이 글도 12월에 분석팀내 모바일 악성코드 분석 파트분들과 함께 작성하여 월간 안에 기고한 "
2012년 모바일 악성코드, 실체적인 위협으로 다가오다"입니다. 실제 제목은 그냥 평범하게 2012년 모바일 보안 위협 이슈였습니다만, 원고를 담당하신 분께서 조금 더 흥미(?)를 유발 하실 수 있는 제목과 내용으로 조금 변경 해주신 것 같습니다.
안드로이드와 이이폰 그리고 윈도우 폰으로 대표되는 스마트 다바이스(Smart Device)의 활용빈도가 증가함에 따라 보안 위협 역시 증가하고 있습니다. 특히 스마트 다바이스를 이용한 경제 활동과 수익 추구 형태 소프트웨어 생태계가 구축되다 보니 사이버 범죄까지 자연 스럽게 이어지고 있는 것으로 보입니다.
특히 스마트 디바이스에서 발생하는 보안 위협의 성장 속도를 보면 과거 PC에서 바이러스로 시작한 악성코드의 보안 위협 발전사 20년을, 스마트 디바이스 보안 위협은 불과 2년에서 3년만에 거기에 비교될 만큼 성장하고 있습니다.
그래서 근미래에 인간 생활에 있어서 가장 큰 위협은 스마트 디바이스로부터 출발하지 않을까하는 생각을 해봅니다.
+-------------------------------
모바일 악성코드 전년 대비 30여배 증가
지역 맞춤형 제작, 고도화된 형태로 진화
2011년까지 모바일은 보안 위협과 관련해 '가능성'으로만 존재했다. 스마트폰의 양적 팽창 등에 힘입어 보안 위협이 크게 늘어날 것이라는 경고가 줄기차게 제기됐던 것이다. 그 예견은 틀리지 않았다. 2012년 모바일에 대한 보안 위협은 실체적인 위험으로 우리 앞에 다가왔다. 기하급수적 증가세는 감히 그 미래를 가늠하기 어려울 정도로 보안 위협의 새 강자로 인식되기에 충분했다.
모바일 악성코드는 안랩 시큐리티대응센터(ASEC)가 최근 선정한 '2012년 7대 보안 위협'에 당당히 이름을 올렸다. ASEC에 따르면 모바일에서 동작하는 악성코드는 양적으로 크게 증가했을 뿐만 아니라, 동작 방식 역시 전년에 비해 눈에 띄게 고도화됐다. 실제 사례를 바탕으로, 올해 등장한 모바일 악성코드의 특징을 정리하면 다음의 5가지로 요약이 가능하다.
올해 모바일 악성코드는 ▲양적으로 기하급수적 증가세를 보였으며 ▲국내(한국)를 타깃으로 한 형태가 최초로 나타났고 ▲지역 맞춤형 제작이 늘어난 데에 이어 ▲정상 앱으로 위장하는 이른바 '리패키징' 기법을 사용했으며 ▲정상 앱 마켓으로 악성 앱을 유포시키는 등 고도화된 기술을 선보이는 특징을 나타냈다.
모바일 악성코드, 전년 대비 31배 증가
모바일 악성코드의 급증은 굳이 자세한 설명이 필요 없을 정도다. 안드로이드 체제에서 동작하는 악성코드는 전년인 2011년에 비해 올해 31배나 급증했다. [그림 1]의 2012년 월별 안드로이드 악성코드 발견 수치를 보면 6,7월을 기점으로 얼마나 폭증했는지 한 눈에 확인할 수 있다.
[그림 1] 2012년 월별 안드로이드 악성코드 발견 수치
모바일 악성코드의 유형을 살펴보면 급증한 이유를 유추할 수 있다. 2012년에 발견된 모바일 악성코드들은 동작 유형은 비슷하나, 세부적으로 파고들어가면 내부 코드에서 조금씩 변화를 준 예들이 다수였다.
이는 모바일 악성코드의 대량 생산 시스템(?)에 기인한 때문으로 분석된다. 즉, 기존에 발견됐던 모바일 악성코드의 변종들이 증가한 것은 다름 아닌 '자동화된 모바일 악성코드 생성 툴'을 이용했기 때문이 아니냐는 얘기다. 악성코드 분석가들은 이 같은 해석에 무게를 두고 있다.
모바일 PUP, 2011년보다 3200배 폭증
모바일 악성코드만이 급증한 게 아니다. 스마트폰에서 동작하는 '불필요한 프로그램(이하 PUP, Potentially Unwanted Program)' 역시 상상을 초월할 정도로 급격히 증가했다.
