세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
안드로이드 기기 공급망 농락하는 멀웨어들 늘어나고 있다
  |  입력 : 2017-03-14 10:59
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
특히 중저가형 모델에서 점점 더 빈번하게 발생하는 중
안드로이드 공급망 전체에 대한 불신 쌓이면 시장에 큰 타격 있을 것


[보안뉴스 문가용 기자] 최근 모바일 보안 전문 업체인 체크포인트 소프트웨어 테크놀로지스(Check Point Software Technologies)가 멀웨어가 미리 설치된 채 팔리고 있는 모바일 기기 두 가지를 시장에서 발견했다고 발표했다. 이 때문에 안드로이드 생태계의 공급 체인에 대한 전면적인 검토가 필요하다는 목소리가 높아지고 있다.

▲ 그물이 크고 촘촘하면, 원래 어중이 떠중이들도 낚여든다


체크포인트 측은 이번에 발견된 멀웨어 탑재 스마트폰 브랜드가 두 가지라고 밝혔지만, 이름까지 명시하지는 않고 있다. 기기 제조사가 개발한 공식 ROM 펌웨어에 완전히 통합되어 있지는 않지만 사용자가 기기를 활성화한 이후 다운로드되는 것도 아니라고 설명하기도 했다. 그렇다면 이 멀웨어는 어디에서부터 와서 도착한 걸까?

체크포인트의 연구원인 오리엔 코리앗(Orien Koriat)은 “공급망 어딘가에서 공기기에 들러붙는 것”이라고 설명한다. “시스템 권한을 사용한 악성 행위자 한 사람이 기기의 ROM 펌웨어에 멀웨어 인스턴스를 여섯 개나 덧붙였습니다. 그렇기 때문에 사용자가 제거할 수도 없는 상태로 남아있는 것이죠.”

체크포인트는 이 사건을 좀 더 깊숙하게 파헤치기 위해 해당 멀웨어들에 감염된 36개의 기기들을 확보해 분석했다. 모두 두 개의 유명 스마트폰 제조사의 제품이었다. “하나는 대형 통신사고 하나는 세계적인 기술 기업입니다.”

36개 기기들 전부 사용자가 기기를 활성화하기 전부터 설치되어 있는 멀웨어를 다수 보유하고 있었다. 정보를 훔쳐내는 멀웨어부터 애드웨어, 랜섬웨어 인스턴스까지 그 종류도 다양했다고 한다. “슬로커(Slocker)와 로키(Loki)의 인스턴스가 발견된 것도 주목할 만한 일입니다. 기기의 완벽한 통제로까지 이어지는 멀웨어니까요.”

체크포인트는 현재 안드로이드 환경에 이런 식으로 사용자가 구매를 하지도 않은 공기기에 멀웨어 등이 설치되어 유통되는 경우가 점점 늘어나고 있다고 경고한다. “얼마 전에는 블루(BLU), 인피닉스(Infinix), 리구(LEAGOO) 등의 중저가형 스마트폰 브랜드에서 사용자 허가 없이 원격 애플리케이션 설치를 가능하게 해주는 펌웨어가 발견된 적이 있지요. 그 때문에 트러스트룩(Trustlook)에서 수사를 더 진행했고, 약 7억 개의 안드로이드 기기들에서 그러한 문제점이 발견되었습니다.”

구매 전부터 미리 설치된 멀웨어가 위험한 건 당연한 일이지만, “사용자가 기기의 비정상적인 상태를 알아챌 수가 없다는 측면에서 특히 위험”하다. 사용자 입장에선 처음부터 기기가 그런 식으로 작동했던 것이기 때문이다. “보통 일반인들 가운데 보안에 민감한 사람들이 기기의 비정상적인 상태를 감지할 수 있는 건, 최초 개봉했을 때의 상태를 기억하기 때문입니다. 즉 아주 정상일 때의 기준이 있기 때문에 비정상 상태를 눈치 채는 것인데, 이게 망가지는 것이죠.”

보안 전문업체인 플릭서(Plixer)의 마이클 패터슨(Michael Patterson) CEO는 “이런 사건이 자꾸만 발생하면, 모바일 기기 공급망 자체에 대한 불신으로 이어질 것”이라고 말한다. “특히 중저가형 기기 브랜드들부터 슬슬 무너질 것이 예상됩니다.”

하지만 아직까지 안드로이드 기기 공급망 어느 부분에서 멀웨어가 주로 첨부되는지는 명확히 공개되지 않고 있다. 안드로이드 생태계는 OS 생산자와 기기 생산자가 대부분 다르며, 생산자들도 많아 공급망이 iOS의 그것에 비해 굉장히 복잡하다. 그래서 어느 한 부분에서 규칙적으로 악성 행위자가 개입하는 것도 아니며 분명하게 규명하기도 힘들다.

이에 체크포인트는 “지금은 이런 사건이 발생할 때마다 적극 알리고 공개하는 것이 중요하다”고 설명한다. “사용자들은 상자에서 막 뜯은 기기에서 멀웨어를 기대하고 있지 않습니다. 제조사들 역시 마찬가지죠. 지금의 이 신뢰를 지켜내려면 제조사들이 공급 체계에 조금 더 관여하고, 멀웨어가 쉽게 설치되지 못하도록 기기를 탄탄히 만들 필요가 있습니다. QA에 제조사들이 조금 더 신경 써야 할 때입니다.”

체크포인트는 “출시 이전 최종 점검이 특히 중요해져야 할 것”이라는 입장이다. “물론 이렇게 하면 ‘저가’를 유지하기가 힘들겠죠. 그 점을 노리고 악성 행위자들이 유통망에 개입하고 있기도 하고요. 그러나 이런 사고가 쌓여 중저가형 모델에 대한 시장 전체의 불신이 형성되면 더 큰 타격이 될 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>


- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련


인공지능은 정보보안에 도움을 주게 될까요?
그렇다. 보안 인력 양성보다 인공지능 개발이 더 빠를 것이다.
그렇다. 보안 전문가가 더 ‘사람다운’ 일을 하게 해줄 것이다.
아니다. 기계가 할 수 있는 일은 한정적이다.
아니다. 오탐의 염려에서 벗어나기가 힘들 것으로 보인다.
처음에는 도움을 주는 듯 하지만 점차 사람의 일자리를 위협할 것이다.
나랑은 크게 상관없는 얘기다.
기타(댓글로)