2021-01-16 17:45 (토)
금융 모바일 악성코드의 현재와 미래
상태바
금융 모바일 악성코드의 현재와 미래
  • 길민권 기자
  • 승인 2021.01.07 19:37
이 기사를 공유합니다

최근 모바일 악성코드, 안티바이러스 우회와 난독화 등 유포 방식 다양화
▲ 금융보안원 보고서 이미지
▲ 금융보안원 보고서 이미지

스마트폰, 태블릿PC 등 모바일 기기는 높은 AP 성능과 고속통신망(LTE, 5G) 및 무선 와이파이 등에 24시간 연결된 밀접한 생활환경 속에 있어 사용자 PC 이상으로 공격자의 표적이 되고 있다.

사용자 PC가 널리 보급된 이후 다양한 보안 위협들이 출현한 것과 마찬가지로 스마트폰이 본격적으로 보급되기 시작한 2010년 이후부터 모바일 악성코드는 사용자 PC를 대상으로 개발된 악성코드의 구현된 기능과 형태들을 빠르게 흡수해 그 수가 폭발적으로 증가했다.

이에 금융보안원은 7일 ‘금융 모바일 악성코드의 현재와 미래 - 2020 인텔리전스 보고서’를 공개했다. 보고서 주요 내용은 다음과 같다.

일반적으로 모바일 악성 앱은 정상 앱으로 위장해 사회공학적 기법으로 다운로드를 유도하고, 감염된 모바일 기기를 공격자가 원격에서 명령을 내리는 기능을 하고 있으며 금융 모바일 악성 앱은 주로 모바일 기기에 저장된 금융 데이터 및 사용자의 연락처, 문자 메시지, 중요 파일 등의 개인정보를 탈취하고, 피싱 페이지를 통해 아이디, 비밀번호, 카드 정보 등의 사용자 입력을 유도하거나 전화 수신 및 발신 번호를 변조하여 보이스피싱 피해를 발생시키는 등 다양한 악성 행위들을 포함하고 있다.

모바일 기기에는 금융 거래 및 결제 관련 데이터를 포함하여 다량의 개인 데이터가 저장되어 있으며 공격자는 이러한 정보를 탈취하기 위하여 노력하고 있다. 안드로이드 운영체제는 특히 악성 앱에 비교적 감염되기 쉬운 운영체제 구조와 악성 행위를 실행할 수 있는 환경을 갖고 있기 때문에 모바일 악성 앱 대부분이 안드로이드 모바일 기기(스마트폰, 태블릿PC)를 대상으로 개발되고 있다.


◆지금까지의 모바일 위협

모바일 악성 앱은 다양한 유포 경로를 통해 사용자의 모바일 기기로 유입되고 있다. 금융 악성앱이 유포되기 시작한 초기에는 문자 메시지, 메신저, 피싱 페이지 등이 주로 사용되었는데 최근에는 기존의 유포 방법을 사회적인 이슈와 결합해 활용하는 한편, 광고 서버, 개발 관련 인증서 탈취, 공급망 및 개발사 등을 해킹하여 이 인프라를 통해 악성 앱을 유포하는 등 방법이 점차 진화하고 있다.

기본적으로 공식 마켓 이외에서 다운로드 받은 앱이나 악성 기능을 가진 앱들은 구글 플레이 프로텍트, 안티바이러스 탐지 기능을 탑재한 금융 앱에 의해 탐지 및 차단되고 있어서 최근 악성 앱들은 이러한 기술적 보호 조치를 우회하는데 집중하고 유포하는 방식을 다변화하고 있다.


◆모바일 악성코드 흐름

지난 10년간 모바일 악성코드의 주요 키워드와 위협을 살펴보면 다양한 특성이 보이는데 2010년 스마트폰 보급이 시작된 후 2012~2014년을 지나면서 모바일 악성코드가 폭발적으로 증가했다.

이때 개인정보 유출, 랜섬웨어, DDoS봇, 몸캠피싱, 스미싱, 가상화폐 채굴 등 다양한 악성기능들이 개발되었고, 현재 악성 앱 유포의 중심이라고 볼 수 있는 APT 공격 그룹과 서비스형 악성코드(MaaS: Malware-as-a-Service)에서 이러한 과거의 기능들을 계속 사용하고 있다는 것은 모바일 악성코드의 한계를 나타내는 의미라고 볼 수 있다.

다만, 최근의 모바일 악성코드는 안티바이러스 우회와 난독화, 유포 방식을 다양화하는데 더욱 초점을 맞추고 있다.

한편 악성 앱 대부분이 새로운 변화 없이 과거에 이미 개발된 기능들과 유형들을 재사용하고 있고, 사용자가 악성 앱에 감염되는 주요 원인 또한 다르지 않다는 것을 알 수 있다.

과거부터 현재까지 지속해서 발생하고 있는 모바일 위협 중에서 악성 앱 감염에 근본적인 원인은 대부분 “신뢰할 수 없는 출처에서의 다운로드”, “정상 앱 사칭”, “탈옥 및 루팅” 등이 있다.


◆악성 앱 유포의 진화

△공식 마켓을 통한 유포

공식 마켓을 통한 악성 앱 유포는 지속적으로 발생하고 있는데 구글의 공식 플레이 스토어는 업로드되는 앱의 악성 여부를 기본적으로 판별하지만, 악성 앱들 또한 이 테스트를 통과하기 위한 방법으로 일정 시간이 지연된 이후에 악성 기능을 실행하거나, 앱이 실행될 때 구글 관련 IP에서 실행되는 경우 악성 기능 동작을 중지하거나 실제 악성 기능은 앱에 없지만, 추가로 악성 기능이 포함된 APK 파일을 다운받는 등 다양한 우회 기법을 사용하고 있다.

