• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

고급 모바일 멀웨어 트리아다, 전 세계 통신사 위협 2019.07.29

원래는 애드웨어의 일종이었던 트리아다...이제는 악마 같은 트로이목마
저가형 안드로이드 장비에 미리 탑재되거나, 서드파티 스토어 통해 감염시키거나

[보안뉴스 문가용 기자] 고급 원격 접근 트로이목마(RAT)인 트리아다(Triada)에 대한 새로운 연구 분석 결과가 발표됐다. 트리아다는 최근 여러 안드로이드 기반 장비들을 감염시키고 있으며 특히 전 세계 통신사들을 집중 공략하고 있는 것으로 보인다.

[이미지 = iclickart]


지난 5월부터 트리아다를 추적해왔던 보안 업체 비트사이트(BitSight)에 의하면 “트리아다는 주로 저가형 안드로이드폰에 미리 설치된 상태로 퍼지고 있으며, 작년에는 프라이즈랫(PrizeRAT)이라는 멀웨어도 비슷한 구조로 퍼진바 있다”고 한다. 트리아다와 관련이 있지만 보다 가벼운 느낌의 멀웨어 중에 지토그(Ztorg)라는 것도 있다.

비트사이트가 발표한 연구 결과에는 이 세 가지 멀웨어에 대한 비교 분석 내용이 다 들어있다. 셋 다 통신 분야에 큰 피해를 주고 있는데, 전 세계 통신사 네트워크의 25% 이상에서 프라이즈랫에 감염된 장비들이 발견되고 있다고 한다. 그 뒤를 이어 지토그가 20%, 트리아다가 15.5%를 기록했다. 장비에 미리 설치된 경우도 있었고, 서드파티 안드로이드 앱 스토어를 통해 장비 감염을 성공시킨 사례도 많았다.

이 수치는 정말로 높은 것이라고 비트사이트는 경고했다. “예를 들어 교육 분야의 경우 프라이즈랫에 감염된 장비는 5% 정도 차지합니다. 트리아다는 0.6%고요. 편의시설, 정부 기관, 도소매 산업의 경우 지토그 감염율이 셋 중 가장 심각한데, 그렇다고 해도 통신사들이 기록하고 있는 20%에는 절대로 못 미칩니다. 각각 1.27%, 1.4%, 0.79%거든요.”

비트사이트가 교육 분야를 예로 든 건, 교육 분야의 멀웨어 감염율도 심각하게 높기 때문이다. “통신사와 교육 분야에서 멀웨어 공격이 빈번하게 나타나는 건, 일반 소비자와 학생들이 차지하는 비율이 높기 때문입니다. 일반 소비자나 학생들은 특히나 불편한 걸 싫어하는 부류라 사업자들로서는 보안 장치를 마련하는 게 어렵습니다.” 비트사이트의 보안 전문가 댄 달버그(Dan Dahlberg)의 설명이다.

트리아다와 프라이즈랫에 감염된 장비들 중에는 안드로이드 9.0을 비롯해 비교적 최신 버전의 OS가 설치된 것이 꽤나 많다는 것도 특이한 점이다. 지토그 멀웨어의 경우 감염시킨 장비들이 대부분 5.1.1이나 그 이하 버전을 기반으로 하고 있었다.

비트사이트의 보안 전문가인 티아고 페레이라(Tiago Pereira)는 “이런 멀웨어들이 기업의 데이터를 저장하고 처리하는 장비에 설치되면, 해당 조직은 매우 위험해질 수 있다”고 경고한다. “일단 장비에 저장된 데이터가 당연히 위험해지고, 경우에 따라서는 사용자와 똑같은 권한을 가지고 기업 네트워크에 올라탈 수도 있게 됩니다. 조직들은 이러한 공격 수법을 실재하는 위협으로 간주해야 합니다.”

고급 위협
구글은 지난 5월 트리아다가 일부 안드로이드 장비에 미리 탑재된 채 판매된다는 사실을 공개했다. 특히 시스템 이미지에 설치된 백도어 형태로 퍼지고 있었다고 한다. 당시 감염된 채 장비를 시장에 출시하는 회사로 야화(Yehuo)와 블레이즈파이어(Blazefire)와 같은 곳들이 언급됐었다.

트리아다는 2016년 7월에 처음 카스퍼스키 랩(Kaspersky Lab)에 의해 공개된 멀웨어로, 모바일 멀웨어 중 가장 발전한 형태를 갖추고 있는 것으로 알려져 있다. 트리아다는 안드로이드 OS의 핵심 프로세스인 자이고트(Zygote)를 조작하는데, 이 때문에 감염시킨 장비의 모든 애플리케이션에 영향을 줄 수 있다. 보안 업체 시만텍(Symantec) 역시 트리아다가 굉장히 위험한 멀웨어라는 경고를 내보내기도 했다.

그러다가 2017년 7월 백신 회사인 닥터웹(Dr. Web)이 다시 한 번 트리아다에 대한 경고성 연구 결과를 발표했다. 안드로이드 장비의 펌웨어에 설치된 채 배포되고 있다는 내용이었다. 또한 닥터웹과 구글 모두 트리아다가 현재 실행되고 있는 모든 프로세스에 침투할 수 있고 추가 멀웨어나 페이로드를 다운로드 해 실행시킬 수 있다고 경고했다.

원래 트리아다는 광고 사기를 치기 위해 제작된 애드웨어의 일종이었다. 그러나 모듈 구조를 가지고 있었기 때문에 변형이 쉬웠고, 그 때문에 오늘날과 같은 악명 높은 멀웨어가 된 것이다. 지토그의 경우는 ‘가벼운’ 트로이목마로 트리아다를 다운로드 받는 데 사용된다. 그러므로 현재 편의 시설과 정부 기관 등에 지토그 비율이 높다는 건 이후에 더 큰 문제가 닥칠 수 있다는 걸 의미한다.

3줄 요약
1. 고급 멀웨어 트리아다, 현재 전 세계 통신사들에서 가장 많은 피해 일으킴.
2. 트리아다의 자매품으로는 지토그와 프라이즈랫이 있음.
3. 트리아다로 감염된 장비가 기업 네트워크에 연결되면 더 큰 일 벌어질 수 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>