Home > 전체기사
중국의 광고 업체 민테그랄, 개발자용 SDK에 악의적 장난질
  |  입력 : 2020-08-25 10:36
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
광고 수익 사기적으로 높이기 위해 SDK 손 봐...개발자들 눈에 안 띄어
애플도 자체적으로 조사 중...과거에 비슷한 행위 하다가 좇겨난 사례 있어


[보안뉴스 문가용 기자] 1200개의 애플리케이션에서 악성 소프트웨어 개발 키트가 발견됐다. 이 애플리케이션들의 월별 다운로드 수 총합은 3억 건이 넘어간다. 문제의 개발 키트는 중국의 광고 서비스 업체인 민테그랄(Mintegral)의 것으로, 회사 측이 악의적으로 사용자를 추적하는 코드를 삽입한 것으로 보인다. 광고 시장에서 우위를 점하기 위한 것이라고 보안 업체 스나이크(Snyk)는 설명한다.

[이미지 = utoimage]


민테그랄이 악의적으로 수정한 소프트웨어 개발 키트(SDK)가 배포된 것은 2019년 7월 즈음으로 보인다. 애플리케이션으로 수익을 내고자 하는 개발자들은 광고 회사에서 배포한 SDK를 사용해 앱에 광고 기능을 넣는다. 민테그랄은 이 부분을 노리고 악성 코드를 심어 사용자들을 추적하고 클릭 사기를 꾸몄다. 그래서 경쟁사들에게 돌아갔어야 할 광고 수익이 자기들에게 돌아오도록 했다. 이 과정에서 민감한 정보가 노출되기도 했다.

스나이크의 CSO인 대니 그랜더(Danny Grander)는 “악성 코드는 매우 교묘하게 설계되고 삽입된 상태여서 심층 분석이 필요했고, 다른 온라인 광고 업계 전문가들의 디코딩 작업도 함께 있었어야 했다”며 “개발자들로서는 파악하는 게 어려웠을 것”이라고 설명한다. “개발자들에게 쉽게 발견되는 성질의 악성 코드가 아니었습니다. 광고 클릭을 모두 훔치는 게 아니었기 때문입니다. 일정한 확률로만 작동하는 사기 기술이었고, 코드를 하나하나 점검하지 않는 이상 이상한 점을 눈치 채기 힘들도록 만들어져 있었습니다.”

이러한 문제가 발생한 건 애플의 iOS 생태계였다. 스나이크 측은 이러한 조사 결과를 지난 주 금요일 애플 측에 알렸다. 민테그랄은 아직 아무런 공식 입장을 발표하지 않고 있는 상황이다. 애플도 이건과 관련해서는 일반적인 답(애플은 보안과 프라이버시 보호에 힘쓰고 있다)만을 발표한 상황이다. 애플이 조사를 마치고, 잘못된 것이 확인이 된다면, 민테그랄은 애플의 플랫폼에서 방출될 수 있다. 2015년에도 애플은 중국의 광고 회사인 요우미(Youmi)가 악성 SDK를 배포하자 회사를 플랫폼에서 쫓아낸 바 있다.

그랜더는 “광고 클릭 사기 정도만으로도 충분히 이득을 볼 수 있었을 텐데, 민테그랄이 개인정보까지 수집했고, 이러한 기능이 1200개가 넘는 앱에 도입되었다는 것이 문제의 핵심”이라고 설명한다. “결국 모바일 광고 네트워크가 배포하는 SDK를 조작하면 아무 악성 코드나 다 실행이 가능하다는 뜻이 되거든요. 크리덴셜 수집만 하더라도, 나중에 장비로 몰래 접근하는 게 가능해지죠.”

개발자들이 주로 사용하는 소프트웨어 개발 키트(SDK)를 조작해 개발자들이 자기도 모르게 멀웨어를 만들도록 유도하는 수법은 예전부터 있어 왔다. 이런 방법을 통해 애플과 구글이 운영하는 공식 앱 스토어에까지 진출한 사례도 수두룩하다. 민테그랄이라는 광고 업체도 이런 수법에 대해 알아낸 후, 자신들의 사업에 적용시킨 것으로 예상된다.

스나이크의 애플리케이션 보안 전문가인 알리사 밀러(Alyssa Miller)는 자사 블로그를 통해 “개발자라면 누구나 민테그랄 웹사이트에 가서 퍼블리셔로서 등록한 후 SDK를 다운로드 받는 게 가능하다”고 설명한다. 그만큼 배포가 쉽게 이뤄진다는 것이다. “다운로드와 로딩이 끝나면 SDK는 애플리케이션 내 표준 iOS 기능들에 삽입이 됩니다. 그리고 애플리케이션이 URL을 열 때마다 발동되죠. SDK를 통해 접근할 수 있는 데이터는 대단히 많습니다. 민감할 수 있는 정보까지도 포함합니다.”

민테그랄의 SDK에는 다양한 분석 방해 기능도 포함되어 있었다. 이 때문에 일반 개발자들로서는 악의를 파악하는 게 힘들었을 것이라고 스나이크는 설명한다. “예를 들어 에뮬레이션 환경에서 실행되는지를 파악한 후 악성 코드가 발동되는 기능도 있었습니다. 일부 개발 환경에서는 악성 기능이 아예 발동하지 않았던 것이죠.”

문제의 SDK는 URL을 기반으로 한 모든 요청들의 세부 내용들을 모두 확보하고 가져갔다고 한다. 따라서 URL에 식별자나 보안 토큰, 헤더, 장비 식별자 등의 정보가 포함되어 있을 경우 꽤나 큰 프라이버시 침해가 있을 수 있다고 스나이크는 경고한다. “이 부분을 애플에 알린 상태이며, 애플 역시 자체적인 점검 및 상황 파악 후 조치를 취할 것으로 예상됩니다.”

애플은 현재 앱 개발자 모두에게 프라이버시 관련 항목들을 요약해서 공개할 것을 요구하고 있다. OS 14버전부터 이는 적용될 예정으로, 사실상 9월부터 개발자들에게 주어질 숙제가 될 예정이다. 개발자들이 제출한 프라이버시 관련 정보들은 애플의 앱 스토어를 통해 사용자들에게도 공유가 될 예정이다.

3줄 요약
1. 1200개의 애플리케이션에서 광고 사기 유발하고 프라이버시 침해하는 악성 코드 발견됨.
2. 문제의 근원은 중국의 광고 회사가 배포한 악성 SDK.
3. 개발자들이 알기 힘들게 만들어진 SDK, 애플 확인 결과에 따라 방출될 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상