1백만 개 계정 침해 성공한 굴리건 멀웨어...클릭 사기로 수익 만들어
플러그인처럼 보이는 플러그인팬텀, 아직 정확한 공격자 의도 몰라

[보안뉴스 문가용 기자] 안드로이드 기기들을 향한 두 가지 대규모 공격이 발견되었다. 하나는 보안 전문업체인 체크포인트(Check Point)가 발견한 굴리건(Gooligan)이라는 멀웨어다. 굴리건은 발견된 시점까지 이미 기기 루팅을 통하여 1백만 개의 구글 계정을 해킹하는 데에 활용되었다. 퍼지는 속도도 매우 빨라서 하루에 1만 3천여 개의 기기가 이 굴리건에 당하고 있다고 한다. 여기에는 당연히 기업들의 기기와 계정도 포함되어 있다.


굴리건은 2015년에 발견된 스냅피(SnapPea)라는 다운로더의 변종으로 안드로이드 4(젤리빈, 킷캣)와 안드로이드 5(롤리팝) 기기들을 주로 노린다. 안드로이드 4와 5 운영체제가 설치된 안드로이드 기기는 총 3/4에 달한다. 굴리건이 한 번 설치되면 기기로부터 이메일 주소, 저장된 인증 토큰 등을 훔쳐내 공격자들이 기기 주인의 지메일, 구글 포토, 구글 독스, 구글 플레이, 구글 드라이브, G 수트 계정 및 정보에 접근할 수 있도록 해준다.

체크포인트의 모바일 부서 책임자인 마이클 숄로브(Michael Shaulov)는 “모바일에서고 PC에서고 지금까지 기록된 구글 계정 침해 사건 중 가장 규모가 큰 것으로 보인다”고 이번 발견에 대해 설명한다. “그렇게 큰 사건이 모바일에서 일어났다는 사실도 시사하는 바가 큽니다. 공격자들의 주 무대가 모바일로 상당히 많이 옮겨왔다고 볼 수 있거든요.”

물론 아직까지 공격이 이뤄진 건 대부분 아시아 지역에서다. 공격의 57%가 아시아에 몰려 있는 것으로 밝혀진 것. 그런데 신기하게 중국에서는 해당 공격이 거의 발생하지 않았다. 그리고 공격자들은 클릭 사기를 통해 금전적인 이득을 취했다고 체크포인트는 분석하고 있다. “기기의 루팅을 마치고, 구글 계정을 손에 넣은 후 굴리건 운영자들은 사용자인 것처럼 로그인을 하고 행동해서 구글 플레이의 공식 앱들을 설치합니다. 앱을 설치하고 나서는 그 앱에 뜨는 광고들을 클릭하고, 그 댓가를 받는 것이죠.”

두 번째 대규모 공격은 또 다른 보안업체인 팔로알토 네트웍스(Palo Alto Networks)에서 발견했다. 플러그인 앱인 것처럼 가장한 공격 방식으로 플러그인팬텀(PluginPhantom)이라는 트로이목마가 사용되기는 하지만 기기에 직접 설치되지는 않는다. 이 트로이목마는 파일과 위치정보, 연락처, 와이파이 정보 등을 훔쳐낼뿐 아니라 사진을 찍거나 화면 캡처도 할 수 있고 음성 녹음 및 문자 메시지 가로채기도 가능하다. 키로깅 기능도 가지고 있다.

팔로알토의 첩보 책임자인 라이언 올슨(Ryan Olson)은 아직 플러그인팬텀이 일으킨 피해의 규모를 파악하지는 못했다고 설명한다. 공격 발생지는 물론 주요 피해 지역조차도 아직 알 수가 없다며 “다만 중국과의 연관성이 발견되긴 했다”고 말한다. “위치정보를 다룰 때 바이두 맵(Baidu Maps)과 에이맵 맵(Amap Maps)에서 사용하는 좌표 시스템을 사용하고 있더군요. 이 두 앱은 중국에서 가장 널리 사용되고 있는 내비게이션 앱입니다.”

플러그인팬텀은 Android.Trojan.Ihide의 새로운 변종이다. 하지만 이를 활용해 여러 정보를 훔쳐가는 목적에 대해서는 아직 파악이 안 된 상태다. “아직 범죄 동기나 이유는 분석 중에 있습니다. 다양한 기능으로 사용자의 거의 모든 행동을 스파잉하는 건 국가가 주도하는 사이버 스파잉 행위에서 주로 발견되던 것인데요, 요즘은 사이버 범죄자들도 이런 일들을 많이 하기 때문에 쉽게 결론을 내릴 수가 없습니다.”

안드로이드...대규모 공격...흔한 일일뿐?
모바일 취약점을 악용하는 멀웨어. 그것도 안드로이드 환경. 불특정 대다수가 이미 감염 및 피해 입다. 이런 종류의 사건 내용은 이미 예전에도 많이 접할 수 있었던 것들이다. 그러나 이런 파장 큰 공격이 기업에까지 광범위하게 확대된 것은 흔치 않은 일이다. 체크포인트의 숄로브는 “굴리건 공격자들은 엄청나게 많은 사용자들의 핵심 정보를 노리기 위해 구글에서 제공하는 다양한 서비스들을 한꺼번에 해킹했다”며 “이런 공격이 이론상에서만 존재했지 실제로 구현되는 걸 본 건 처음”이라고 말한다.

아이덴티티 관리 업체인 빅아이디(BigID)의 CEO 디미트리 시로타(Dimitri Sirota)는 “사물인터넷 기기 중 가장 흔한 게 모바일이고, 그 모바일이 이런 대규모 공격의 가장 핵심 발판으로 활용되었다는 것 자체도 중요한 문제”라고 짚는다. “앞으로도 공격자들이 개인정보나 기업의 핵심 기밀에 도달하기 위해서 다양한 사물인터넷 기기들을 활용할 것이라고 쉽게 예상할 수 있습니다. 모바일이 수많은 공격 통로 중 하나에 불과할 뿐이고요.”

구글은 이번 사건에 대해 “현재 안드로이드 환경에 대한 보안 강화를 진행 중에 있고 굴리건 사태는 체크포인트와 협력하여 해결 중에 있다”고 안드로이드 보안 책임자인 아드리안 루드윅(Adrian Ludwig)을 통해 발표했다. 하지만 이는 안드로이드 환경의 보호 자체만을 목적으로 한 움직임이고, 사실 구글로서는 그 정도만 해줘도 된다.

체크포인트의 숄로브는 “굴리건 운영자들이 좀 과도하게 개인정보를 수집해갔다는 사실 자체가 꺼림칙하다”고 밝힌다. “현재까지 약 2백만 개의 앱이 굴리건을 통해 설치되었습니다. 단순히 클릭사기만을 노린다고 하기에는 한 개인에 대한 너무 많은 정보들을 긁어모았죠. 왜 그랬을까요? 혹시 뭔가 다른 노림수가 있거나 두 번째 공격 계획이 짜인 건 아닐까요? 이런 불안감은 아직도 공격자들의 의중 파악이 되지 않은 플러그인팬텀의 경우에도 마찬가지로 생깁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>