안드로이드 플랫폼에 대한 구조적 취약점 분석 및 능동적 대응체계 구축 필요
선제적인 정책 개발과 함께 보안성 강화 기술 개발 시급

[보안뉴스= 이형우 한신대학교 컴퓨터공학부 교수] 해외 스마트폰의 국내 도입장벽 역할을 했던 WIPI 탑재 의무화가 2009년 해제된 이후 애플사의 iOS 기반 아이폰과 함께 구글사의 안드로이드(Android) 플랫폼을 탑재한 스마트폰이 국내에 출시된 지도 벌써 8년이 지났다.


2015년 하반기 조사결과에 따르면 국내에서 안드로이드 플랫폼을 탑재한 스마트폰 사용자는 전체 사용자의 76.7%에 달하는 것으로 나타났으며, 이는 전 세계 평균 안드로이드 점유율 65.75%보다 월등이 높은 수치다. 또한, 스마트폰 내에는 평균 48개의 모바일 앱(Mobile App)이 설치되어 있으며 모바일 인터넷 이용자의 47.8%가 모바일 뱅킹을 이용하고 있는 것으로 나타났다.

애플사에서는 자체 운영체제인 iOS를 기반으로 다소 폐쇄적인 형태로 별도의 앱스토어(App Store)를 운영하면서 아이폰 전용 모바일 앱에 대한 내부 코드 검증과정과 앱 개발자에 대한 강화된 인증과정을 수행하고 있다.

하지만 안드로이드 플랫폼 기반 모바일 앱인 경우 개방성 원칙에 따라 개발자에 대한 인증 및 코드 검사 과정을 수행하고 있으나, 애플사에 비해 상대적으로 느슨하기 때문에 악의적인 공격자에 의해 다양한 형태의 악성 모바일 앱이 제작되어 서드파티(3rd party) 오픈 마켓을 통해 배포되고 있다. 최근까지 발생한 스마트폰 관련 해킹 사례를 살펴보면 대부분 안드로이드 플랫폼을 대상으로 한 악성코드라는 점이 이를 반증한다.

현재까지 발견된 안드로이드 플랫폼 대상 악성 앱에 포함된 악성코드를 살펴보면 GingerBreak, GingerMaster 등과 같은 초기 모바일 악성코드를 통해 악의적 공격자는 스마트폰에 대한 루트 권한을 획득할 수 있다.

또한 FakeInst, VDLoader 등의 변형된 악성코드를 통해 스미싱(Smishing) 공격과 트로이목마(Trojan Horse) 형태의 공격을 수행하는 것으로 밝혀졌다. 그리고 BaseBridge, OpFake 등을 통해 원격 C&C 서버로 스마트폰 내부 개인정보와 금융정보 등을 사용자 모르게 외부로 전송하는 등의 공격을 수행할 수 있다.

심지어는 유명 안드로이드 앱으로 위장해 사용자의 스마트폰에 설치되면 삭제되지 않으면서도 스마트폰 내부 접근 권한마저 완전히 장악할 수 있는 중국발 모바일 해킹 공격이 발생할 정도다. 또한, 광고 형태의 악성 애드웨어(Adware)를 이용하여 안드로이드 플랫폼 기반 스마트폰에 침입한 후, 사용자의 스마트폰을 원격 통제하는 기능까지도 포함하고 있는 것으로 밝혀졌다. 이와 같이 안드로이드 플랫폼이 설치된 스마트폰을 대상으로 지능적이며 고도화된 악성 모바일 앱 기반 공격이 지속적으로 발생하고 있어 이에 대한 적극적인 대응이 시급하다.

우선 안드로이드 플랫폼을 대상으로 악성 앱의 제작되는 과정과 작동 메커니즘을 살펴보자. 악의적 공격자는 대부분의 사용자들이 많이 사용하는 일반적인 정상 모바일 앱과 동일한 형태의 악성 모바일 앱을 제작한다. 이는 안드로이드 플랫폼의 특성상 대부분의 모바일 앱으로부터 원본에 가까운 형태의 소스코드를 획득할 수 있기 때문이며, 악의적 공격자는 여기에 악성코드를 추가한 후, 이를 다시 리패키징(Repackaging)해 오픈 마켓을 통해 재배포한다.

결국 우리가 외관상으로는 전혀 구별할 수 없을 정도로 정상 앱과 동일한 형태의 악성 모바일 앱이 악의적 공격자에 의해 제작 및 재배포될 수 있기 때문에 안드로이드 플랫폼을 대상으로 한 공격이 지속적으로 확대되고 있는 것이다. 게다가 최근에는 악성 앱 내부에 의미 없는 데이터를 추가하거나 내부 파일에 대한 재배치와 실행 순서까지도 일부 변경하는 등 고도화된 변형·조작을 통해 기본 모바일 백신을 이용하더라도 전혀 검출되지 않는 악성 모바일 앱이 제작·배포되고 있다.

