에 많은 변화를 주었고, 모바일 기기를 통해 언제 어디서든 인터넷에 접근할 수 있게 되었다.


스마트폰의 보급으로 스마트폰 앱을 이용한 다양한 서비스가 등장하게 되었고 사용자에게 많은 편의를 제공하고 있다. 반면에 기존에 존재하는 사이버침해 공격, 바이러스, 웜 등의 보안 위협이 모바일 환경에서도 그대로 적용되며, 무선 인터넷의 특성상 침해경로가 다양하고 개방형 앱의 안전성을 보장하기 어려워 이를 악용하는 악성코드로 인해 모바일 환경에서의 보안문제가 더욱 중요해지고 있다.

국내 보안기업 안랩에 따르면, 안드로이드 악성코드는 매년 2~3배 이상의 높은 증가세를 보인다고 발표했다. 이처럼 여러 가지 악성코드가 발견됨에 따라 악성코드의 진화에 따른 공격 기술 및 전파 방법이 다양해지고 있는 추세이며 점점 더 치밀해져 가고 있다. 스마트 단말기는 잠재적인 보안위험을 내재하고 있다. Social Networking 기반 서비스와 GIS 기반 애플리케이션의 등장으로 불법적 위치정보 노출 및 개인정보가 노출될 위험이 증가했고 Wi-Fi나 블루투스 같은 무선 통신 매체를 통한 개인 위치 정보가 노출될 수 있다.

또한 스마트폰 사용이 기업으로 확대됨에 따라 기업의 내부 정보가 유출될 가능성도 증가했으며, 스마트폰을 악성코드에 감염시켜 좀비 PC와 같은 좀비 스마트폰을 만들고 분산서비스 거부 공격을 할 수 있는 가능성이 존재한다. 이러한 스마트폰의 보안위협은 스마트폰 서비스 산업 발전의 저해 요인으로 작용하고 있다. 악성앱은 스마트폰에서 동작하면서 시스템을 파괴하거나 저장된 개인정보를 유출하는 등의 악의적인 활동을 수행하는 앱으로, 대부분의 악성앱은 스마트폰을 통해 정보가 유출되고 원격 명령실행, 과금유발, 탐지우회와 같은 다양한 악성행위가 가능하다.

정보유출형
개인정보를 유출하는 유형은 스마트폰 사용자의 정보를 유출하거나 위치를 추적하는 앱이다. SMS 메시지, 이메일, 통화기록, 전화번호부를 유출하거나, GPS 정보를 이용해 사용자의 위치를 추적한다. 또한 기기 정보도 유출할 수 있으며, 유출된 정보는 특정 서버로 전송되어 공격자에게 수집된다. 대표적인 정보유출형 앱으로 Tapsnake, flexispy, ADRD, PJAPPS, GEINIMI 등이다.

원격 명령 실행형
원격 명령을 실행하는 앱은 스마트폰에 설치되어 외부로부터 전달된 명령을 수행한다. 일반적으로 주기적 혹은 특정 조건이 만족되면, 특정 명령 서버에 접속해 감염된 스마트폰의 정보를 남기고 명령을 받아와 수행한다. 또한, 스마트폰에 보다 정교한 악성앱을 다운로드 받아 설치하거나 DDoS 공격 시 좀비로 사용할 수 있다. 대표적으로 DroidDream, Gingermaster, Rooter, PJAPPS, GEINIMI 등이 원격 실행형 앱이다.

과금유발형
스마트폰에 설치되어 유료 SMS 메시지를 전송함으로써 사용자에게 과금을 유발하는 앱이다. 유료 SMS 서비스로 등록된 번호로 주기적으로 SMS 메시지를 발송해 서비스 운영자가 이윤을 남길 수 있도록 한다. 대표적인 과금 유발형 앱으로 Fakeplayer가 있다.

탐지우회형
스마트폰에 설치된 후 바로 악성행위를 실행하지 않고 특정 시간이나 조건이 만족된 경우에만 실행되는 앱으로, 보안 S/W의 탐지와 사용자의 주의를 피할 수 있다. 대표적인 탐지 우회형 앱으로 ADRD, PJAPPS가 있다. 2013년에는 금융정보를 탈취하기 위한 새로운 스미싱 유형의 악성앱이 발견됐다. 신뢰할 수 있는 사람 또는 기업이 보낸 것처럼 가장 악성앱 설치를 유도하는 방식으로, 이 앱은 스마트폰의 인증서, 사진, 메모 폴더를 압축해 원격지로 전달해 금융정보를 탈취하기 위한 새로운 형태의 악성 스미싱 앱으로 분석됐다.