지난해 발견된 모바일 PUP에 비해 무려 3200배나 폭증한 것이다. PUP는 PC와 모바일을 막론하고 최근 자주 유포되고 있는데, 악성코드는 아니지만 잠재적 유해 프로그램으로 주요 보안 위협의 대상으로 꼽히고 있다.
특히 PUP를 악용한 모바일 위협의 경우 모바일의 '푸시(Push)' 알람기능을 이용해 사용자들이 원하지 않는 광고를 노출하는 등의 목적으로 다량 유포되고 있는 실정이다.
모바일에서 유포되는 PUP에 대해 악성코드 분석가들은 윈도우 운영체제에서 동작하는 애드웨어(Adware)와 비슷한 것으로 진단한다. 애드웨어처럼 사용자에게 무료로 배포되나, 실제로는 광고 및 소액결제 시스템을 통해서 금전적 탈취를 시도하기 때문이다.
국내를 타깃으로 한 모바일 최초 발견
2012년 모바일 악성코드 이슈 중에서 또 다른 주목할 만한 사건은 '한국' 사용자들을 타깃 삼은 모바일 악성코드가 최초로 발견됐다는 것이다.
그동안 발견된 안드로이드 기반 모바일 악성코드들은 대부분 해외에서 제작이 이뤄졌고 주로 해외 스마트폰 사용자들을 감염대상으로 삼았다. 하지만 2012년에는 한국의 사용자들을 감염대상으로 삼은 모바일 악성코드가 발견돼 국내 보안업계를 바짝 긴장시켰다.
국내를 타깃으로 한 모바일 악성코드는 'Chest'로, 스마트폰의 SMS(Short Message Service)를 통해 유포됐다. Chest는 한국 문화의 특수성을 고려, 마치 현 시기에 꼭 필요한 메시지인 것처럼 위장했다. 이른바 사회공학적 기법(Social Engineering)을 활용한 것이다. 하지만 본래 의도는 악성코드를 다운로드하도록 유도하는 것이었다.
현재까지 국내를 타깃으로 제작, 유포된 모바일 악성코드로는 스팸 필터, 이동통신업체의 청구금 조회 등이 있다.
[그림 2] 정상 파일로 위장하기 위해 Chest가 사용한 아이콘
Chest를 좀 더 자세히 살펴보면, 지난 2012년 10월 말 최초로 발견된 이후 바로 다음달인 11월 말 다시 변형이 유포됐다. 악성코드 제작자가 주로 월말을 노린 것은 '전화 요금 고지서'가 1개월 단위로 제작되는 점에 착안한 것으로 분석된다.
Chest에 감염이 돼 금전적인 피해가 발생하더라도 피해자는 1개월여가 흐른 뒤에나 인지할 수 있기 때문이다. 악성코드 제작자는 피해자의 소액결제를 통해 구매한 아이템 등을 현금화하는 충분한 시간을 확보하고자 한 것으로 보인다.
지역 맞춤형 제작, 모바일 악성코드
최근 모바일 악성코드는 '지역 맞춤형' 경향이 두드러지고 있다. 특히 모바일 악성코드들이 금전 탈취를 목적으로 삼는 경향이 강해지면서, 특정 국가나 지역에서 사용되는 금전거래 방식에 맞춰 악성코드들이 개발되는 사례들이 늘고 있다.
예를 들어 유럽에서 발견된 SmsSend와 Boxer, Opfake 등의 모바일 악성코드는 특정 전화번호로 SMS를 보내면 금전 결제가 가능하다는 점을 악용했다. 우리나라에서 유사한 예를 찾자면 SMS를 통한 전자결제 방식을 들 수 있다.
개인이 SMS를 통해 의견을 보내거나 문자투표를 진행할 때 일정 금액이 부과되는 형태 등이다. 물론 이는 악의적인 금전 탈취는 아니지만, 유럽의 모바일 악성코드의 동작을 이해하는 데에 도움이 될 수 있다.
유럽은 금액을 부과하는 전화번호를 누구나 쉽게 취득할 수 있고 부과되는 금액도 자유롭게 설정이 가능하다. 때문에 이를 악용한 악성코드가 대량 유포되고 있는 실정이다.
유럽 등지에서는 온라인 뱅킹 시 사용되는 개인정보 탈취를 목적으로 한 악성코드가 대거 발견되기도 했다. 유럽의 금융기관들은 보안을 강화할 목적으로 휴대전화에 인증번호를 전송하고 있는데, 이를 악용해 인증번호를 탈취하는 악성코드를 제작한 것이다.
