• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

휴대폰용 신종 악성 프로그램 대처법 2007.02.26

휴대폰에도 바이러스가 침투할 수 있다는 사실을 아시나요?


이제 휴대폰도 바이러스의 안전지대가 아니다. 아직 국내에서는 휴대폰 바이러스 또는 모바일 바이러스라고 불릴 만한 감염 유형이 나타나지는 않았지만, 해외에서는 이미 다양한 형태의 바이러스가 존재해 큰 혼란을 불러일으키고 있다.


우리나라 역시, 정부차원에서 한국정보보호진흥원(KISA)을 주축으로 이동통신 3사와 백신관련 기업이 함께 ‘휴대폰 바이러스 대응 협의체’를 만들겠다고 발표해 앞으로 다가올 휴대폰 바이러스의 위협을 사전에 방지하겠다는 의지를 표명하기도 했다. 여기서는 현재까지 밝혀져 있는 해외에서의 휴대폰 바이러스의 종류와 사례를 열거하고, 이의 대책은 무엇인지 살펴보도록 하겠다.

 


트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)이 발표한 바이러스 분석자료에 따르면 컴퓨터 악성 프로그램의 파괴적 방식을 모방한 휴대폰 악성 프로그램이 나날이 증가하고 있다.


과거에는 크래시, 프로그램 종료, 변종, 무선 공격, 무료 소프트웨어 위장, 데이터 도용 등과 함께 악성 프로그램의 증가가 가장 큰 이슈였으나, 이런 악성코드가 발전해 심지어 휴대폰과 컴퓨터를 동시에 감염시킬 가능성이 제기됨에 따라 대책이 요구되고 있는 것이다.


트렌드마이크로 트렌드랩의 최근 보고에 따르면 휴대폰 악성 프로그램은 기술 및 감염범위 면에서 놀라운 속도로 발전했으며, 제거하기가 대단히 어려운 수준까지 이른 것으로 판단된다. 이러한 악성 프로그램은 전화 파일, 주소록, 메시지, 그림은 물론 기본적인 전화 사용에도 장애를 일으킬 수 있기 때문에 새로운 모바일 위협에 신중하게 대응해야 할 필요가 있다.


3개월 만에 10개의 신종 악성 프로그램 등장


휴대폰도 악성 프로그램의 공격대상에서 예외가 아님을 처음 발견한 것은 지난 2004년 6월 트랜드랩에 의해서였다.

 

그러나 최초의 휴대폰 악성 프로그램인 ‘SYMBOS_CABIR.A’는 블루투스(근거리에 놓여 있는 컴퓨터와 이동단말기 등을 무선으로 연결해 쌍방향으로 실시간 통신을 가능하게 해주는 규격을 말하거나 그 규격에 맞는 제품을 이르는 것) 기기를 통해서만 확산됐기 때문에 이 개념증명(PoC) 방식의 웜은 크게 주목받지 못했다.


그러나 현재 악성 프로그램은 신기술 추세에 맞춰 변화하기 시작했으며, SYMBOS_CABIR.A가 발견된지 단 3개월 만에 10개의 신종 모바일 악성 프로그램이 추가로 등장하게 됐다. 현재 휴대폰 업체에서는 전화기능 복구 서비스를 제공하고 있지만 트로이 목마 제거 서비스까지는 제공할 수 없는 실정이다. 그 결과 안티바이러스 소프트웨어가 없는 전화기, 특히 블루투스 기능의 전화기는 갈수록 심각한 위험에 직면하고 있다.


휴대폰 악성 프로그램의 동향을 살펴보면 무선 도메인이 악성 프로그램의 전쟁터가 되고 있음을 알 수 있다. 최근에는 무료 다운로드를 제공하는 웹 사이트에 안티바이러스 소프트웨어를 차단하는 최초의 휴대폰 트로이 목마까지 등장했다.


또한, 안티바이러스 프로그램을 삭제하는 ‘SYM BOS_ DREVER.A’와 ‘레트로 바이러스’의 휴대폰 공격도 시작됐다. SYMBOS_DREVER.A는 F-Secure 및 SimWorks 소프트웨어와 같은 몇몇 안티바이러스 애플리케이션을 덮어쓰는 최초의 휴대폰 악성 프로그램이다.


휴대폰 바이러스의 다양한 사례


컴퓨터와 휴대폰의 동시 감염


이와 함께 최근 ‘PE_VLASCO.A’ 및 ‘SYMBOS_ VLASCO.A’가 일부 휴대폰 애플리케이션에서 장애를 유발시킬 수 있음을 발견했다.

