안철수연구소(이하 안랩)는 5일 주요 스마트폰 악성코드 트렌드와 2012년 스마트폰 보안 위협을 발표했다.
안랩은 지난해 스마트폰 악성코드 주요 이슈로 ▲과금형 악성코드 폭발적 증가 ▲유명 어플리케이션으로 위장한 악성코드 ▲사생활 침해형 애플리케이션 증가 ▲온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
또한, 2012년 주요 스마트폰 보안이슈로는 ▲애플리케이션, 운영체제(OS) 취약점 등을 이용한 악성코드 대량 유포 가능성 ▲커널을 공격하는 루트킷 기능의 발전 ▲좀비폰 및 봇넷 본격적 활성화 ▲국내를 겨냥하는 모바일 악성코드 등장 등이다.
2012년도에 예상되는 스마트폰 보안 위협은 다음과 같다.
1)애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
현재 윈도PC 기반 악성코드 배포 방식 중 가장 유행하는 방식이 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수 사용자를 대상으로 악성코드를 유포하는 것이다. 이러한 방식은 스마트폰 사용자가 증가하면서 자연스럽게 해커들의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹애플리케이션의 취약점을 이용해 다수 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스(SNS), 이메일 애플리케이션 등도 취약점이 발견되면 악용 가능성이 있다.
2)스마트폰 커널을 공격하는 루트킷 기능의 발전
안드로이드의 루팅(rooting)이나 아이폰 해킹은 주로 애플리케이션 취약점을 이용한다. OS의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저(super user)의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해주기 때문이다. 반면, 악의적인 사용자나 애플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 어플리케이션을 몰래 실행시킬수도 있다는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
3)좀비 스마트폰 본격적 활성화
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7이나 3.4분산서비스거부(DDoS)공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇(bot)에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷(botnet)을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견됐지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지는 않았다.
4)국내를 겨냥하는 스마트폰 악성코드 등장
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만 대부분 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나 각종 온라인 게임계정 또는 민감한 개인정보를 탈취하는 등의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
■2011년 주요 스마트폰 악성코드 트렌드
1)과금형 악성코드 폭발적 증가
2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제(OS)라는 점을 악용한 예이다. 대부분 문자 과금 방식(premium call, 송신자에게 추가요금이 발생하는 번호 서비스)을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰 가입 국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
2)유명 애플리케이션으로 가장한 위장형 악성코드
구글서치, 구글플러스, 앵그리버드, 오페라, 스카이프 등 사용자층이 많은 유명 애플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓(써드파티마켓)을 통해 배포된다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일해 사용자가 쉽게 구분하기도 어렵다. 다른 위장형 악성코드로는 정상 애플리케이션과 완전히 동일하게 동작하도록 되어있어 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징(repackaging)형 악성코드가 있다.
3)사생활 침해형 애플리케이션 증가
스마트폰은 통화 및 문자 송수신, 카메라, GPS기능 등으로 인해 PC보다 좀 더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 줬다. 2011년뿐 아니라 앞으로도 이러한 디지털 스토커(digital stalker)형 악성코드가 지속적으로 증가할 전망이다.
4)온라인 뱅킹정보 노리는 악성코드 발생
관련기사
- 안랩, 'V3 모바일 2.0' 일본 출시2012.01.05
- 안드로이드 모바일 보안, 갈수록 '심각'2012.01.05
- 안드로이드 '모바일 보안위협' 증가2012.01.05
- 모바일 보안피해 현실화...분실·도난 급증2012.01.05
온라인뱅킹 정보를 갈취하는 것으로 유명한 제우스 악성코드가 다양한 모바일 환경에서도 동작하도록 제작돼 유포된 것이 발견되었다. Zitmo(Zeus In The Mobile) 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호(OPT)와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증(two-factor) 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
이호웅 안철수연구소 시큐리티대응센터(ASEC) 센터장은 “아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가 추세”라면서 “스마트폰의 확산, 공격자 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상돼 사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인 등 스마트폰 전용 백신 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다”고 당부했다.