세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
열풍의 증강현실 게임 포켓몬고, 악성 APK도 같이 퍼져
입력날짜 : 2016-07-12 11:07
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
첫 공식 버전 출시 후 72시간만에 악성 버전 등장
전 세계 동시 출시 아닌 것 노린 듯... 비공식 앱 설치는 항상 위험


[보안뉴스 문가용] 7월 6일, 닌텐도의 첫 iOS 및 안드로이드용 게임이자 증강현실 기술을 도입한 애플리케이션인 포켓몬고(Pokemon GO)가 출시되면서 게임 및 모바일 커뮤니티가 국내외를 막론하고 떠들썩하다. 이 게임은 7월 4일 호주 및 뉴질랜드 지역에서 처음 시험적으로 출시되었으며 6일에는 iOS와 안드로이드의 본토인 미국 지역 사용자들에게 공개된 것으로, 다른 지역 사용자들의 출시 요청이 쇄도하고 있다고 한다.


성급한 일부 사용자들은 공식 앱 스토어가 아닌 ‘다른 경로’로 앱을 받아 이미 실행에 들어갔고, 각종 온라인 커뮤니티에서는 포켓몬고의 ‘사이드로딩(sideloading)’ 방법이 소개되고 있기도 하다. 하지만 익히 알려진 것처럼 ‘사이드로딩’, 즉 공식 스토어 외의 방법으로 앱을 설치하는 것은 대단히 위험한 일이고, 이번 포켓몬고 앱에도 그 사실이 증명되고 있다.

프루프포인트(Proofpoint)라는 보안 업체에 따르면 현재 포켓몬고의 APK 파일 중 감염된 것들이 상당 수 돌아다니고 있다고 한다. 특히 원격 접근 툴(RAT)인 드로이드잭(DroidJack) 혹은 샌드로랫(SandroRAT)이 포함된 APK가 눈에 띈다고 경고했다. 이 멀웨어를 사용하면 공격자가 피해자의 기기를 완전히 장악할 수 있게 된다고 하며 이미 과거에 시만텍과 카스퍼스키가 발견한 적이 있다.

프루프포인트가 드로이드잭이 포함된 APK를 처음 발견한 건 포켓몬고가 뉴질랜드와 호주에서 정식 출시된 지 72시간이 채 지나지 않은 시점이었다. 전 세계적으로 동시에 발매되지 않는다는 허점을 누군가 재빠르게 파악해낸 것으로 보인다.

“애초에 APK 파일을 사이드로딩을 한다는 것 자체가 안드로이드 기기의 보안 설정을 약화시키는 작업을 필요로 합니다. 보통 환경설정 속 보안 옵션을 건드려야 하죠. ‘알 수 없는 출처의 파일’도 설치하도록 체크한 후에야 사이드로딩 파일을 설치할 수 있습니다. 이미 이 자체로 문을 활짝 열어놓는 꼴입니다.”

벌써 ‘기타 경로’를 통해 APK 파일을 다운로드 받은 사용자라면 자신이 감염되었는지 여부를 판별할 수 있는 몇 가지 방법이 있다.

1. 다운로드 한 APK 파일의 SHA256 해시를 확인해본다. 정식 앱 혹은 믿을만한 앱의 해시는 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67이다. 물론 업데이트 된 버전이 있을 수는 있다. 프루프포인트에서 분석한 악성 APK의 경우 해시가 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4였다.

2. 설치된 애플리케이션의 허용(permissions) 항목을 확인해본다. 환경설정 -> 앱 -> 포켓몬고를 선택하고 허용항목(Permissions)을 찾는다. 올바른 앱일 경우 허용 항목은 1) take pictures and videos, 2) approximate location(network-based), precise location(GPS and network-based), 3) modify or delete the contents of your SD card, read the contents of your SD card, 4) find accounts on the device, use accounts on the device, 5) full network access, view network connections, 6) access Bluetooth settings, pair with Bluetooth devices, 7) control vibration, prevent phone from sleeping 이다. 기기나 지역에 따라 ‘Google Play billing service’나 ‘receive data from Internet’이 포함되기도 한다.

드로이드잭이 포함된 APK의 경우 1) directly call phone numbers, read phone status and identity, 2) edit your text messages(SMS or MMS), read your text messages(SMS or MMS), receive text messages(SMS), send SMS messages, 3) record audio, 4) modify your contacts, read call log, read your contacts, write call log, 5) read your Web bookmarks and history, 6) change network connvectivity, connect and disconnect from Wi-Fi, view Wi-Fi connections, 7) retrieve running apps, run at startup 이 추가로 허용항목에 들어있다. 위 항목들 중 전부 혹은 일부가 허용되어 있다면 감염되어 있을 가능성이 크다.

프루프포인트는 “어떤 경우에도 비공식 경로로 앱을 다운로드받는 건 위험하다”며 “공식 스토어들에 ‘공식’이라는 이름표가 붙은 건 다 이유가 있다”고 권고했다. “다행히 아직 악성 APK로 인한 피해가 발생하지는 않은 것 같습니다만 인기가 높은 서비스나 앱은 공격자들의 공격 활로를 뚫어주는 역할을 한다는 진리는 다시 한 번 확인이 되었습니다. 지금 감염이 의심된다면 먼저 회사 네트워크와의 접속을 끊으시고 기기를 완전히 초기화하는 것이 필요합니다. 가능하다면 보안 검사를 의뢰해서 맡기시는 것도 좋은 방법입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

   스토어   포켓몬         


보안뉴스에서 관심이 가장 많이 가는 기사 유형은?
사건·사고(최근 발생했던 보안사고)
공공·정책(보안정책과 정부기관 관련 뉴스)
비즈니스(정보보안 시장 및 업계 전반 이슈)
국제(정보보안 분야 해외 소식)
테크(신기술과 취약점 관련 뉴스)
오피니언(다양한 외부 전문가의 기고)
기타(댓글로)