[CCTV뉴스=이승윤 기자] 최근 모바일 스마트 플랫폼 환경과 함께 사물 인터넷 환경이 급속하게 발전함에 따라 과거 PC 환경과 유사한 초기 형태 악성코드부터 각 환경에 특화된 다양한 악성코드들이 등장하고 있는 상황이다. 그럼에도 불구하고 현재 모바일 악성코드 대응 기술은 태생적인 환경 특성 때문에 과거 PC 대응 기술과 비교했을 때 여러모로 뒤쳐져 있다.
글 아이넷캅 유동훈 기술이사
유선 네트워크와 무선 네트워크 환경의 차이점은 다양한 악성코드 정보를 공유하고 분석 결과를 쉽게 받아볼 수 있는 PC 환경에 비해 어려운 점이 존재한다. 또한 간섭을 최소화하기 위한 앱간 권한 독립의 문제는 단말에서 악성 앱을 동적으로 판정하기 어렵게 만들며 정반대로 높은 권한으로 상승한 악성 앱에 의해 분석 방해를 당하는 사례로도 잘 알려져 있다.
이렇게 모바일 스마트 플랫폼이 환경적 대응 한계점을 가지고 있다고 하더라도 악성코드 제작자들에게 그대로 당할 수만은 없는 노릇이다. 그래서 이번 리포트에서는 종래 모바일 환경에서 동작하는 악성코드의 현황과 사례에 대해서 다루고 나아가 이러한 악성코드를 대응하고 있는 현황과 최신 기술 사례에 대해 소개하고자 한다.
해외 안드로이드 모바일 악성코드 동향
최근 구글은 모바일 안드로이드 생태계의 보안 투명성을 알리기 위한 목적으로 투명성 보고서를 공개했으며 해당 보고서는 잠재적 유해 어플리케이션(이하 PHA)가 설치된 기기들이 안드로이드 생태계에 어떤 영향을 주고 있는지 알려주고 있다. 해당 자료의 근거는 구글 안드로이드 기기를 쓰는 20억 사용자를 보호하기 위해 플레이 프로텍트라는 서비스 결과를 바탕으로 하고 있다.
플레이 프로텍트는 안드로이드 기기에 탑재된 보호 기술로 매일 약 500억 개의 앱들을 검사해 PHA를 찾고 이러한 앱에 대응하기 위해 도입되었다. 초기에는 앱을 배포할 때 쓰였던 플레이 스토어에 올라갈 앱에 대한 점검을 수행한 뒤 이상이 없는 앱들만 업로드를 허용하는 정책을 가지고 있었지만, 2017년부터는 분석가들이 점검하지 못해 빠져나간 악성 기능이나 판정 기준을 회피한 악성 앱, 구글 마켓 외에 다른 배포처를 통해 유포된 악성 앱에 대응하기 위해 안드로이드 단말 기기에서 직접 플레이 프로텍트를 동작시켜 검증을 수행하고 있다.
공식 보고서에 따르면 PHA 즉, 악성 기능을 내포하는 앱들은 2014년 전체 앱의 1% 정도 수준으로 최근 2018년에는 1% 이하로 내려간 상황인데 플레이 스토어와 해당 마켓을 포함한 전체 PHA 비율은 다음과 같다.
통계 자료를 보면 전체 마켓을 이용하는 기기보다 공식 마켓인 플레이 스토어 앱만 이용하는 기기의 감염 확률이 약 7배 정도 낮은것으로 나타나는데, 최근 2018년 4분기를 보면 플레이 스토어의 PHA 비율은 0.08% 였으며 동일 기간동안 그외 마켓에서 앱을 받은 기기의 경우 0.6%의 감염률을 보였다. 또한, 플레이 스토어에서 PHA가 발견된 비율은 0.04%로 그외 마켓에서 발견된 비율인 약 1%(0.99%) 보다 약 24배 이상 낮은 것으로 나타났다.
안드로이드 시장 규모가 가장 큰 10개 국가에서 발견되는 악성 감염 비율은 최근 2018년 4분기를 기준으로 인도네시아(0.9%)가 1위로 가장 높았으며 2위가 인도(0.5%), 3위는 미국(0.4%), 4위는 러시아(0.3%), 5위는 일본과 멕시코(0.2%), 6위는 브라질과 터키, 독일(0.1%), 마지막으로 한국(0.09%)이 가장 낮은 비율을 차지했다.
공식 마켓과 비공식 마켓 악성 앱 종류
최근 2018년 4분기 자료를 기준으로 보면 우선 플레이 스토어 공식 마켓에 올라온 악성 앱 중 가장 많은 비율을 차지했던 유형은 트로이 목마(62.9%)가 1위를 차지했다. 다음으로 클릭 사기(21.2%)가 2위,SMS 사기(4.6%)가 3위, 백도어(4.5%)가 4위, 전화사기(3.3%)가 5위,피싱(1.3%)이 6위순을 차지했고 1% 이하로는 악의적 다운로드 유형(0.9%)과 스파이웨어 유형(0.8%)이 차지했다.
같은 기간 동안 비공식 마켓에 올라온 악성 앱 차지 비율을 보면 공식 마켓과 유사하게 트로이목마(47.5%)가 1위, 클릭 사기(16.1%)가 2위를 차지했다. 그러나, 다음 순위부터 백도어(15%)가 3위, 악의적 다운로드 유형(11.8%)이 4위, 루팅(3.4%)이 5위, 전화사기(1.8%)가 6위순으로 공식 마켓과 다른 차이를 보였다. 즉, 백도어와 추가 다운로드를 수행하는 악성 유형, 루팅 비율이 공식 마켓에 비해 비공식 마켓이 높았던 반면 전화 사기나 스파이웨어, 피싱 등은 그보다 낮은 차이점이 나타났다.