실제 유럽과 러시아 등지에서 인증번호 탈취를 위한 악성코드인 Zitmo((Zeus in the Mobile)와 Spitmo(SpyEye for mobile), Citmo(Carberp-in-the-Mobile) 등이 2012년 무더기 발견됐다. 게다가 이들 악성코드는 PC 기반 악성코드들과도 유기적으로 작동, 사용자가 악성코드에 감염된 사실을 알지 못한 상태로 외부에 정보를 유출하는 치밀함을 보이기도 했다.
앞서 언급된 바 있는 국내 타깃의 악성코드인 Chest 역시 한국의 소액결제 방식을 악용한 점에서 지역 맞춤형 제작의 한 예로 볼 수 있다. 국내에서는 30만 원 한도의 휴대전화 소액결제를 위해 이름과 주민등록번호, 휴대전화번호, 휴대전화로 발송된 인증번호 등을 요구하고 있다. 악성코드 제작자는 이를 감안, Chest를 활용해 인증번호 등의 금융 관련 개인 정보를 사용자 모르게 빼내려 했다.
정상 앱을 위,변조한 '리패키징' 사용 증가
2012년 모바일 악성코드의 또 다른 특징으로는 '리패키징(Repackaging)' 기법의 사용을 들 수 있다. 리패키징이란, 안드로이드 운영체제에서 설치되는 앱을 위조 혹은 변조하는 기법을 말한다. 2011년에도 리패키징은 간헐적으로 등장했으나 2012년 들어 그 사용이 훨씬 증가했다.
[그림 3] 리패키징이 되는 단계
2012년에 발견된 리패키징된 모바일 악성코드들 대부분은 비교적 많은 사용자들이 사용하고 있는 유명 앱들을 위?변조의 대상으로 삼았다. 이들 리패키징 앱은 정상 앱과 구분하기 어려울 정도로 교묘히 제작돼 있다.
일반인들은 앱의 세부 항목을 꼼꼼히 따지기 보단, 주로 앱의 유명세에 의존해 다운로드 받는 경향이 강하기 때문에 이를 노린 제작 기법이 기승을 부린 것으로 해석된다.
국내에서도 지난해 12월 리패키징 된 모바일 악성코드 Gsbot가 발견된 바 있다. 이 악성코드는 한국인터넷진흥원이 배포하는 '폰키퍼(PhoneKeeper)'을 리패키징 했다. 해당 악성코드 제작자는 악의적인 코드를 삽입, 다수의 스마트폰 사용자들에게 SMS를 보냄으로써 악성코드의 설치를 유도했었다.
공식 앱 마켓으로도 유포되는 악성코드
모바일 악성코드의 위험성은 비단, 고도화된 기법이나 양적 증가에만 있었던 것은 아니었다. 유포 방식에서도 ‘경고음’이 끊임없이 울렸다. 모바일의 응용프로그램인 앱을 다운로드 받는 공식 장터에서도 악성 앱이 무분별 유포된 것이다. 공식 장터조차 안전하지 않다는 인식을 심어주기에 충분했다.
안드로이드 사용자들이 앱을 다운로드 받기 위해 사용하는 구글의 공식 앱 마켓인 '플레이 마켓'은 2012년 한 해 동안 악성 앱의 유포지로 종종 활용되곤 했다. 지난해 7월 성경 앱으로 위장해 공식 마켓에 올라온 '마이 모바일 바이블(My Mobile Bible)은 불필요한 광고를 SMS를 통해 전송하는 SMS Bomber(스팸 메일 발송기)였다.
이 같은 앱이 나타난 배경을 살펴보면 구글의 경우 플레이 마켓은 정상 동작 혹은 악의적인 기능이 포함됐는지 여부를 사전 검증하는 절차가 생략돼 있기 때문으로 풀이된다.
구글의 이런 한계는 반대로 다수의 앱 개발자들은 간편하게 자신들이 개발한 앱을 구글 플레이 마켓을 통해 배포하는 이점으로 작용하고 있기도 하다. 그러나 사용자들은 모바일 보안 위협에 노출될 가능성이 높다는 한계를 지니고 있기도 한 것이다. 구글에서도 이를 우려, 바운서(Bouncer)나 앱체커(App Checker)와 같은 시스템을 통해서 악성 앱을 자동 탐지하도록 보안책을 마련하고 있다.
이처럼 지난 2012년 한 해 동안 모바일 악성코드들은 기하급수적으로 늘어났으며, 그 형태도 국가나 사용자의 특성을 고려해 맞춤 제작됐다. 2013년에도 스마트폰의 광범위한 확산과 더불어 더 다양한 형태의 악성코드들이 등장할 것으로 예상된다.