안드로이드 모바일 악성코드를 원격 제어하는 데 구글 클라우드 메시징(GCM) 서비스가 이용된 것으로 드러났다. 이미 일부 국가에서는 GCM을 C&C 서버로 이용한 악의적인 프로그램이 상당수 발견된 것으로 알려졌다.
 
GCM은 앱 개발자가 서버에서 기기에 설치된 애플리케이션이나 크롬 앱으로 작은 크기의 패킷을 전송할 수 있도록 고안됐다. 일반적으로 이러한 패킷에는 광고 정보, 혹은 링크나 앱에서 실행되는 명령이 포함되며, 이는 종종 특정 메시지가 도착했을 때 알람으로 알려주는 기능인 푸쉬(Push) 서비스에 이용되기도 한다.
 
GCM이 공개된 지는 일년이 조금 넘었다. 그리고 이제 악성코드 개발자들이 이를 악의적으로 이용하기 시작했다.
 
해당 서비스를 이용하기 위해 우선 개발자는 애플리케이션에 대한 고유 ID를 수신해야 하고, 이는 GCM에 애플리케이션을 등록하는데 쓰인다. 등록 후 개발자는 등록된 애플리케이션이 설치된 모든 기기 혹은 기기 중 일부에 데이터를 송신할 수 있다.

 
문제는 공격자가 해킹을 통해 GCM 개발자의 계정 권한으로 악성코드나 악의적인 애플리케이션을 등록하는 것이 가능하다는 점이다. 최근 카스퍼스키랩(Kaspersky Lab)의 연구진은 이러한 방법을 통해 GCM이 C&C 서버로 이용된 사례를 발견했다.
 
이러한 트로이목마 중 대부분은 유료 과금 전화번호로 문자 메시지를 전송하는 기능을 가지고 있으며, 오프페이크(OpFake)와 페이크인스트(FakeInst) 등의 일부 트로이목마는 수신 메시지 탈취 혹은 삭제, 악의적인 사이트로의 바로가기 생성, 합법적인 앱 혹은 게임으로 가장한 다른 악의적인 프로그램에 대한 광고 게재, 휴대폰과 SIM 카드에 대한 정보와 연락처 정보를 수집해 원격 서버로의 전송 등의 기능을 수행한다. 두개의 트로이목마에 감염된 모바일의 수는 수백만대에 달한다.
 
카스퍼스키랩의 연구원인 로만 우노첵(Roman Unuchek)은 “현재 GCM을 이용하는 악의적인 프로그램의 수는 상대적으로 적지만, 이 중 일부는 널리 퍼진 상태로 서유럽, 독립국가연합(Commonwealth of Independent States, CIS), 그리고 아시아 지역의 몇몇 국가에서 다수 발견되고 있다”며, “가장 큰 문제는 감염된 경우 사용자들이 GCM을 통해 전송된 메시지를 차단할 수 없다는 것”이라고 밝혔다.
 
이를 막기 위한 유일한 수단은 악의적인 방식으로 GCM을 이용하는 개발자 계정을 차단하고 이러한 앱과 관련된 GCM ID들을 삭제하는 것이다. 즉, 이는 구글에서 취해야 하는 조치이기 때문에 구글의 보다 신속한 대처가 요구되고 있다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com