국내 안드로이드 모바일 악성코드 동향
국내의 경우에는 실질적으로 피해를 입히고 있는 악성 앱 유포지가 마켓보다는 통신사의 SMS 서비스를 통해 유포되는 사례가 대부분을 차지하고 있다. SMS로 배포되는 악성코드 유형을 스미싱(Smishing)이라고 명명하고 있는데 SMS 문자메시지 내에 URL 주소를 클릭하도록 유도해 악성 앱을 설치하는 배포 유형이라고 볼 수 있다.
2012년에 최초 발견된 스미싱은 2013년부터 급속도로 유포됐으며, 초기에는 기기 정보, 개인 정보, 소액결제 인증 문자를 유출해 금전적 이득을 취하는 방식으로 단순했지만, 이후 인터넷 뱅킹에 필요한 계좌 정보와 보안카드 등의 금융 정보를 탈취하는 방식으로 변화했다.
국내의 경우 주요 악성 앱 유포지가 마켓이 아닌 SMS 문자 메시지에 포함된 URL을 통해 유포되는 환경적 차이를 갖기 때문에 운영체제와 어플리케이션 배포사, 제조사에서 대응 체계를 구축했던 해외 사례와 달리 이동통신사(SKT, KT, LG U+) 및한국인터넷진흥원, 보안업체 등의 기관을 중심으로 대응체계를 구축하고 있는 실정이다.
지난 3년간 가장 많이 유포된 스미싱 문자는 택배 문자를 사칭한 유형으로 전체 975,050건 중 721,290건으로 74%를 차지했으며 그밖의 기타 문자가 197,798건(20%)으로 2위, 지인 사칭은 41,215건(4%)으로 3위, 공공기관 사칭은 14,747건(2% 미만)으로 4위순이었다.
특히 최근에 들어서 지인 사칭은 줄었지만, 택배 사칭은 여전히 높고, 공공기관 사칭이 늘어나는 추세인 것을 볼 수 있다.
국내 유포되고 있는 대부분의 스미싱 악성 앱들은 크게 8가지 악성 행위 유형으로 구분되는데, 각종 정보를 외부로 유출하는 정보 유출형이 가장 많이 발생하고 있다. 금전적인 이득을 취하기 위한 금융앱 사칭형, 악성 앱 유포를 위해 폰의 연락처 정보에서 스미싱 문자를 유포하는 SMS 발송형, 정보유출지 변경 등의 명령을 문자로 수신하도록 하는 원격제어형, 악성 앱 삭제를 방해하는 기기 관리자 등록형과 앱 삭제방해형, 마지막으로 추가적인 악성코드를 다운로드 받아 별도의 행위를 수행하는 악의적 다운로드형 등으로 나뉘고 있다.
대부분의 국내 악성 앱은 기본적으로 기기 내부에 저장된 기기정보와 개인 정보 등을 유출하는 정보 유출 기능을 내포하고 있으며, 소액 결제 인증문자를 유출시키는 전통적인 부정과금. 금융 앱 사칭 방식을 주로 악용하고 있다. 또한, 악성 앱 설치 이후에 사용자가 앱을 삭제하기 어렵도록 앱 아이콘을 삭제해 숨기는 자기 은신 기능과 앱 삭제를 방해하기 위한 이유로 기기 관리자 권한 획득 기능 등의 행위를 수행하고 있다. 이는 지난 3년간 지속적으로 유포된 대표적인 악성 유형이며 마지막으로 공개된 기술 자료가 2015년 1분기 내용임에도 최근 유포되고 있는 악성 앱 통계와는 큰 차이가 없는 상황이다.
국내 악성 앱 피해 사례
국내는 해외와 달리 SMS 문자 메시지를 통해 다양한 앱을 사칭하는 악성 앱이 크게 유행는데 초기 형태의 악성 앱은 소액 결제 인증 문자를 유출하는 행위로 부정 과금을 통해 이득을보는 유형이었다. 이후 스마트폰 내에 저장된 금융 정보를 유출하고 보안카드 정보를 빼돌려서 피해를 입히는 유형이 등장했으며 본래 전화번호가 아닌 공격자의 번호로 연락이 가게끔 변조하는 전화사기 등의 수법이 동원되었다.
악성 앱 수집 탐지 활동이 증가하면서 공격자들도 차즘 앱 수집이 어렵도록 방해하는 행위를 추가했는데, 대표적으로 앱 다운로드 시 이미지 다운로드 버튼을 클릭하도록 유도하거나 캡차 입력을 요구해 자동으로 앱을 수집하지 못하도록 방해하고 있다. 또한 수동 다운로드조차 어렵도록 스미싱 문자를 수신한 전화번호 입력을 요구하고 있으며 악성 앱 설치 이후에는 설치 여부를 숨기기 위해 아이콘을 은닉하거나 기기 관리자 권한을 획득 후 삭제가 어렵도록 만드는 행위를 동반하고 있다.
최근 1년 동안은 스미싱 유형 외에도 북한 해킹팀이 제작한 트로이목마 유형의 악성 앱이 플레이 스토어를 통해 유포되는 사례가 증가했다. 해당 악성 앱들은 공통적으로 감염된 기기 정보, 통화목록, 연락처, 녹음 내용 등의 정보를 유출하는 악성 기능을 가지고 있으며 주로 감염된 기기를 감시하기 위한 용도로 개발된 것으로 추정된다
