< 모바일 위협의 유형과 진화 >

“당일 무방문/무보증 3천만 원까지 대출해 드립니다.”
방송통신위원회 조사 결과, 휴대전화를 이용하는 직장인들은 대출 광고 문자를 비롯한 다양한 종류의 스팸 문자를 하루 평균 6∼7통씩 받고 있는 것으로 나타났다. 이와 더불어 보이스 피싱 또한 나날이 교묘해져 여전히 통신 기기를 악용한 사회적인 문제가 되고 있다. 그러나 이러한 스팸 문자나 보이스 피싱의 경우, 이용자가 반응을 하지 않는다면 직접적인 피해는 발생하지 않는다. 하지만 이것도 어디까지나 피쳐폰 환경에서의 성가신 문제일 뿐이다. 스마트폰 환경에서의 위협은 여기에서 한 단계 더 나아갈 것으로 보인다. 머지않아 국내 스마트폰 이용자들도 다음과 같은 항목이 들어간 휴대전화 요금 이용고지서를 받게 될지도 모르겠다.
프리미엄 콜 문자 전송요금: 168,320원($160)

방송통신위원회(이하 방통위) 조사 결과, 올 상반기 국내 스마트폰 가입자수가 1,500만 명을 돌파했다. 이와 더불어 최근 스마트폰에서 동작하는 모바일 악성코드도 급속도로 증가하고 있으며, 그 동작 방법 또한 날이 갈수록 지능화되고 있다. 다행히 아직까지 국내에서는 피해 사례가 보고되고 있지 않지만 그렇다고 안심하고 있을 수 만은 없는 상황이다.

그런데 흥미로운 점은 모바일 악성코드, 모바일 위협의 변화 양상이 어딘가 낯설지 않다는 것이다. 모바일 위협의 형태는 지금까지 우리가 경험해왔던 PC 환경에서의 보안 위협과 닮았다. 다만 위협 양상이 좀 더 빠르게 진화하고 있다는 점이 다를 뿐이다.

단순 사용자 정보 유출에서 불법 과금 유발로 이어져

PC 환경에서와 마찬가지로 모바일 환경에서도 위협은 악성코드에서 시작된다. 지난해 한국인터넷진흥원(이하 KISA)에서 발표한 ‘2010년 국가정보보호백서’에 따르면 지난해 상반기 발견된 전 세계 모바일 악성코드는 520여 종에 이른다. 그러나 최근 안철수연구소에서 조사한 바에 따르면, [그림 1]과 같이 모바일 악성코드의 수는 올 들어 더욱 급격하게 증가하고 있다. 이와 관련해 맥아피(McAfee)는 전 세계 모바일 악성코드가 전년 대비 46%나 증가했다고 주장했다.

이 같은 모바일 악성코드 중에서도 특히 안드로이드(Android) 기반 악성코드가 급증하고 있다. 지난 2010년 하반기부터 본격적으로 발견되기 시작한 안드로이드용 악성코드는 올해 들어 급격하게 증가하고 있는 추세다. 이는 안드로이드 마켓(Android Market)이 앱(App, Application)을 자유롭게 올릴 수 있는 개방형이기 때문에 악성코드 제작자들도 악성코드를 올리기 쉬운 탓이다. 여기에 이용자 수가 증가하고 있는 안드로이드폰을 노리는 위협 또한 증가하는 것은 어찌 보면 당연하다 할 것이다. 현재 전세계적으로 1억 3천 500만 개의 안드로이드폰이 이용되는 것으로 알려져 있다.

[그림 1] 최근 모바일 악성코드 증가 추세

안드로이드용 악성코드의 예를 들면 우선, 지난 2010년 8월경 발견된 모바일 악성코드가 있다.이 악성코드는 [그림 2]와 같이 월페이퍼 애플리케이션(Wall Paper Application), 즉 스마트폰의 배경화면 꾸미기 앱에 삽입되어 있었다. 해당 모바일 악성코드는 앱의 본래 목적에 따른 구동과는 무관한 USIM번호, IMEI(International Mobile Equipment Identity)번호, IMSI(International Mobile Subscriber Identity)번호를 비롯한 단말기 정보와 전화번호 등 가입자 정보를 수집하고 사용자 동의 없이 사용자의 위치 정보를 외부 네트워크로 전달하는 행위를 하였다.

[그림 2] 모바일 악성코드가 삽입된 월페이퍼 애플리케이션

또한 가장 대표적인 모바일 악성코드로는 지난 3월 발견된 ‘드로이드 드림(DroidDream)’을 빼놓을 수 없다. 드로이드 드림은 기존 정상 앱에 악성코드를 심어 리패키징하여 유포하는 형태로, 가장 널리 이용되는 모바일 악성코드 유포 방식이다.

