파밍용 악성코드 제작자, 구글계정도 판매

일반입력 :2013/03/14 10:41

손경호 기자

파밍 등 금융사기를 일으키는 악성코드를 제작해 판매해 온 개발자들이 구글 계정까지 판매하고 있는 것을 나타났다. 단순히 악성 프로그램만이 아니라 이를 구글 계정에 악성 애플리케이션(앱)을 올릴 수 있는 실제 계정 정보까지 거래되고 있는 것이다.

13일(현지시간) 워싱턴포스트 기자 출신 보안 전문가 브라이언 크렙스의 블로그는 실제로 이러한 거래가 이뤄지고 있다는 내용을 공개했다.

구글은 구글 플레이 스토어에 애플리케이션(앱)을 등록하고 싶어하는 개발자에게 계정 당 25달러를 받는다. 이와 유사하게 블랙마켓에서는 악성앱을 올릴 수 있도록 활성화된 구글 계정을 100달러에 판매하고 있다.

구글 플레이 스토어의 개발자 계정은 트로이목마 등 멀웨어가 탑재된 앱을 마치 합법적인 앱처럼 올릴 수 있게 도와준다. 블로그에 따르면 블랙마켓에는 100달러에 활성화된 구글 플레이 스토어 계정을 판매한다는 내용의 글이 올라와 있다. 계정 판매자는 또한 '안드로이드 모바일 멀웨어 생성 툴킷'도 판매하고 있었다. 이는 시티뱅크, HSBC, ING 등을 공격하는 기능을 가졌다. 이밖에도 판매 광고 글에는 많은 다른 나라 은행들에 적용할 수 있도록 툴을 개발 중이라는 설명도 들어있다.

블랙마켓에서는 핀란드어로 악마를 뜻하는 'Perkele'라는 멀웨어도 판매되고 있다. 이는 악성코드에 감염된 안드로이드 스마트폰으로부터 문자메시지를 중간에서 가로채는 기능을 가졌다. 최근 국내에서 문제가 된 스파이앱이나 소액결제사기, 스미싱 등 스마트폰을 이용한 악성 공격툴이 마치 상품처럼 거래되고 있는 것이다.

이 멀웨어의 경우 감염된 PC와 함께 작동되도록 제작됐다. 먼저 감염된 PC를 통해 은행사이트에 접속하는 사용자의 휴대폰 번호를 알아낸다. 그 뒤 스미싱 등의 방법으로 은행사이트에 접속한 사용자의 스마트폰에 '특별한 보안 인증'이라고 속여 악성코드 설치를 유도한다.

블랙마켓 운영자는 특별하게 고안된 금융기관을 대상으로한 공격용 멀웨어를 1천달러에서 툴킷 전체는 1만5천달러에 거래되고 있는 것으로 나타났다.

관련기사

카스퍼스키랩에 따르면 지난해 4만3천개 이상의 멀웨어가 안드로이드 기기를 공격한다고 밝혔다.

가장 많이 거래되고 있는 것은 문자메시지를 통해 금융정보를 탈취하는 SMS 트로이목마, 기기에 접근해 저장된 데이터를 추출하는 익스플로잇 등이다.