• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

구글 플레이 스토어에서 사라진 500개 앱에서 발견된 악성 SDK 2017.08.24

개발자들 속이려 악성 페이로드를 추가로 다운로드 받는 SDK
구글도 같이 속아 500개 넘는 앱 정상 등록돼...이미 1억번 이상 다운로드

[보안뉴스 문가용 기자] 구글이 스파이웨어 및 정보 탈취 기능을 가진 광고용 소프트웨어 개발 킷이 임베드 되어 있는 500개의 앱을 플레이 스토어에서 제거했다. 하지만 이미 1억 번 이상 다운로드 된 것들이라 뒤늦은 조치일지도 모른다.

[이미지 = iclickart]


올해 초 보안 업체인 룩아웃 시큐리티(Lookout Security)는 앱 개발자들 사이에서 Igexin이라는 광고 SDK가 인기리에 사용되고 있다는 걸 발견했다. Igexin을 앱에 엠베드하는 경우가 많았는데, 대부분 Igexin이 추가로 플러그인을 다운로드 받을 수 있는 기능을 가지고 있다는 걸 모르고 있었다. “게다가 그 플러그인이 스파이 기능을 가지고 있는 악성 페이로드였어요.” 룩아웃 시큐리티의 크리스토프 헤베이센(Christoph Hebeisen)은 “이 때문에 Igexin이 탑재된 앱을 다운로드 받으면 저절로 스파이웨어가 설치될 가능성도 같이 내려 받게 되는 것”이라고 설명한다.

SDK란 개발자들이 보통 코딩에 들어가는 시간을 아끼기 위해 사용하는 툴이다. 코딩을 잘 못하는 사람들에게는 모자란 실력을 보충해주는 고마운 도구이기도 하다. 광고 SDK란 모바일 앱 개발자들 사이에서 특히 자주 사용되는데, 그 이유는 광고 수익 때문이다. 무료 앱들에 광고가 뜨는 것을 많이 경험해봤을 것이다.

물론 개발자들이 수익을 위해 아무 SDK나 막 가져다 쓰는 건 아니다. 충분히 취약점 검사를 실시하거나 악성 기능 존재 여부를 확인한 후 사용하는 것이 관례다. 룩아웃 시큐리티 역시 “개발자들이 Igexin의 스파이웨어 기능에 대해 몰랐을 가능성이 매우 높다”고 말한다. 그 자체로 스파이웨어 기능을 가지고 있는 것이 아니기 때문이다. “2차로 악성 페이로드를 다운로드 받는 데에 활용되는 ‘발판’의 역할을 하는 것이 Igexin의 실체입니다. 개발자들을 잘 속인 거죠.”

헤베이센은 “이처럼 SDK를 활용해 악성 페이로드를 후속으로 배포하는 공격 방식은 처음 등장한 것”이라며 “구글 플레이 스토어를 멋지게 속이고 무려 500개 이상의 앱에서 활용된 것을 보면 앞으로 공격자들 사이에서 유행할 가능성이 높아 보인다”고 말했다. “흥미롭습니다. 앞으로 충분히 경계를 해야 할 듯한 공격 방식일 것으로 예상됩니다. 게다가 공식 앱 스토어 측에서도 좀 골치가 아플 듯 합니다.”

개발자들의 툴 자체에 파고들어, 그 툴로 만들어진 결과물을 오염시키는 공격 기법 자체는 이전 엑스코드고스트(XcodeGhost)를 통해 드러난 바가 있다. 하지만 엑스코드고스트는 실제 합법적인 개발 툴인 엑스코드를 가장한 것으로, 두 번째 페이로드를 다운로드 받는 Igexin과는 성격이 다르다.

Igexin이 추가로 다운로드 받는 SDK 플러그인은 통화 데이터를 수집할 수 있다. 통화 데이터라고 하면, 전화번호, 통화 시간, 전화를 받았는지, 그냥 계속 울리기만 했는지, 아니면 받지 않고 끊어버렸는지 여부를 말한다. 이 모든 정보는 Igexin을 개발한 중국 회사로 전송되었다. “광고 회사에서 소비자 분석을 위해 설치한 것이라고 보기에는 지나치게 사생활을 침입합니다. 어떤 플러그인은 사용자의 위치정보까지도 전송하더군요.”

헤베이센은 “플러그인의 이러한 과도한 정보 수집 기능도 문제지만, 무엇보다 Igexin이란 것 자체가 따로 플러그인을 추가해서 다운로드 받을 수 있다는 것 자체가 가장 큰 문제”라고 지적한다. “광고 SDK에 그런 기능이 있으면 안 되는 겁니다. 구글 플레이 스토어에 등록된 후 발동되는 다운로드 기능이라뇨. 말도 안 되죠.” 애플과 구글의 앱 스토어 모두 한 번 등록된 앱이 공식 절차 없이 임의로 변경되지 못하도록 하고 있다.

Igexin SDK의 개발자들이 이를 몰랐을까? “알고도 일부러 그런 겁니다. 다운로드 되는 플러그인 파일을 숨기기 위해 암호화 기능을 활용하고 있고, 자신들이 업로드하는 민감한 정보를 숨기기 위한 기능도 가지고 있다는 게 그 증거입니다.” 하지만 개인정보를 수집한 목적 자체는 정확히 알기 힘들다고 한다. “어디론가 팔았을 수도 있는데, 그렇다면 범죄 행위가 가중되는 것이겠죠.”

룩아웃 측은 이를 구글에 알렸다. 그리고 기사 서두에 밝혔다시피 구글은 500개의 앱을 스토어에서 삭제하긴 했다. 하지만 그 500개가 Igexin과 관련이 있는 모든 앱들은 아니었다. 구글이 판단하기에 ‘나쁜 기능’을 가지고 있는 앱들만이었다. 즉 Igexin SDK가 엠베드된 앱들 중 일부가 아직 스토어에 남아있는 상태다. 헤베이센은 “구글은 Igexin이 수정되도록 기회를 줬습다”고 설명한다. “각 앱 개발자가 아니라 Igexin 개발자들에게 수정 조치를 요구했을 뿐입니다.”

Igexin이 엠베드 된 앱들 중 다운로드가 가장 많았던 것은 게임 앱들이었고, 그 다음은 기상정보 관련 앱들이었다. 그 다음은 사진 편집 앱들이었으며, 인터넷 라디오 앱 역시 상당히 높은 다운로드 수를 기록했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>