악성 앱이 사용자의 스마트폰에 설치되는 과정도 지능적이다. 인터넷진흥원에서 발표한 2015년도 1분기 스미싱 분석 자료에 따르면 2012년에 스마트폰을 대상으로한 스미싱(Smishing) 공격이 처음 발견된 이후, 급속도로 확산되고 있으며 당해년도 1월에만 대략 12만여건의 스미싱 문자를 통해 179개의 악성 앱이 유포된 것으로 나타났다. 스미싱 유형도 다양한데 지인을 사칭한 형태가 전체의 90% 이상을 차지하고 있으며 ‘교통범칙금 인터넷 납부 시스템’과 ‘민원24’ 등과 같이 공공기관을 사칭한 스미싱 공격이 발견될 정도로 점차 지능적인 형태로 변모하고 있다.

지난 2014년 1분기에만 보더라도 안드로이드 스마트폰 사용자를 노린 악성코드는 공식적으로 발견된 것만 전년대비 2배 가량 늘어난 43만 5천여 개에 달하는 것으로 집계됐다. 이 중에서 사용자의 스마트폰 내부에 있는 개인정보 유출, 과금 등의 악성행위를 수행하는 트로이 목마 형태의 악성코드는 대략 44.8%에 달하는 것으로 밝혀졌다.

또한, 전체의 48% 정도는 유해가능프로그램(PUP)으로 대부분의 모바일앱과 마찬가지로 사용자의 동의를 받고 설치되지만 안드로이드 기반 스마트폰에서 메모리 상당 부분을 차지해 단말 구동 속도를 떨어뜨리거나 과도한 네트워크 트래픽을 발생시켜 인터넷 사용에 불편을 초래하고 있다.

이미 현대인의 필수 아이템이 되어버린 스마트폰. 스마트 오피스(Smart Office) 기능도 포함하고 있을 정도로 이제는 필수불가결한 요소가 되어버린 게 사실이다. 인터넷 검색, 이메일, 쇼핑, 금융, SNS 및 각종 문서 작업 기능까지 기존 PC의 고유 영역을 대체할 정도로 대부분의 기능을 포함하고 있는 스마트폰은 이제 우리 실생활에서 없어서는 안 될 핵심 IT 장비가 되어버렸다.

하지만 개방성을 목표로 하는 안드로이드 플랫폼은 현대인의 삶의 패턴에 많은 변화를 가져다준 것과 동시에 스마트폰 내에 포함된 개인정보, 위치정보, 금융정보에 대한 유출 및 해킹 공격이라는 또 다른 형태의 보안위협을 내재하고 있다. 결국 안드로이드 플랫폼 기반 스마트폰을 대상으로 점차 지능화·고도화되고 있는 악의적 공격에 능동적으로 대응하기 위해서는 대학과 산업체 및 관련 기관을 중심으로 안드로이드 플랫폼에 대한 구조적 취약점을 면밀히 분석하고 능동적 대응체계를 구축해야 할 것이다. 또한, 선제적인 정책 개발과 함께 안드로이드 플랫폼에 대한 보안성 강화 기술을 꾸준히 개발해야 할 시점이다.

필자 역시 고도로 지능화된 안드로이드 플랫폼 기반 악성 앱의 실행 패턴에 대한 분석 과정을 토대로 최신 악성 모바일 앱에 대한 효율적 검출 및 대응 기법에 대한 연구를 수행하고 있다. 특히, 최근에 발견된 C&C 서버 기반의 다형상 악성 모바일 앱(Polymorphic Malicious Mobile App)에 대한 분석을 통해 기존 모바일 백신을 통해서도 검출되지 않는 다형상 악성 모바일 앱에 대한 효율적 검출 알고리즘을 개발 중에 있으며 이를 기반으로 검출 시스템을 구축하고 있다. 하지만 우리가 모르는 새로운 형태의 공격기술이 적용된 또 다른 형태의 악성 모바일 앱이 지금 이 순간에도 제작 배포되고 있을 것으로 예상되기 때문에 앞으로도 지속적인 관심과 연구 개발이 필요하다.
[글 _ 이형우 한신대학교 컴퓨터공학부 교수(hwlee@hs.ac.kr)]

필자 소개_ 한국인터넷정보학회 이형우 이사는 현재 한신대학교 컴퓨터공학부 교수로 재직 중이며, 고려대학교 컴퓨터학과에서 박사학위를 취득했다. ITU-T SG17 보안 분야 국제표준전문가로 활동하면서 다수의 국제표준을 제정했으며 대검찰청 디지털 포렌식 자문위원으로 활동하고 있다. 유무선 네트워크 보안, 모바일 포렌식 및 바이오메트릭 보안 및 정보보호 관련 분야에 활발한 연구활동을 진행하고 있으며, 현재 IITP 기술/시장 PS로도 활동하고 있다.

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>