정상적인 앱을 감염시킨 드로이드 드림은 사용자 단말기 고유번호와 시리얼 넘버 등을 무단으로 수집하는 것으로 파악됐다. 문제는 이 악성코드가 서드파티마켓(Third Party Market)이 아니라 안드로이드 마켓에서 유통되는 앱을 이용하였다는 점이다. 이에 구글은 급히 해당 앱을 마켓에서 퇴출해 다운받을 수 없게 했지만 3개월 뒤인 지난 6월, 또 다시 드로이드 드림이 나타나 안드로이드 앱과 앱 마켓에 대한 보안 우려를 가중시켰다.

이후 모바일 위협은 정상적인 애플리케이션에 악성코드를 삽입하던 단계에서 곧바로 정상적인 애플리케이션인 것처럼 위장한 악성 애플리케이션의 형태로 진화했다. 동시에 금전적인 이득을 노리는 목적을 띠기 시작했다. 일례로, 역시 지난 2010년 8월에 처음 발견된 PornoPlayer가 있다. 이 앱은 성인 동영상 플레이어로 위장하여 특정번호로 문자, 즉 SMS(Short Message Service)를 발송하여 요금을 과금시키는 것으로 알려졌는데, 이후 꾸준히 변형이 발견돼 보안 관계자들의 관심을 끌었다.

난독화된 악성 앱으로 급속도로 발전

최근에는 온라인 동영상 스트리밍 플레이어(online video streaming player)로 위장한 악성 앱이 발견되었다. Ku6.com이라는 이름의 이 앱이 설치되면 온라인상의 동영상들을 볼 수 있는 뷰어가 나타남과 동시에 하드코딩된 중국의 특정 전화번호(premium number 106***82)로 사용자 몰래 문자 메시지를 보내 약 $6의 요금을 결제하는 행위를 하였다. 이 악성 앱에 감염된 스마트폰의 사용자는 자신도 모르는 사이에 금전적 피해를 입게 되는 것이다.

이때 이용된 전화번호는 중국 내에서 특정 서비스에 대한 과금을 목적으로 하는 프리미엄 번호 서비스로, 해당 번호로 문자가 발송되면 그 번호를 사용하는 특정인, 또는 특정 업체에 일정액이 지불되는 형식이다. 우리나라의 ARS 서비스와 유사한 형태로 이해할 수 있다. 이 서비스는 SMS가 정상적으로 발송되면 해당 서비스 업체로부터 서비스 등록에 관련된 안내메시지가 문자로 회신(feedback)되어 사용자는 서비스 사용 여부를 알 수 있게 된다. 그러나 해당 악성 앱은 회신되는 문자를 사용자가 볼 수 없게끔 필터링하여 실제 과금된 사실을 사용자가 전혀 알 수 없게 만드는 교묘함까지 갖추고 있다.

[그림 3] 허위 동영상 플레이어로 위장한 악성 앱

Ku6.com 앱은 감염된 휴대전화에 원치 않는 과금을 하는 것 외에도 악성앱 스스로를 광고(self-advertising)하는 기능도 갖고 있는 것이 특징적이다. 이 앱의 ‘친구추천’ 기능을 통해 이메일, 또는 SMS로 관련 링크를 추천하면 지인으로 하여금 악성 앱을 설치하게끔 유도하게 되는 것이다. 이 밖에도 해당 앱은 휴대전화의 SIM 카드 시리얼 넘버를 특정 서버로 전송하는 행위도 하였다.

게다가 이 앱은 기존의 악성 앱에서 한 단계 더 진화한 형태였다. 내부적으로 문자열을 암호화하여 분석을 어렵게 하는 난독화된 형태였기 때문이다. 이렇게 난독화된 애플리케이션을 정상적인 애플리케이션과 함께 리패키징하여 서드파티마켓(Third Party Market)에 등록해 사용자로 하여금 다운로드 및 설치를 하게 한다. 사용자가 다운로드 한 애플리케이션은 정상적으로 동작하는 것처럼 보이지만 내부적으로는 악성코드를 내려 받아 설치하는 등 공격자의 의도에 따라 다양한 기능을 수행한다.

그러나 해당 문자 수신번호는 중국의 서비스 번호이기 때문에 국내에서 해당 앱을 이용했다 하더라도 추가 과금은 발생하지 않고 SMS 요금만 발생하는 것으로 알려졌다.

