주간동아 903

2013.09.02

안드로이드 폰 안녕하십니까?

올 상반기 악성 앱 360만여 건 습격…악성코드 심어 돈 빼가는 스미싱 빈발

  • 문보경 전자신문 부품산업부 기자 okmun@etnews.co.kr

    입력2013-09-02 09:31:00

  • 글자크기 설정 닫기
    안드로이드 폰 안녕하십니까?

    모바일 청첩장 사기 문자 메시지가 전송된 스마트폰 화면.

    안드로이드 폰에 큰 골칫거리가 생겼다. 개인용 컴퓨터(PC)를 감염시키고 때로는 사기까지 친다는 악성 애플리케이션(앱)이 창궐하고 있기 때문이다. 악성코드의 위험성은 이미 충분히 알려졌다. PC에 퍼진 악성코드로 분산서비스거부(DDoS) 같은 사태가 발생해 나라 전체가 혼란에 휩싸인 경험도 있는데, 그런 악성코드가 스마트폰에까지 침투한 것이다. 스마트폰에 공인인증서나 온갖 중요한 정보를 입력하고 다니는 사람이라면 경악할 일이다.

    증가 속도를 보면 걱정이 더 커진다. 글로벌 보안업체 트렌드마이크로에 따르면, 지난 2분기 고위험 악성 안드로이드 앱이 전 세계적으로 71만8000개(누적 기준)에 이르렀다. 지난해 연말 35만 개에서 100% 이상 증가한 수치다. 올 상반기에만 벌써 36만8000개의 신규 악성 앱이 등장했다.

    악성 앱이 35만 개에 이르기까지 3년이 걸렸다. 그런데 올 상반기에만 지난 3년간 발생한 수치를 뛰어넘는 36만여 개의 악성 앱이 새로 등장했다. 과거 3년이라는 시간이 걸리던 양이 이제는 6개월이면 충분하다는 뜻으로, 말 그대로 악성 앱의 ‘대공습’이 진행되고 있다. 이 같은 추세라면 연내 100만 개 돌파도 가능할 것으로 보인다.

    악성 앱은 단순한 감염을 넘어 사생활 침해나 금전적 피해를 낳는다. 인터넷뱅킹 서비스를 이용하는 스마트폰에 침투해 통장에 있는 돈을 빼내기도 한다.

    가장 흔히 발생하는 피해는 유도 문자메시지를 보내 사용자로 하여금 악성코드를 설치하게 만든 뒤 돈을 빼가는 수법이다. 이러한 사기를 ‘스미싱(Smishing)’이라고 하는데, 스미싱은 문자메시지(SMS)와 피싱(Phishing)의 합성어다.



    사생활과 금전적 피해 잇달아

    직장인 이씨는 자신이 사용하지도 않은 소액결제 금액을 고스란히 내야 했다. 누군가 이씨 스마트폰으로 소액결제를 했음에도 이씨는 그 사실을 까맣게 모르고 있었다. 게다가 이씨는 소액결제 시 인증번호를 입력하라는 문자메시지나 결재내역도 받은 적이 없다. 지인들이 이씨 정보를 이용해 소액결제를 했다면 이런 문자메시지라도 받아야 하는데, 이씨는 그런 문자메시지도 받지 못했다. 이씨의 경우는 문자메시지를 받고 무심코 눌렀다가 악성코드가 스마트폰에 설치된 것이다.

    또 다른 피해자 김모 씨는 피해가 더 심각하다. 이상한 문자메시지를 받고 무심코 인터넷으로 연결하는 URL(인터넷상의 파일 주소)을 눌렀다가 낭패를 당했다. 스마트폰에 들어 있던 개인정보와 비밀번호, 공인인증서를 모두 빼낸 뒤 인터넷뱅킹 서비스를 통해 계좌에 있는 돈을 빼간 것이다. 그뿐 아니라 해당 개인정보를 활용해 대출까지 받았다. 김씨의 사례는 일반 스미싱을 변종한 것이다.

    보통은 각종 외식상품 무료 쿠폰이나 간단한 정보를 확인하라는 식으로 유도 문자메시지가 온다. 아예 스마트폰 연락처를 빼내, 지인이 보낸 것 같은 문자메시지를 보내기도 한다. A라는 사람이 갖고 있는 모든 전화번호에 A 이름으로 문자메시지를 보내는 식이다. A의 지인들은 A가 보낸 것이라고 생각하기 쉽다. 이 URL을 클릭할 경우 ‘사용자 급증으로 인한 시스템 과부하로 잠시 후 다시 이용 바랍니다’ 같은 문자메시지를 받게 되는데, 이는 사용자가 의심하지 않도록 하기 위한 장치일 뿐이다. 이미 악성코드가 스마트폰에 설치돼 좀비 스마트폰이 된다.

