보안 및 위협 관리 솔루션 전문기업 카스퍼스키 랩(www.kaspersky.co.kr)에서 최근에 발표한 '2012년 보안 위협 통계 분석 보고서'에 따르면, 새롭게 발견되는 모바일 악성코드의 99%가 안드로이드용으로 나타났으며 자바나 심비안 플랫폼을 노리는 악성 코드는 극소수에 불과했다. 또한, 2011년에 이어 2012년에도 안드로이드 악성코드가 폭발적으로 증가한 것으로 나타났다.
 
2011년 1월에 8개의 신종 안드로이드 악성코드를 시작으로, 2011년에는 월 평균 800여 개의 샘플이 보고되었고, 2012년에는 전년보다 약 8배 증가한 월 평균 6,300개의 신종 모바일 악성 코드가 보고되었다.
 
안드로이드 악성코드의 대부분은 그 기능에 따라 세 가지 그룹으로 나눌 수 있다. “SMS 트로이목마” 그룹은 유료 과금 전화 번호로 SMS 메시지를 보내 사용자에게 요금을 청구하는 악성 코드이며, “백도어” 그룹은 다른 악성 코드를 설치하거나 개인 정보를 훔치는 것이 가능하도록 스마트폰에 비인가된 접근 통로를 만들며, ”스파이웨어” 그룹은 주소록, 암호, 사진과 같은 개인 정보를 무단으로 수집한다.
 
Kaspersky Mobile Security에 의해 차단된 안드로이드 악성코드의 Top 10을 보면 'SMS 트로이목마'가 전체 악성코드의 51%로 가장 널리 퍼져 있었고, 그 다음은 사용자에게 원치 않는 광고를 보여 주는 앱이었다. 널리 퍼진 것은 아니었지만 가장 위험한 것은 러시아에서 발견된 모바일 뱅킹 관련 정보를 탈취하는 악성 코드인 Carberp-in-the-Mobile이었다.
 
사이버 범죄 활동을 줄이기 위한 구글의 노력에도 불구하고 공식 마켓인 Google Play를 통한 악성코드는 증가하고 있는 것으로 나타났다. 또한 안드로이드 플랫폼은 Google Play가 아닌 곳에서 받은 앱도 사용자가 자유롭게 설치할 수 있기 때문에 감염을 막을 수 있는 최선의 방법 중 하나는 의심스러운 웹사이트에서 배포하는 앱은 설치하지 않는 것이다.
 
국가별 모바일 악성 코드의 주목할만한 예를 살펴보면 다음과 같다.
 
◇미국 - FakeRun “beg-ware”
미국을 비롯해 전 세계에서 유행한 FakeRun 악성 코드(Trojan.AndroidOS.FakeRun.a)는 어떠한 악성 행위도 하지 않는 더미 앱으로, 단지 앱 제작자가 돈을 벌 수 있게 광고만 사용자에게 보여준다. 이 악성코드는 앱을 다운로드 받은 사용자가 그 등급을 평가하기도 전에 사용자의 페이스북에 앱에 대한 정보를 공유하도록 하는 것이 특징이다.
 
◇독일 - Plangton Trojan
독일 등 유럽에서 가장 유행했던 모바일 악성 코드는 Trojan.AndroidOS.Plangton.a이다. 사용자가 확인할 수 있는 악성코드 감염의 유일한 증거는 웹 브라우저의 즐겨찾기에 몇 가지 항목이 추가된 것과 가끔씩 나타나는 광고 정도다. 감염 후 트로이목마는 해커의 명령 서버에 연결하고 사용자의 웹사이트 즐겨찾기를 수정할 뿐만 아니라 피싱 웹사이트로 사용자의 접근을 유도하는 것이 특징이다.
 
◇러시아 – 유료 과금 SMS 발송 트로이목마
러시아에서는 사용자에게 유료 과금을 유발하는 문자를 발송하는 SMS 트로이목마가 넘쳐났다. 그 예로 Trojan-SMS.AndroidOS.Opfake.bo는 인터페이스 스킨으로 위장해 배포되었지만, 실제로는 사용자 모르게 유료로 과금되는 콘텐츠에 SMS 문자를 보내는 것이 특징이다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com