좀비 PC에 이어 좀비폰 등장하나

PC 환경의 위협과 모바일 환경의 위협의 또 다른 공통점은 바로 슈퍼 유저(Super User) 권한 탈취를 노린다는 점이다. 스마트폰의 슈퍼 유저 권한 탈취는 스마트폰 루팅을 통해 이루어진다. 루팅(Rooting)이란 안드로이드폰의 운영체제를 해킹해 안드로이드 운영체제가 지원하지 않는 기능을 추가하거나 기본적으로 제공된 기능을 삭제할 수 있는 슈퍼 유저로서의 사용 권한을 갖는 것이다. 이에 스마트폰 이용자들의 일부는 자의적으로 루팅을 하기도 하지만, 루팅을 할 경우 스마트폰의 오작동을 야기할 가능성이 있다. 또한 악의적인 공격자에 의해 강제로 루팅되어 슈퍼 유저의 권한을 탈취당한 스마트폰은 이른바 ‘좀비폰’이 되어 원격으로 제어된다.

바로 이러한 루팅을 사용자가 원치 않음에도 강제적으로 수행하는 악성코드를 탑재한 악성 앱이 지난 3월 발견되었다. 단, 해당 앱에는 드로이드 드림을 제작한 이들이 사용하는 zhash라는 루팅 관련 코드가 삽입되어 있었을 뿐, 실제 루팅을 하는 코드는 확인되지 않았다. 그러나 향후 애플리케이션 업그레이드 등을 통해 얼마든지 루팅 코드를 실행시킬 가능성이 제기되었다.

그리고 그 가능성은 얼마 지나지 않아 구체화되었다. 바로 지난 6월, 안드로이드폰을 강제 루팅하여 권한을 탈취하는 ‘드로이드 쿵후(DroidKungFu)’라는 이름의 악성코드가 나타난 것이다. 이 악성코드는 기존의 드로이드 드림과 유사한 패턴을 갖고 있지만 좀 더 정교한 코드와 복잡한 기능을 수행함으로써 모바일 악성코드가 계속해서 진화하고 있음을 증명하였다.

드로이드 쿵후는 정상 앱에 리패키징한 형태로 중국 내 일부 앱 마켓(App Market) 등을 통해 유포된 것으로 알려졌다. 드로이드 쿵후는 설치되면 스마트폰의 다양한 정보를 수집하여 특정 서버로 전송한다. 또한 정보 수집 후 스마트폰에 루팅을 시도하는데, 이때 이용되는 익스플로이트 코드는 드로이드 드림에서 사용되었던 코드와 동일한 것으로 나타났다. 안철수연구소 시큐리티대응센터(이하 ASEC)는 안드로이드 2.2 이하의 버전에서는 해당 익스플로이트에 노출될 수 있다고 전했다.

드로이드 쿵후는 루팅이 성공하면 또 다른 악성 앱을 설치하는데, 이 악성 앱은 또 다시 정상 앱처럼 위장한다. 바로 이 앱이 감염된 스마트폰을 원격 통제하는 기능을 수행한다. 한편 해당 악성 앱은 구글의 ‘구글 서치(Google Search)’ 앱으로 위장하는 것으로 알려졌는데, 앱의 이름이 ‘Google SSearch’로 되어있어 사용자가 조금만 주의를 기울이면 육안으로도 구분이 가능하다. [그림 4]는 이 앱의 외형과 앱에 사용되는 C&C(Command & Control) 목록이다.

[그림 4] Google SSearch 앱 및 관련 C&C 목록

허위 모바일 백신까지 나타나

PC 환경에서의 위협과 꼭 닮은 모바일 위협의 하나로 등장한 것이 바로 허위 모바일 백신이다.

지난 3월, 구글이 안드로이드 마켓 내의 악성 애플리케이션을 제거하기 위해 배포한 ‘안드로이드 모바일 시큐리티 툴(Android Market Security Tool)’의 외형과 매우 흡사한 모습으로 리패키징된 악성 애플리케이션이 중국의 써드파티마켓에서 발견되었다. 이 앱은 SMS 컨트롤, 네트워크 통신, 외장디스크 접근 등을 하기 위해 본래의 정상 앱이 요구하는 것과는 다른 권한을 요구한다. 이와 관련해 ASEC은 블로그를 통해 “해당 앱의 패키지 구조를 비교해 보면 사용자의 문자메시지, 전화통화내역을 가로채는 목적의 구조가 추가되어 있다”고 설명했다. 이 밖에도 최근에는 해외 보안업체 카스퍼스키(Kaspersky)의 모바일 백신으로 위장한 악성 앱이 발견된 바 있다.