    스마트폰 악성코드가 PC로 옮겨가는 해킹 시도도 발생하고 있다. 모바일 보안기업 NQ모바일은 보고서를 인용해 일부 안드로이드 운영체제(OS) 모바일 기기가 스마트폰에서 USB를 통해 PC로 이동하는 신종 악성코드에 감염됐다고 경고했다. NQ모바일은 이를 ‘크로스플랫폼 공격’이라고 부른다. 이 같은 신종 공격 방식은 올 초 처음 발견됐다.

    스마트폰을 PC에 연결하는 동안 PC에 접근해 파일과 인터넷뱅킹의 비밀번호 등을 가져가는 식이다. 즉 스마트폰의 각종 정보는 물론 스마트폰의 악성코드를 통해 PC에 저장된 데이터까지 가져간다.

    이 악성코드는 USB 오토런(Autorun) 방식을 악용한다. USB 오토런 공격은 최근 몇 년간 DVD 등 USB 플러그인 장치를 연결한 USB를 통해 윈도 PC를 오염시키는 수법이다. 윈도 PC에 ‘오토런.inf’ 자동실행 파일을 통해 경로를 만들고 바이러스를 PC에 심는다.

    안드로이드 폰 안녕하십니까?

    4월 2일 정석화 경찰청 사이버센터 수사실장이 ‘신용카드, 스마트폰 결제 사기 피의자 검거’ 브리핑을 하고 있다.

    국내에 보고된 스미싱 사기는 대부분 안드로이드 폰을 통해 발생했다. 보안업체 F시큐어에 따르면 지난 2012년 4분기 새롭게 생긴 스마트폰 악성코드의 96%가 안드로이드 폰에서 발생한 것으로 나타났다. 안드로이드 폰 악성코드는 1분기 전체의 77%, 2분기 69%, 3분기 66%, 4분기 96%였던 것으로 집계됐다. 2010년에는 전체 스마트폰 해킹의 11.25%, 2011년 66.7%, 2012년 79% 수준이라고 한다. F시큐어에 따르면 같은 기간 애플 아이폰의 악성코드 발생률은 0%였다.

    보안업체 시만텍은 4월 사이버 범죄와 보안 위협 동향을 조사한 ‘인터넷 보안 위협 보고서’에서 지난해 세계적으로 보고된 안드로이드의 악성코드 종류가 103개라고 발표했다. 경쟁 제품인 애플의 iOS 악성코드 종류가 1개 보고된 것에 비해 100배 이상 많다. 안드로이드 악성코드는 변종도 많아 실제 악성코드 수는 4000개에 달할 것으로 이 회사는 추정했다. 시만텍 관계자는 “이에 비해 iOS 악성코드는 변종이 거의 없다”고 설명했다.

    왜 안드로이드 폰만 노리나

    왜 안드로이드 폰에 해킹이 집중될까. 먼저 가장 큰 이유는 안드로이드 사용자가 많기 때문이다. 삼성전자, LG전자, 팬택 등 주요 제조사들이 안드로이드 폰을 만들고, 국내 스마트폰 사용 인구 중 80~90%가 안드로이드 폰을 쓴다. 안드로이드 폰 점유율이 중국(67%), 일본(64%)보다 쏠림 현상이 심해 특히 국내에서 큰 문제가 되고 있다.

    두 번째는 안드로이드 폰의 구조 문제다. 보안 전문가들의 실험 결과, iOS를 이용하는 아이폰은 문자메시지를 눌러도 악성코드가 설치되지 않았지만, 안드로이드 폰은 각종 개인정보가 모의 해커 서버로 실시간 전송됐다. iOS는 인터넷 주소를 통해 앱이 설치될 수 없도록 해놨는데, 안드로이드는 가능하기 때문이다. 게다가 아이폰은 앱이 사진, 주소록 등 정해진 정보에만 접근할 수 있는 반면, 안드로이드폰은 앱끼리도 서로 정보를 공유할 수 있도록 시스템이 열려 있다.

    소스 코드 자체가 개방된 것이 안드로이드 폰에 해킹이 집중된 세 번째 이유다. 해커가 소스코드에 접근해 악성코드를 만드는 것이다.

    한 보안업체 전문가는 “안드로이드 네트워크의 시스템적인 문제와 구조적 단절로 인해 사용자들이 적시에 패치를 적용하는 데 어려움이 따른다”며 “어떤 경우에는 사용자들이 보안 패치를 제조사 및 이동통신사로부터 전혀 제공받지 못할 때도 있다”고 전했다.

    안드로이드 폰을 향한 위협은 날이 갈수록 커지지만 이에 대한 대비는 미흡하다는 지적이 나온다. 구글이 앱 마켓에서 개방 전략을 취하는 이상 사용자가 해킹 위험을 피해갈 뾰족한 방법이 없다는 것이다. 전문가들은 모바일 백신 사용과 보안 수칙 준수를 당부했다.

    보안업계 관계자는 “백신을 항상 최신 상태로 유지하고 다운로드한 앱은 모바일 백신으로 검사한 후 설치하는 것이 좋다”며 “발신처가 불분명하면 일단 의심하고, MMS 등의 문자메시지나 e메일 확인을 자제해야 한다”고 말했다.



    댓글 0
    닫기