2005년 1월 10일, PE_VLASCO.A는 컴퓨터 시스템과 무선 장치를 동시에 공격하는 최초의 악성 프로그램으로 기록됐다. 이 바이러스는 「Series 60」 휴대폰 뿐 아니라 Windows 시스템에 영향을 줄 수 있다.

이 악성 프로그램들의 활동 움직임을 살펴보면 일단 Windows 시스템이 감염되면 PE_VLASCO.A의 부가 바이러스인 SYMBOS_VLASCO.A가 Series 60 플랫폼을 실행하는 휴대폰을 공격하게 된다. 이 악성 프로그램은 일부 기존 애플리케이션을 새로운 것으로 대체하고 정상적인 작동을 방해한다.


전화기 작동불량, 버튼 고장


2005년 2월 초에는 트렌드마이크로가 ‘SYMBOS_ LOCKNUT’라고 이름 붙인 2개의 파괴적 악성 프로그램을 발견했는데, 이 SYMBOS_LOCKNUT은 휴대폰에서 다운로드 후 기기가 정상적으로 작동하지 않도록 버튼을 고장 내는 특징을 갖고 있다.

이 바이러스의 첫 번째 변종인 ‘SYMBOS_LOCKNUT.A’는 Symbian OS v7.0이 설치된 휴대폰을 감염시켜 일부 키의 작동을 방해하고, 심지어 휴대폰의 고장을 유도하기까지 한다. 그러나 다행스럽게도 ‘SYMBOS_LOCKNUT.A’는 스스로 전파되지 않아 파급력은 그다지 높은 편이 아니다.

그러나 이 바이러스 제작자는 그의 명성에 만족하지 않고, 파괴력과 감염력이 향상된 ‘SYMBOS_LOCKNUT.B’ 버전을 내놓았다. 이 변종은 블루투스를 통해 전파되는 최초의 휴대폰 악성 프로그램 SYMBOS_CABIR.A를 모방한 것이다. 이것은 정상 파일로 위장해 확산되고, 휴대폰의 블루투스 통신기능을 통해 목표를 탐지하며, 유해 파일을 수락하는 즉시 새로 감염된 전화는 작동불량을 일으키게 된다.


모바일 바이러스 다음 단계는 데이터 도용


휴대폰 바이러스의 파괴적 양상은 특정 목표를 향해 전진하고 있으며, 그 최종 목표는 데이터 도용이 될 것으로 전망되고 있다.


SYMBOS_DREVER.A는 사용자의 암호와 기밀 정보를 훔쳐내는 휴대폰용 트로이 목마라 할 수 있는데, 이 트로이 목마는 무료 안티바이러스 프로그램 또는 게임으로 위장해 불법 소프트웨어 사이트나 해커 사이트를 통해 다운로드된다. 이 악성 프로그램은 실제로 SYMBOS_DREVER.B 및 SYMBOS_DREVER.C라는 2가지 새로운 변종으로 이어져 필리핀을 혼란으로 몰아넣은 바 있다.


한 바이러스 전문가에 따르면 안티바이러스 소프트웨어를 종료하는 휴대폰용 트로이 목마가 등장했다는 사실은 휴대폰 바이러스가 더욱 강력해지고 있다는 경고신호이며, 이는 수많은 휴대폰 사용자들에게 위협적으로 다가올 수 있다고 분석했다.


2005년에는 블루투스 기기를 감염시키는 모바일 악성 프로그램의 선조격인 ‘카비르(Cabir)’로부터 2가지 변종이 만들어졌는데, 여기에 ‘드레버(Drever)’ 계열까지 추가된 지금, 보안을 위협하는 휴대폰 악성 프로그램이 정기적으로 새로 등장할 것으로 전망되고 있다.


트렌드마이크로는 SYMBOS_DREVER.A 트로이 목마에 감염된 휴대전화에는 “Dr Web FOREVER!!!!”라는 메시지가 나타나며 SYMBOS_DREVER.C는 보안 업체를 저주하는 “FSECURE MUST DIE!!!!!!Please, don’t make new antiviruses for my viruses and I stop make viruses for your anti-viruses. My target is Simworks! =}”라는 메시지를 표시한다고 설명했다.


또한, SYMBOS_DREVER.A로 삭제된 안티바이러스 소프트웨어를 재설치하면 악성 프로그램이 제거되기는 하지만 사용자들이 직접 재설치해야 되기 때문에 불편을 초래한다고 한다.