    
[그림 5] 정상 모바일 백신(좌)과 허위 모바일 백신(우)

이 밖에도 유명한 게임 앱 등에 리패키징된 모바일 악성코드도 지속적으로 발견되고 있다. 일례로 지난 6월에는 중국 QQ 게임을 리패키징한 안드로이드 악성 앱이 발견되었다. 이 앱의 특징은 설치되면 추가로 악성 앱을 설치하는 것으로, 추가 악성 앱이 설치되어도 아이콘이 생성되지 않는다. 즉, 백그라운드에서 동작하는 것으로, 부팅 시에 자동으로 실행되어 동작하는 것으로 알려졌다.

한편 이러한 악성 앱과 관련해 ASEC 이정신 연구원은 “안드로이드 악성 앱의 경우 인기 있는 앱과 동일한 앱인것처럼 속여 설치하게끔 유도하는 경우가 대다수”라며 “앞으로도 이 같은 추세가 이어질 것”이라고 전했다.

정상적인 앱 조작부터 단말기 취약점 악용까지 다양

앞서 언급한 사례를 중심으로 안드로이드 기반 스마트폰에서 설치시 주의를 기울여야 하는 악성 애플리케이션들을 정리해보면 [표 1]과 같다.

[표 1] 악성 모바일 애플리케이션

한편 사용자들은 이미 PC 환경에서의 다양한 위협을 경험한 바 있다. 따라서 보안에 조금만 관심이 있는 사용자라면 이렇게 문제가 있는 애플리케이션을 설치하지 않을 가능성이 매우 높다. 또한 기본적으로 안드로이드 운영체제에서 애플리케이션을 설치하려면 우선 사용자에게 실행 권한에 관해 알려주고 사용자가 이에 동의해야만 설치가 된다. 게다가 안드로이드 애플리케이션은 프로그램의 소스 레벨까지 분석이 용이하여 쉽게 악성코드 유무를 판별할 수 있다.

때문에 공격자들은 이를 회피하기 위해 다양한 방법을 시도하고 있다. 특히 보안 제품의 분석 및 탐지를 어렵게 하기 위해 실행 프로그램을 압축해서 탑재하는 등 리패킹을 응용한 다양한 방법이 시도되고 있다. 특히 최근에는 안드로이드 단말기의 취약점을 이용하여 사용 권한을 숨긴 채 다른 악성코드를 몰래 설치하는 방법도 널리 이용되고 있다. 이 경우 사용 권한이 숨겨져 있기 때문에 사용자는 별다른 의심 없이 해당 악성코드를 설치하고 실행하게 된다. 해당 악성코드를 살펴보면 내부 리소스 폴더에 [그림 6]과 같이 보안 취약점을 사용하는 실행 파일과 추가로 설치할 악성코드를 가지고 있는 것을 알 수 있다.

[그림 6] 내부 리소스 폴더에 가지고 있는 악의적인 목적의 파일들

아이폰도 안심은 금물, 스마트한 유저가 스마트폰을 지킨다

지금까지 안드로이드 기반 스마트폰과 관련된 위협을 중심으로 모바일 환경의 위협 형태를 살펴보았다. 그러나 모바일 위협은 개방형 앱 마켓을 운영하는 안드로이드폰에만 존재하는 것은 아니다.

얼마 전까지만 해도 아이폰의 앱스토어(AppStore)는 안드로이드 마켓에 비해 폐쇄적으로 운영되고 있어 보안 위험성이 적다고 평가되었다. 그러나 최근 독일 연방정보보안청(BSI)이 이에 반박하고 나섰다. BSI는 아이폰과 아이패드, 아이팟 터치 운영체계인 iOS의 심각한 보안 결함 때문에 감염된 PDF 파일을 활용한 외부 침입에 사용자의 개인정보가 노출될 수 있다고 주장했다. 실제로 지난해 PDF 파일이 일부 아이폰을 감염시킨 바 있다. 또한 최근에는 아이폰용 iOS 4.1 탈옥 툴을 가장한 악성코드가 등장하기도 했다.

이에 앞서 사용자들이 자의적으로 탈옥한 아이폰의 경우, 애플 앱스토어 외에서 검증되지 않은 애플리케이션을 다운받을 수 있기 때문에 악성코드 감염의 위험이 높다. 동시에 일각에서는 이미 35만 개에 달하며 앞으로도 꾸준히 증가하는 앱들을 애플이 완벽하게 검증해내는 것은 물리적으로 무리가 있다고 지적했다.

