피해자 위치에 따라 음성 녹음 기능 실시 등 혁신적인 스파잉 기능
문제의 업체 정체 밝히지 않았으나, 해킹팀과 비슷한 곳일 듯

[보안뉴스 문가용 기자] 이탈리아의 IT 업체가 스푸핑 된 웹 페이지를 통해 고도화된 안드로이드 스파이웨어를 뿌리고 있다는 사실이 적발됐다. 이러한 행위는 특정 인물들을 감시하기 위한 것이었고, 2015년에 본격적으로 실시됐다고 한다. 이는 보안 업체 카스퍼스키(Kaspersky)에서 발견해 경고한 내용이다.


카스퍼스키에 의하면 이 툴의 이름은 스카이고프리(Skygofree)이며, 높은 수준의 스파이 기능을 가지고 있다고 한다. “다른 스파이 툴에서는 한 번도 발견된 적이 없는 기능을 여러 개 장착하고 있습니다. 그중 가장 놀라운 건 위치에 기반을 둔 녹음 기능이었지요.”

스카이고프리는 2014년에 처음 개발된 것으로 추정된다. 그리고 꾸준한 업그레이드 과정을 거쳤다. 한 번 안드로이드 기기에 삽입되면 관리자급 통제권을 공격자가 가져갈 수 있으며, 기기 소유주의 대화 및 메시지 내용은 물론 주변의 소음까지도 전부 녹음해 맥락적인 정보까지도 어느 정도 얻어낼 수 있다. “이러한 기능이 특정 지역에서만 발동됩니다.” 이것이 위치 기반 녹음 기능이다.

스카이고프리만의 새로운 스파이 기능 중 또 다른 하나는 왓츠앱이라는 메신저에 기록된 메시지들을 훔쳐가는 것이다. “안드로이드의 접근성 서비스(Accessbility Services)를 통해 메시지를 탈취합니다. 이러한 스파이 기능은 여태껏 한 번도 등장한 적이 없습니다. 또한 스카이고프리는 자기가 감염시킨 기기를 공격자가 통제하는 와이파이 네트워크에 연결시킵니다. 이것 역시 전에 없었던 기능이지요.”

그 외에 전형적인 스파잉 기능들도 가지고 있다. “사용자 몰래 화면을 캡처하거나 사진을 찍고, 영상을 기록합니다. 통화 목록 정보도 공격자에게 송출하고 SMS 메시지도 읽어 들이고 훔쳐냅니다. 위치 정보도 가져가며, 달력 앱에 기록된 스케줄 정보도 노리지요. 이런 기능들은 기존의 스파이 툴들에서도 발견된 바 있는 것들입니다.”

재미있는 건 스카이고프리가 보호된 안드로이드 애플리케이션 목록에 스스로를 등록시킨다는 것이다. 그럼으로써 화면이 꺼져도 스카이고프리는 자동으로 꺼지는 일 없이 계속해서 활동할 수 있게 된다. 공격자로부터 받아 실행할 수 있는 명령어의 개수는 총 48개이며, 공격자는 HTTP, 바이너리 단문 메시지, XMPP, 파이어베이스 클라우드 메시징(FirebaseCloudMessaging) 서비스를 통해 멀웨어를 조작할 수 있다.

카스퍼스키의 멀웨어 분석가인 알렉세이 퍼시(Alexey Firsh)는 “개발 업체가 배포도 하고 있는 것으로 보인다”고 말한다. “스푸핑을 통해 마치 모바일 네트워크 통신업자가 관리하는 것 같은 페이지를 만들고, 그 웹 페이지를 통해 멀웨어를 안드로이드 기기들로 퍼트리고 있습니다만, 통신업자가 벌인 일로 보이지는 않습니다.”

처음으로 스푸핑된 페이지는 2015년에 등록된 것으로 나타났다. 가장 나중에 스푸핑 된 도메인은 지난 10월에 등록됐다. 배포 캠페인이 이 기간 동안 꾸준히 진행되었으며, 지금도 진행 중일 가능성이 높다는 의미가 된다고 카스퍼스키는 설명한다. “배포 인프라를 분석해봤을 때 멀웨어를 개발한 문제의 IT 업체가 배포까지도 같이 하고 있을 가능성이 높습니다.”

현재 해당 도메인의 후이즈 기록은 전부 편집된 상태다. 개발자이자 배포자로 보이는 IT 업체가 자신의 흔적을 지우고 있는 듯 하다고 퍼시는 설명한다. “그나마 남아있는 정보들을 미루어 보건데 해당 업체들이 스카이고프리를 통해 감시한 인물들은 전부 이탈리아어를 구사하는 사람들입니다. 다만 그 피해자들이 스카이고프리가 호스팅된 페이지로 어떻게 유입됐는지가 확실하지 않습니다.”

카스퍼스키는 “우회 공격이나 피싱 이메일이 사용되었을 것”이라고 추측한다. 퍼시는 “해당 페이지들은 대중들이 쉽게 접할 수 있게끔 구성되어 있지 않았다”며 “뉴스를 읽다가, 무심코 광고를 클릭했다가, 재미있는 영상을 보다가 우연히 이 페이지에 접속할 수 있는 건 아니”라고 말한다. 애초에 해당 인물들을 노린 표적형 공격이 실시되었을 거라는 얘기다.

그렇다면 일반 사용자들은 스카이고프리와 같은 고도화된 멀웨어를 어떻게 막아야 할까? “페이로드 구조와 네이티브 코드 바이너리가 복잡하기 때문에 일반인으로선 방어가 불가능에 가깝습니다. 또한 표적형 공격이기 때문에 공격 사례가 소수만 존재하고, 그러므로 보안 전문가라고 할지라도 깊은 연구를 진행하기가 어렵습니다.” 일반적인 보안 실천 사항을 지키는 것이 아직까지는 카스퍼스키가 제시할 수 있는 방어법의 전부라고 볼 수 있다.

카스퍼스키는 이번 발표를 통해 문제가 되는 IT 업체의 이름을 정확하게 밝히지 않았다. 하지만 취약점을 판매하거나 감시 및 검열 툴을 판매하는 것으로 논란이 되고 있는 해킹팀(HackingTeam)과 유사한 성질의 업체로 보인다. 해킹팀과 같은 업체들은 논란의 한 가운데 서있긴 하지만 세계 여러 정부 및 사법 기관들을 주요 고객으로 두고 있다. 핀피셔(FinFisher), RCS 랩(RCS Lab) 등도 이러한 회사로 분류된다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>