다양한 감염경로와 빠른 확산속도


멀티미디어 메시지 서비스(MMS)를 통해 광범위한 전파를 촉진하는 ‘SYMBOS_COMWAR.A’도 등장했다.


2005년 3월 초에 최초로 모습을 드러낸 SYM BOS_ COMWAR.A는 다양한 인터넷 사이트에서 COMM WARRIOR.ZIP이라는 압축 파일로 다운로드된 다음 무작위 파일 이름으로 블루투스를 통해 확산된다. 특히 이것은 사전 정의된 컨텐츠의 MMS 메시지를 보내면서 자기 자신을 SIS 파일로 첨부함으로써 확산되는 최초의 악성 프로그램이다.


초기의 모바일 악성 프로그램은 사용자들이 모르고 직접 실행한 수동 전송이나 무선 전송을 통해 휴대폰을 공격했다. 그러나 COMWAR는 이러한 초기의 악성 프로그램에서 대폭 진보한 능동적 감염방법을 택하고 있으며, 감염된 사용자의 주소록 전체에 포르노 메시지를 전송해 모두 감염시킬 수 있다.


바이러스 발생사례


▲ Cabir

ㆍSymbian OS, 2005년 10월

ㆍ감염경로 : 블루투스를 통해 감염된 SIS 파일전송

ㆍ증상 : 감염 후 블루투스 기능을 이용해 다른 희생폰을 찾아 웜의 복사본 전송, 블루투스 장치를 검색하면서 디바이스의 전반적인 성능 저하

ㆍ최초 발견 후 다수의 악성 변종 출현

ㆍ주요 감염 국가 : 필리핀, 싱가포르, 미국, 중국, 인도, 핀란드, 베트남, 터키, 러시아, 영국, 이탈리아 등


▲ Gavno.a

ㆍSymbian Series 60 OSv7 Phone, 2005년 1월

ㆍ감염경로 : patch.sis 파일 전파

ㆍ증상 : 휴대폰 업데이트/패치로 가장해 사용자의 설치 유도, 감염되면 전화 송/수신 기능 정지

ㆍ최초의 휴대폰 기능을 정지시키는 악성코드


▲ Commwarrior 웜

ㆍSymbian OS, 2005년 10월

ㆍ감염경로 : MMS+블루투스를 통해 감염된 SIS 파일 전송

ㆍ증상 : 폰 주소 검색, MMS를 이용해 다른 사용자에게 감염파일 자동 전송

ㆍ주요 감염 국가 : 아일랜드, 인도, 오만, 이탈리아, 필리핀, 핀란드, 그리스, 말레이시아, 오스트리아, 독일, 미국, 캐나다, 영국, 루마니아, 폴란드, 러시아 등


▲ Skulls.S

ㆍSymbian OS, 2005년 9월

ㆍ트로이 목마

ㆍ증상 : SMS, MSS, 웹브라우저, 카메라 등 휴대폰 기능 정지, 다른 감염 대상 디바이스를 지속적으로 검색해 배터리 사용 단축


휴대폰 바이러스의 7단계 대응방법


휴대폰 악성 프로그램으로 인한 위협의 증가는 악성 프로그램 공격이 휴대폰의 신기술을 따라잡을 수 있음을 나타낸다. 어떤 바이러스 제작 그룹은 지난해말 해커들의 정기간행물에 블루투스를 통해 전파되는 최초의 개념증명(PoC) 방식 모바일 웜인 카비르(Cabir)의 소스 코드를 발표했다. 최근 갑작스럽게 등장한 여러 가지 모바일 악성 프로그램은 이 소스 코드가 믿을만한 것임을 반증하는 사례라고 할 수 있다.


트렌드마이크로는 이렇듯 증가하는 휴대폰 공격을 방지하기 위해 다음과 같은 7가지의 행동요령을 제안했다.


1. 블루투스를 통해 파일을 받을 때는 감염된 파일을 피할 수 있도록 각별히 주의한다.

2. 악성코드에 감염된 경우, 블루투스 기능을 차단해 악성 프로그램이 새 목표를 찾지 못하도록 한다.

3. 모르는 발신자의 메시지는 열지 말고 삭제한다.

4. 출처가 확실치 않은 프로그램은 설치하지 않는다.

5. 벨소리와 게임은 합법적인 공식 웹 사이트에서만 다운로드한다.

6. 감염된 애플리케이션은 즉시 삭제하고 다시 설치한다.

7. 안티바이러스 프로그램을 설치한다. 

<도움말 : 트렌드마이크로, 시만텍코리아>

 

[월간 시큐리티월드(info@boannews.com)]


           <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>