구글 플레이 닮은 ‘못 지우는’ 안드로이드 멀웨어

한국 사용자들 목표로 하는 안드로이드 멀웨어, 지워지지도 않아

[보안뉴스 문가용] APT 방어 통합보안 솔루션 전문업체인 파이어아이(FireEye)와 구글은 최근 구글 플레이랑 비슷한 외관과 기능을 가지고 안드로이드 사용자들을 현혹시켜 온라인 뱅킹 정보를 훔쳐낸 멀웨어를 적발하는 데에 성공했다. 이 멀웨어의 이름은 구글 앱 스토리(Google App Story)다.

이 악성 안드로이드 앱에 당한 사용자들은 최소 200명으로 추정되고 있으며 활동 기간은 최소 30일로 보인다. 대상은 대부분 한국인이었다. 이 멀웨어를 잡아낼 수 있는 안티바이러스 프로그램은 전체 51개중 한국어 인터페이스를 가지고 있는 3개뿐이었다. 안티바이러스 프로그램이 구글 앱 스토리 감지에 실패한 이유는 앱 사용자 인터페이스 뒤에서 멀웨어의 암호화가 진행됐기 때문이다.

사용자들을 가장 혼란스럽게 했던 기능은 ‘제거(uninstall)’ 옵션이었다. 구글 앱 스토리는 사용자가 제거 버튼을 누르면 제거되는 ‘척’만 하지 실제로는 기기에 남아서 활동을 계속했으며, 심지어 백엔드까지 쫓아가 지우더라도 안드로이드 기기를 껐다가 다시 켜는 순간 되살아났다.

“여태까지 나온 안드로이드용 멀웨어 앱 중 제일 교묘한 녀석이었습니다. 사용자가 지우는 걸 원천 차단함으로써 효과적으로 방어책들을 피해갔을 뿐 아니라 사용자가 앱을 실행할 때까지는 악성코드 중 핵심 부분을 암호화하고 압축시켜서 숨겨두더라고요.” 파이어아이의 모바일 보안연구원인 진쟌 자이(JinJian Zhai)의 설명이다. “그러면서 SMS, 인증서, 은행계좌 정보 등을 훔쳐냈습니다. 이때 굉장히 암호화가 잘 된 지메일 SSL 프로토콜을 사용해서 감시망을 교묘하게 빠져나가도록 설계되었습니다.”

문제를 발견한 파이어아이는 구글에 도움을 요청해 공격자의 지메일 계정을 확보했다. 이 계정을 통해 훔쳐낸 정보가 활발히 오갔기 때문에 계정을 잡아내는 게 어렵지는 않았다. “지메일은 SSL 프로토콜을 사용하고 있어 해커들이 보통의 네트워크 감시망을 피하기가 용이합니다.” 하지만 공격자들의 지메일 계정을 확보했다고 해서 일이 끝난 건 아니다. “계정 확보 후에 할 수 있는 일이라고는 계정을 막아 정보 유통을 막는 것 뿐이었습니다. 멀웨어 자체를 막을 순 없었죠. 공격자들에겐 HTTP 서버가 여전히 있었으며 지메일 계정이야 다시 만들면 그만이었으니까요.”

그렇다고 이게 대단히 심각한 문제였느냐 하면, 그렇지도 않았다는 게 모바일 보안 회사인 룩아웃 시큐리티(Lookout Security)의 제레미 린든(Jeremy Linden) 수석 보안제품 책임자의 평이다. “이 멀웨어를 제일 처음 발견한 건 저희 룩아웃입니다. 지난해 11월에 이미 발견을 했죠. 다만 저희 감지 시스템에서는 이 멀웨어의 위험도를 그리 높게 보지 않았어요. 그때만 해도 잠재 위험이 이것보다 훨씬 높은 중국발 멀웨어가 수두룩 했거든요. 그런 전적을 봤을 때 구글 앱 스토리의 위험성이 지나치게 높이 평가받고 있는 건 아닌가 합니다.”

비슷한 종류의 멀웨어로는 쉬루드CK스파이(ShrewdCKSpy)라는 게 있는데, 사용자의 기기에 침투해 문자메시지나 음성전화를 기록하고 녹음까지 한다. “헬러(Helir)라는 멀웨어는 원격 서버로부터 명령을 받아 SMS 메시지나 음성 전화, 주소록 같은 데이터를 모으는 것이 가능합니다. 이런 종류의 멀웨어는 특히 아시아에서 성행하고 있습니다. 룩아웃에서 찾은 것만 해도 열댓 가지가 넘습니다.”

다시 구글 앱 스토리로 가보자면, 사용자들이 이 멀웨어에 감염되는 경로는 아직 밝혀지지 않았다. 사용자 제보로 파이어아이의 추적이 시작된 것이기 때문에 사용자들이 어떤 식으로 속아 넘어가는지 제대로 된 정보가 없는 것이다. “그래도 소득이 있다면 이 멀웨어는 다운로드만으로 활성화되지 않는다는 걸 알았다는 겁니다. 사용자가 이 앱을 실행하지 않으면 소용이 없습니다. 물론 다운로드만 받고 실행하지 않을 확률이 적고, 이 멀웨어의 아이콘이 꽤나 그럴듯해서 그냥 지나치기가 더 어렵습니다.” 자이 씨의 설명이다.

게다가 대부분 사용자가 아이콘을 시간 들여가며 면밀하게 관찰하지는 않기 때문에 기존 구글 플레이와 비슷한 아이콘이 같은 화면에 두 개가 떠도 별 의심 없이 아무거나 실행하는 경우가 많은 것이 사실이다. “심지어 비슷한 아이콘이 서로 다른 페이지에 따로따로 나타난다면 사용자로선 조금의 의심도 하지 않게 됩니다. 멀웨어를 사용자 스스로가 발동할 확률이 높을 수밖에 없습니다.”

공격자들은 다이내믹 DNS서버와 SSL을 호환하는 지메일을 사용해 훔쳐낸 정보를 취합하고 자신들의 HTTP 서버를 주기적으로 바꾼다. “아직 찾아낸 건 지난 30일 동안 200명 정도의 사용자에게서 진행된 일들의 흔적뿐입니다. 이보다 전의 기록들은 공격자가 이미 다 지운 상태였습니다.” 파이어아이는 이 멀웨어에 대한 보다 상세한 기술 정보를 자신들의 블로그에 영문으로 공개하고 있다(http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html).

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)