△인증서 탈취를 통한 앱 스토어 유포

인증서와 서명 정보가 탈취될 경우 동일 서명으로 악성 앱이 유포될 수 있으며 앱 개발 시 공개된 인증서를 사용하거나 다수의 앱을 한 개의 인증서로 사용할 경우 위협에 노출될 가능성이 증가한다.

△광고 라이브러리를 통한 악성코드 유입

앱 내부에 포함되는 광고 역시 공격벡터 중 하나가 될 수 있다. 앱 개발자는 모바일 광고 플랫폼 업체가 제공하는 SDK 및 소스코드 등을 이용하여 앱 내부에 광고를 포함할 수 있으며, 이에 따른 수익금을 얻을 수 있다. 이때 광고 플랫폼 업체가 해킹을 당하거나 의도적으로 개발자에 의해 소스코드에 악성코드가 삽입될 수 있다.

△공급망을 통한 악성 앱 선탑재

2017∼18년도에는 스마트폰 공급단계에서 악성 앱이 선탑재된 사례도 발생하였는데 조사 결과 제조사에서 출고 시엔 문제가 없었으나, 특정 통신사나 기기 제조업체 등을 통해 유통된 기기라는 공통점이 발견되었다. 이러한 공급망 단계에서 악성 앱이 설치될 경우 사용자는 백신을 설치하기도 전에 위협에 노출되어 위험성이 높다.

△개발 및 유통사 홈페이지를 통한 유포

일반적으로 개발사의 홈페이지에서 제공되는 앱은 공식 마켓이 아니어도 사용자들이 의심없이 설치하는 경향이 있는데, 해외에서 국내로 유통된 게임패드 전용 앱에서 스마트폰 정보를 사용자 동의 없이 수집하는 기능이 포함되어 이슈가 되었다.

△인터넷 공유기를 통한 악성 앱 유포

보안이 취약한 공유기를 해킹하여 사용자의 스마트폰을 악성 페이지로 리다이렉트 시키는 DNS 파밍 공격은 국내에서도 지속적으로 발생해왔다. 대표적으로 아래와 같이 ID/PW가 취약하거나 기본 관리자 계정으로 설정된 인터넷 공유기의 관리자 페이지에 접근하여 DNS 서버 IP를 공격자의 DNS 서버 IP로 변조하는 공격이 많이 발생되었다.

△PC 및 네트워크를 통한 모바일 기기 감염

2018년 다량의 안드로이드 기기와 TV셋톱박스가 가상화폐(모네로) 채굴을 위한 ADB.Miner 악성코드에 감염된 정황이 발견되었는데 효과적인 확산을 위해 2016년도에 확산되었던 미라이(Mirai) 봇넷의 소스코드10)를 참고하여 스스로 전파하는 기능과 포트스캔을 수행하도록 개발되었다.

△신규 취약점 이용

일반적으로 앱이 개발되어 유포된 이후 기능을 수정하기 위해서는 동일한 서명이 필요하지만 2017년도에는 이러한 앱 마켓의 업데이트 관리 시스템을 우회하여 서명이 일치하지 않더라도 임의의 기능을 앱에 추가하여 유포할 수 있는 야누스(CVE-2017-13156) 취약점이 발견되었다.

모바일 기기에는 다양한 개인 및 금융 데이터가 저장되고 있어 공격자의 주요 표적이 되고 있다. 앞으로도 꾸준히 특정 사회적인 이슈, 개인의 관심사 등을 역이용한 정교한 사회공학적 기법을 통해 정상 앱을 사칭해 악성 앱에 감염되도록 하고, 저장된 데이터 탈취 및 원격 모바일 기기 제어 등 지속적인 위협과 피해 발생이 예상된다.

안드로이드 모바일 기기의 앱 설치를 위해 공식 마켓이 아닌 구글 검색, 블로그, 커뮤니티 등에서 공유되는 설치파일은 악성 앱에 감염될 위험이 크다. 또한 문자 메시지, 메신저 등을 통해 악성 앱 설치파일 링크를 전송받는 경우는 악성 앱 배포 시 주로 사용되는 방법으로 앱 설치는 반드시 공식 마켓을 이용하고 평점, 비평 등을 확인하여 인지도 있는 앱 설치를 권장한다.

▲ 금융보안원 보고서 이미지
▲ 금융보안원 보고서 이미지

앞으로 다가올 새로운 모바일 위협들은 계속되는 악성코드 실행 환경의 제한으로 모바일 운영체제 구분 없이 신규 지원하는 기능들을 악용하거나 과거와 현재에서 구현된 악성 행위들을 재사용하고, 사회공학적 기법과 결합해 더욱 정교화된 새로운 이름의 악성 행위가 예상된다.

금융 악성 앱의 주요 목표는 모바일 기기에 저장된 금융정보 및 인증정보 탈취를 통한 부정결제와 개인정보를 탈취해 보이스피싱 범죄에 이용하는 것으로 스미싱, 보이스피싱 등의 악성 앱 차단과 금전적인 피해를 최소화하기 위해 무엇보다 악성 앱을 가장 먼저 마주하는 사용자 스스로 방어하는 자세와 유추하기 어려운 비밀번호 설정, 2단계 인증 설정, 신뢰할 수 없는 출처에서의 앱 설치 금지 등의 기본적인 보안 설정과 데이터 보호가 선행되어야 한다.

보다 상세한 내용은 금융보안원 자료마당에서 인텔리전스 보고를 다운로드 하면 된다.

★정보보안 대표 미디어 데일리시큐!★