모바일 앱을 매개로 삼는 악성코드 유포 시도가 교묘해지면서 관련 피해 사례가 가시화되고 있다.
일반적으로 사용자들은 공식 앱 마켓을 통해 앱을 내려받는다. 모바일 앱은 앱 마켓에 등록되기 전 안정성, 보안, 콘텐츠의 유해성 등을 심사받기 때문에 PC 환경 대비 상대적으로 안전하다는 인식이 있었다.
그러나 악성 앱을 유포하는 해커들이 이런 앱 마켓 심사를 우회하는 전략을 사용하고, 사회공학적 공격 기법을 고도화하면서 스마트폰을 노린 해킹 위험성이 높아지는 상황이다.
22일 보안업계에 따르면 악성 앱 유포 및 감염 피해 사례가 잇따라 보고되면서 모바일 악성코드에 대한 사용자 주의 필요성이 높아지고 있다.
악성 앱 피해 사례를 살펴보면, 금융정보를 노린 경우가 주로 보고되고 있다. 국가정보원 사이버안보센터는 국내 금융기관 인터넷 뱅킹 앱을 사칭한 악성 앱에 4만여명이 감염된 사실을 확인했다고 지난 6일 밝혔다. 발표에 따르면 해커는 악성 앱에 통화 기록과 문자 메시지, 스마트폰 내 문서 등을 탈취하고 통화도 도청한 것으로 조사됐다.
국내 보안 기업 안랩도 지난해 9월 금융 앱을 사칭한 악성 앱으로 정보를 탈취하는 모바일 악성코드 '카이시'를 발견했다고 밝힌 바 있다. 해커는 실제 금융사 웹사이트와 매우 흡사한 피싱 사이트에 이용자가 접속하도록 유도하고, 본인인증 앱으로 속여 악성 앱 설치를 이끌어냈다. 이용자가 금융사 전화번호로 전화를 걸 경우 이를 가로채 해커의 전화번호로 연결되게 해 해킹 사실을 눈치채지 못하게 하는 전략을 썼다.
악성 앱 피해를 예방하기 위한 조치로 흔히 언급되는 주의사항이 공식 앱 마켓 외 경로에서 앱을 내려받지 말아야 한다는 것이다. 그러나 최근에는 해커들이 코드 난독화 등 악성코드를 숨겨 앱 마켓 사업자의 눈을 피해 활동하는 정황도 포착되고 있다.
글로벌 보안 기업 노턴라이프록(구 시만텍)이 2019년 6월부터 9월까지 안드로이드 기기 1천200만대의 앱 설치 결과를 분석한 결과, 설치된 악성 앱 중 67%가 구글 플레이 스토어를 통해 설치된 것으로 나타났다.
또다른 보안 기업 화이트옵스가 지난해 6월 공개한 보고서에 따르면 앱 소스코드에 아랍어를 넣는 등 코드를 난독화해 앱 마켓 심사를 통과한 악성 앱들이 발견됐다. 악성 기능 관련 코드를 비활성화만 한 앱이 앱 마켓에 등록되기도 했다. 화이트옵스는 해커가 향후 코드 업데이트를 통해 악성 기능을 활성화할 목적으로 악성코드를 비활성화해둔 것이라고 추정했다.
글로벌 보안 기업 체크포인트에 따르면 지난 9일 구글 플레이 스토어 심사 과정이 종료된 뒤 악성코드를 내려받게 하는 드로퍼 '클래스트82(Clast82)'가 발견되기도 했다.
이런 추세는 코로나19로 본격화된 원격근무 도입과 맞물려 기업, 기관에 대한 보안 위협으로도 연결되고 있다. 체크포인트는 '2021 보안 보고서'를 통해 전체 기업·기관 중 46%는 직원 1명 이상이 악성 앱을 내려받은 경험이 있는 것으로 나타났으며, 이로 인해 네트워크와 데이터에 대한 위협이 초래됐다고 밝혔다. 코로나19 이후 모바일 기기 사용량의 증가를 노려 해커가 개인정보를 탈취하기 위한 악성 앱을 보다 많이 유포했다는 설명도 덧붙였다.
관련기사
- "구글 플레이 스토어, 악성 앱 설치 주범"2020.11.13
- 연암공대가 AWS로 그린 생존 전략은?2021.03.21
- OECD "소스코드는 곧 취약점…쉬쉬해선 안돼"2021.03.17
- "개인정보 보호, 투자의 대상이지 회피 대상 아니다"2021.03.10
이처럼 모바일 악성코드로 인한 보안 위협이 강화되는 상황에서, 업계는 사용자가 보안 수칙을 유의해 주의를 기울이는 게 최선책이라고 조언했다.
이재광 KISA 침해사고분석단 종합분석팀장은 "악성 앱 피해를 예방하기 위해서는 특히 보안 수칙 중 특히 앱 마켓 외에서 유통되는 앱과 과도한 권한을 요구하는 앱 설치를 지양하고, 계정 로그인 절차에 2단계 인증을 도입하는 것이 가장 좋은 기술적 대안"이라며 "악성 앱 피해가 의심될 경우 스마트폰에는 민감정보가 많이 존재하기 때문에 이런 정보들이 유출되지 않도록 계정 패스워드를 변경하고, 스마트폰을 초기화하는 등의 대처가 필요하다"고 조언했다.
