• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

고도화된 스파잉 툴 페가수스, 안드로이드에도 출현 2017.04.07

각종 스파잉 기능 갖추고 있어... 카메라와 마이크로폰도 이용
스파이전의 주력 툴 및 표적으로 자리 잡은 모바일 기기들

[보안뉴스 문가용 기자] 작년, 보안 업체인 룩아웃(Lookout)과 토론토대학의 연구원들이 발견한 iOS용 스파이웨어 페가수스(Pegasus)의 안드로이드 버전이 등장했다. 룩아웃과 구글이 조사해서 찾아낸 바로 이 안드로이드용 페가수스는 iOS용과 마찬가지로 표적형 감시 작전과 합법적인 가로채기 작전을 수행하는 데에 활용된다고 한다.


먼저 안드로이드용 페가수스는 iOS용과 마찬가지로 다양한 ‘악성’ 기능들을 가지고 있다. 키스트로크 로깅, 스크린샷 캡쳐, 라이브 오디오, 왓츠앱, 스카이프, 페이스북 메시지 열람 기능 등이 여기에 포함된다. 또한 안드로이드 체제의 기본 이메일 클라이언트에서 메시지들을 가로챌 수도 있고, 브라우저 히스토리도 빼돌릴 수 있으며 문자 메시지와 연락처 정보 역시 노릴 수 있게 된다.

감염시킨 기기의 마이크로폰과 카메라를 통해서도 스파잉 활동을 할 수 있도록 해준다는 게 특히 치명적이다. 이는 기기 주인뿐 아니라 주변 환경에 대한 정보 습득으로도 이어지기 때문이다. 여기에다가 특정 조건이 갖춰질 때 스스로를 파괴시키는 기능까지 갖추고 있어 페가수스는 모바일 스파잉 멀웨어 중 가장 위험한 것으로 분류됐는데, 안드로이드용 버전이 이러한 위험성을 전부 이어받은 것으로 보인다.

룩아웃의 제품 관리 책임자인 크리스티 에드워즈(Kristy Edwards)는 “iOS용이든 안드로이드용이든, 결국 모바일 기기들이 국가 기관들이 할 법한 강도 높은 스파잉 행위에 적극적으로 활용되기 시작한 것이 주안점”이라고 말한다. “iOS용의 경우 인권 단체나 기자들이 집중 감시 대상이었죠. 특히 두 개 국가에서 이러한 활동들이 대다수 발견되었습니다.”

에드워즈는 “내가 매일 손에 들고 다니는 모바일 기기라고 해서 너무 신뢰해서는 안 된다”고 말하며 “누군가 내 폰을 통해 엉뚱한 짓을 할 수 있다는 걸 늘 염두에 두는 게 좋다”고 경고한다. “염두에 둔다는 걸 다른 말로 표현하면, ‘패치를 빼놓지 않고 하고, 링크 클릭을 조심스럽게 한다’입니다. 친구한테 온 것이라도 말이죠.”

이 페가수스 멀웨어의 저작자는 이스라엘의 해킹 단체인 NSO그룹(NSO Group)이다. NSO는 iOS용과 안드로이드용 모두를 만든 것으로 알려져 있다. 구글은 페가수스에 의한 고도의 스파잉 공격을 크라이세이어(Chrysaor)라고 부르고 있으며, 현재까지 소수의 안드로이드 사용자 대상을 겨냥한 활동이 진행 중에 있다고 밝혔다. “작년에 페가수스에 대한 경고가 나오고부터 지금까지 약 30~40여대의 안드로이드 기기가 해당 공격에 당한 것으로 파악됐습니다.”

그리고 그 기기들은 이스라엘에 대부분 분포되어 있다고 한다. 여기에 그루지아, 멕시코, 터키에서도 적은 수의 페가수스 활동이 발견되기도 했다.

iOS용 페가수스와 안드로이드용이 완전히 똑같은 건 아니다. 안드로이드 버전은 제로데이 취약점을 활용하지 않기 때문이다. iOS 버전은 세 가지 제로데이 취약점을 함께 익스플로잇 해 iOS 기기를 탈옥시켰다. 이 세 가지 취약점을 묶어서 트라이던트(Trident)라고 부르기도 한다. “안드로이드용 페가수스 역시 일종의 기기 탈옥을 유도하긴 하는데 이미 세간에 널리 알려진 프라마루트(Framaroot)라는 기술을 활용합니다.”

그렇지만 최초 감염 경로에 대해서는 아직 밝혀지지 않고 있다. “피싱 공격이나 소셜 엔지니어링을 통해 사용자가 악성 APK를 설치하도록 유도하지 않을까 예상하고 있습니다. 대부분 스파잉 툴들이 이런 식으로 사용자에게 접근하고, iOS용 페가수스 역시 그 중 하나였습니다.”

구글은 “일단 크라이세이어가 설치된다면, 사실상 모바일로 하는 사용자의 모든 행위를 감시할 수 있게 된다”고 말하며 “심지어 걸려오는 전화를 몰래 받거나 걸어서 사용자의 대화를 누군가 청취할 수도 있게 해준다”고 경고했다. “그러다가 사용자가 갑자기 전화기를 집어들어 켜기라도 한다면 다시 모든 걸 원 상태로 복구시켜 놓죠. 정말 놀라운 멀웨어입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>