[보안뉴스 김경애] 안드로이드를 타깃으로 한 악성앱 유포가 도를 넘고 있다. 이러한 악성앱 대부분은 스미싱을 통해 유포된다. 본지가 지난 7월 15일부터 8월 5일까지 21일간 스미싱 모바일 앱 폰키퍼를 분석한 결과 택배와 경찰을 사칭한 스미싱이 두드러졌다. 게다가 악성앱은 사이버금융사기에서 보안시스템 우회, 지능화된 서비스 공격으로 진화하는 양상이다.
악성앱, 1단계: 사이버금융사기, 안드로이드를 타깃으로 한 악성앱 유포방법을 살펴보면 스미싱이 97.8%로 가장 높은 비율을 차지했다. 특히, 스미싱의 경우 구글 플레이 업데이트 요청 메시지를 사칭하거나 캡차코드의 경우 자동 입력방지 문자 입력 요청을 메시지 창을 띄워 유도한다. 또한, 택배 피싱 사이트에서 휴대포번호 입력을 요구하는 창으로 유도하고, 위장마켓의 경우 택배조회를 사칭해 휴대폰 번호 입력을 유도하기도 한다. 이어 웹사이트, 구글마켓, 이메일, SNS, P2P, 인터넷 공유기 순으로 악성앱을 유포하는 것으로 조사됐다.
지난 1월부터 4월까지 유포된 악성앱 유포 서버를 살펴보면 아마존 웹서버가 154개로 가장 높은 비율을 차지했다. 이어 Hacker’s 서버가 122개, 드롭박스가 51개, Copy.com 2개 순이다.
지난 2012년 부터 2014년 초반까지의 안드로이드 악성앱은 SMS인증 탈취, 공인인증서 탈취, 금융정보 입력유도 등 주로 사이버금융사기를 위한 목적으로 유포됐다.
2단계: 보안시스템 우회로 진화 그러나 2014년부터는 ARS인증 착신전환, 백신삭제 및 우회, 보이스피싱 연계 등 보안 시스템을 우회하며, 이용자를 속이는 수법이 한층 진화했다.
지난 2014년 3월에는 허위 백신화면이 발견되는가 하면, 4월에는 백신 삭제를 유도하는 악성앱 화면이 발견됐다. 또한, 같은 달에 금융정보관리 앱을 사칭한 사례가 발견됐으며, 이후 6월에는 백신 프로세스를 중단하는 행위도 포착됐다. 8월에는 보이스피싱을 연계한 수법으로 악성앱을 유포했으며, 11월에는 백신 설치를 방해하는 정황이 포착됐다. 3단계: 보안카드 스캔, 원격 제어 등 지능화 최근에는 금융 악성코드가 갈수록 진화하고 있으며, 분석시스템 우회, 공격경로 다양화 등을 통해 이용자 피해를 양산하고 있다.
▲보안카드 스캔 등 지능화된 공격 방식
지난 6월에는 보안카드 번호를 스캔하는 악성코드를 이용한 정황이 포착됐고, 정보유출지의 추적을 피하기 위해 난독화하며, SMS, GCM 등을 원격제어하는 등 공격방식이 한층 지능적으로 변화하고 있다. 공격자의 정보유출 방법은 HTTP나 FTP, SMTP 등을 이용하는 것으로 알려졌다. 이와 관련 한국인터넷진흥원 양인승 선임연구원은 ‘사이버 침해사고 정보공유 세미나’에서 “스미싱의 경우 스팸 SMS를 통해 유포되는 악성URL을 탐지해 분석한 후, 스미싱 유포 주소와 해커의 C&C서버, 유출지 주소에 대해서는 차단하는 방식을 취하고 있다”고 밝혔다.
해킹된 웹사이트의 경우는 해킹 유포 정보 및 탐지 패턴을 적용하여 국내 웹사이트에서 악성앱 여부를 탐지해 해당 피해를 입은 업체에게 통보 및 조치하고 있는 것으로 알려졌다. 마켓의 경우는 기존 분석된 악성앱 특장점들을 패턴화해 유사한 악성앱이 마켓에 새롭게 등록 시 탐지할 수 있도록 모니터링하고 있다는 것. 특히, 모바일 백신으로 탐지하지 못하는 악성앱의 경우 이동통신사와의 공조로 찾아내 삭제하고, 스마트폰이 좀비폰에서 벗어날 수 있도록 조치하고 있다는 게 KISA 측의 설명이다.
[김경애 기자(boan3@boannews.com)]