모바일 환경의 악성코드는 주로 정상 앱인 것처럼 배포되어 설치 및 실행을 유도해 감염 시킨다. 감염될 경우 개인정보 유출, 금전적 피해, 도청, DDoS와 같은 피해가 발생할 수 있다. 2013년 7월 국내 한 보안업체에서 발견해 이슈화되었던 카카오톡 보안 플러그인 위장 신종 악성앱은 기존 사례에서는 찾아볼 수 없었던 JNI 개발기법을 이용했고, 실제 악성행위를 파악하기 어렵게 하기 위해 AES-192 암호화 기법의 적용과 설치 시 디바이스 관리자 권한을 요구해 스마트폰 내부의 모든 자원에 대한 접근을 할 수 있게 된다.

특히, JNI를 이용해 Native 바이너리의 함수를 호출하는 기법은 기존의 분석방법만으로는 악성행위를 특징짓기 어렵다. 현재 이러한 대부분의 스마트폰 악성코드는 사설 앱 마켓으로부터 유포되고 있어 이러한 피해를 방지하기 위해서는 정식 앱 마켓을 이용하고, 문자메시지에 포함된 웹 사이트 주소를 통한 앱 설치는 절대적으로 지양해야 한다. 중국 최대의 사설 마켓인 GFAN에서는 약 78,000개의 스마트폰 앱이 유포되고 있으며 주요 인기 앱의 누적 다운로드 수가 백만을 가볍게 넘고 있다.

보안업체인 TrustGo에 의하면, 안드로이드 악성코드 ‘SMSZombie’의 경우, 중국의 GFAN을 통해 약 50만대의 단말기가 감염된 것으로 추산하고 있다. 사설 마켓을 통해 유포되는 악성앱은 직접적으로 악성코드를 포함한 앱도 있는 반면, 악성행위를 하는 파일을 추가로 다운로드하여 설치하게 하는 앱도 있으며, 인기 앱에 악성코드를 추가하여 재배포하는 형태로 사용자를 속이는 경우도 있다.

스마트폰 악성앱은 주로 정부·공공기관, 유명 브랜드, 금융기관, 모바일 백신 및 이동통신사 등으로 사칭해 유포된 것으로 조사되었다. 웹 사이트를 통한 악성코드 전파가 전체의 30%를 차지하는 주요 유포수단이며 앞으로도 금융정보 유출 악성코드 및 악성앱들은 사람을 매개로 하는 유포방식이 지속 될 것으로 예상된다.

이렇듯 악성코드 기술이 점차 진화하고 있지만 그에 따른 대응기술은 그 속도를 따라가지 못하고 있는 것이 현실이다. 따라서 신종 악성코드를 원천차단 하기 위해서는 정밀한 분석과 함께 그에 따른 효과적인 대응기술 개발이 요구된다. 또한, 이를 개발할 수 있는 국내 보안전문인력 양성에 주력해야 한다.

결론적으로는 악성코드 진화에 따른 신종 악성코드의 고유패턴을 추출 및 분석하고 정식 및 사설 마켓을 통해 유포되는 악성코드를 원천 차단함으로써 확산을 사전에 막고 피해를 최소화해야 하며, 사이버 시큐리티 연구센터 등의 관련 교육기관을 통해 양질의 보안인력을 더욱 많이 키워내야 한다.
[글_ 한명묵 가천대 컴퓨터공학과 교수·한국인터넷정보학회 학술진흥부회장
(mmhan@gachon.ac.kr)]

필자소개_한국인터넷정보학회 한명묵 학술진흥부회장은 현재 가천대학교 컴퓨터공학과 교수로 재직 중이며, 정보보호의 기초에서 응용까지 전 분야에 걸친 새로운 내용을 누구나 쉽게 이해할 수 있도록 기술한 ‘정보보호 개론’(공저)과 차세대 정보보호 인재 양성을 위한 ‘정보보호 인증제도 개론’(공저) 등 보안관련 서적을 집필했다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>