현재 애플리케이션의 수는 이미 엄청나게 늘어난 것에 반해 이들 앱의 유해성 유무 판단은 쉽지 않다. 따라서 사용자들의 각별한 주의가 요망된다. 특히 출처가 명확하지 않은 애플리케이션은 다운로드 및 설치를 자제해야 하며, 새로운 애플리케이션을 다운로드하여 설치할 때는 다른 사용자들의 평가를 충분히 읽어보고 설치하는 것이 바람직하다. 또한 PC와 마찬가지로 스마트폰에서도 신뢰할 수 없는 사이트 방문이나 메일은 열람을 자제하는 것이 좋다.

그러나 최근 방통위와 KISA에서 발표한 ‘제3차 스마트폰 이용실태 조사’의 결과에 따르면 국내 스마트폰의 이용자들의 경우, 앱을 다운받을 때 참고해야 할 개인정보 처리 방침에 대해 관심도가 낮은 것으로 나타났다. 이용자의 63.2%는 앱스토어를 통해 모바일 앱을 다운로드할 때 개인정보 수집/이용/제공에 관한 약관을 접한 경험은 있지만 ‘항상 읽음’은 7.7%에 불과했다. ‘때때로 읽음’ 또한 24.5%에 불과해 스마트폰 이용자 세 명 중 한 명만이 개인정보 취급방침에 관심을 갖는 것으로 조사됐다.

또한 이 조사에 따르면 스마트폰의 이용자 대부분은 위치정보 수집에 관대한 것으로 나타났다. 위치기반서비스(Location based Service, 이하 LBS) 이용 경험자의 52.3%가 LBS 이용시 ‘위치정보수집 안내’를 받은 경험이 있는 것으로 조사됐다. 문제는 이들 중 별다른 의심 없이 이에 동의한 경우가 68.1%에 이른다는 점이다.

이러한 조사 결과를 바탕으로 추론할 수 있는 것은 사용자들이 스마트폰 앱을 이용할 때 권한 제공에 대해 무관심하다는 점이다. 이러한 태도는 원치 않은 개인정보 유출은 물론 실질적인 피해까지 유발할 수 있다. 이에 안철수연구소는 스마트폰 전용 보안 제품 ‘V3 모바일(V3 Mobile)’에 ‘이동통신 단말 및 이를 이용한 행위기반 악성코드 진단 방법’이라는 신기술을 적용했다.

이는 스마트폰에서 특정 애플리케이션의 행위에 기반해 의심스러운 실행파일을 진단하여 사용자에게 경고하는 기술로, 진단명 목록에 기반한 일반적인 시그니처 진단방식보다 진화한 방식이다. 이 기술이 적용된 V3 모바일은 애플리케이션 설치시 자동으로 해당 애플리케이션이 요구하는 권한 정보를 분석해 시그니처 기반의 모바일 백신의 약점으로 지적되었던 신종 악성코드 대응 속도 이슈와 더불어 스마트폰의 메모리 점유율 증가 및 배터리 소모 문제를 해소한다. 해당 기술은 현재 국내특허를 획득한 데 이어 최근 PCT 국제 특허에 출원된 상태다.

[그림 7] 애플리케이션의 행위 기반 기술이 적용된 V3 Mobile

한편 모바일 위협이 급증하고 있는 것은 사실이지만, 아직까지 해외에서의 사례일 뿐 국내에서 피해 상황이 보고된 바는 없다. 이와 관련해 안철수연구소 모바일 플랫폼팀 이성근 책임연구원은 “위협을 과대 포장하여 불안심리를 조장해서는 안 된다”고 우려했다. 그러나 위협의 존재를 미리 알아두고 대비해서 나쁠 것은 없을 것이다. 특히 다음과 같은 기본적인 모바일 보안 수칙을 준수한다면 편리하고 스마트한 모바일 환경을 더욱 안전하게 이용할 수 있을 것으로 기대된다.@

<스마트폰 이용 보안 수칙>
1. 애플리케이션을 설치하거나 이상한 파일을 다운로드한 경우에는 반드시 악성코드 검사를 한다.
2. 게임 등 애플리케이션을 다운로드할 때는 신중하게 다른 사람이 올린 평판 정보를 먼저 확인한다.
3. 브라우저나 애플리케이션으로 인터넷에 연결하게 되는 이메일이나 문자 메시지에 포함된 URL은 신중하게 클릭한다.
4. 백신의 패치 여부를 확인하여 최신 백신 엔진을 유지한다.
5. 스마트폰의 잠금 기능(암호 설정)을 이용해 다른 사용자의 접근을 막는다. 잠금 기능에 사용한 비밀번호를 수시로 변경한다.
6. 블루투스 기능 등 무선기능은 필요할 때만 켜놓는다.
7. 임의로 개조하거나 복사방지 등을 풀어서 사용하지 않는다.