지난해 말부터 그 실체가 드러난 안드로이드 기반 모바일 분산서비스거부(DDoS) 공격용 악성파일(Trojan/Android.KRDDoS)이 올해 2월까지 수시로 포착되고 있다. 문제는 이 악성파일이 국내 스마트폰 이용자들을 주요 표적으로 겨냥하고 있다는 것이며 발견된 경유지가 차단되면, 바로 또 다른 웹 사이트를 이용하는 등 지속적으로 악성 앱을 유포하고 있다는 점이다.  
 
잉카인터넷 대응팀 관계자는 “이는 공격자가 지능적으로 연속성을 유지하기 위한 나름의 노력을 하고 있다는 것을 의미한다”며 “악성파일의 생존기간과 전파범위를 확대시키기 위한 다각적 시도를 끊임없이 진행하고 있는 것을 여실히 증명하고 있다”고 설명했다.  
 
더불어 “현재까지 확보한 정황을 근거로 종합적인 상황을 예측해 본다면 공격자는 이미 사전에 매우 치밀하고 다양한 공격 시나리오와 계획 등을 수립해 놓았을 가능성이 높다”며 “또 이른바 좀비(Zombie) 스마트폰의 개체수를 일정수 만큼 확보하기 위한 교두보 확보 전략을 추진 중인 것으로 예상된다. 어느 정도 시간이 흘러 공격자가 원하는 조건이 성립되거나 전초기지격의 공격태세가 갖춰지면 좀비 스마트폰을 이용한 DDoS 공격이 현실화되는 것은 시간문제”라고 덧붙였다.  
 
안드로이드 기반의 스마트폰 이용자들은 소액결제 사기용 악성파일과 더불어 모바일 DDoS 공격 기능의 악성파일에 대한 대비도 철저히 준비해야 할 것으로 보인다. 아직 본격적인 공격 신호탄이 목격되지는 않고 있지만 예상보다 빨리 감행될 수 있을 것으로 잉카인터넷 측은 예상하고 있다.

 
그동안 발견된 악성 문자메시지들은 과감하게도 스마트폰 이동통신사의 발신번호(114)로 위장하거나 구글 코리아, 정부기관에서 배포하는 "폰키퍼", 안랩의 "모바일 V3 제품", 카카오 업데이트, 구글 코리아 안드로이드 보안 업데이트 등으로 위장하는 등 나날이 교묘해지고 다양화되고 있는 추세이다.
 
최근 연속적으로 발견되고 있는 모바일 DDoS 기능용 악성파일 전파용 문자 메시지들을 보면 문자내용은 거의 동일하면서 링크된 경유지만 변경하는 경우도 다수 목격되고 있다.
 
또한 안드로이드 업데이트 위장 문자메시지가 몇분 간격으로 6차례에 걸쳐 수신되었다. 특이하게도 문자메시지 자체적으로도 다량의 공격을 시도했다는 점이 이례적이다.
 
잉카인터넷 관계자는 “대부분 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다”며 “또한 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다”고 주의를 당부했다.  
 
데일리시큐 길민권 기자 mkgil@dailysecu.com