2024-03-29 14:00 (금)
모바일 악성앱 동향…금융정보 유출 앱 가장 많아
상태바
모바일 악성앱 동향…금융정보 유출 앱 가장 많아
  • 길민권
  • 승인 2015.02.15 14:23
이 기사를 공유합니다

MISCON 2015, 송지훤 KISA 선임연구원 ‘2014년 모바일 악성앱 동향’ 발표
데일리시큐 주최 2015년 모바일 정보보호 컨퍼런스(MISCON 2015)가 지난 2월 12일 한국과학기술회관 대회의실에서 정보보호 실무자 300여 명이 모인 가운데 성황리에 개최됐다. 이 자리에서 한국인터넷진흥원 송지훤 선임연구원은 ‘2014년 모바일 악성앱 동향’에 대해 발표를 진행했다.

송지훤 선임(사진)은 “2012년부터 발생하기 시작한 국내 모바일 악성앱들은 2014년에 매우 활발히 활동했다. 맥아피(McAfee) 위협 보고서를 통해 모바일 악성앱이 전세계적으로도 꾸준히 증가하고 있는 추세라는 것을 알 수 있다”며 “이는 스마트폰이 PC에 견주는 성능을 갖게 되었을 뿐만 아니라, PC보다 더 개인적인 정보를 다루고 이동성까지 갖추기 때문일 것”이라고 전했다.
 
악성앱 유포방식에 대해, 2014년 KISA에서 수집 분석 되었던 악성앱의 약 98% 정도는 SMS를 통한 스미싱으로 유포되었다. 스미싱 공격자에게는 스마트폰 사용자들이 문자 내용을 믿고 URL을 클릭하게 만드는 것이 중요하다.
 
그래서 신뢰감을 주는 정부 공공을 사칭하는 스미싱 문자 메시지들이 40%로 가장 많았고, 유명 브랜드를 사칭하는 경우도 17%나 되었다. 악성앱이 감염되면 전화번호부에 접근해서 저장되어 있는 지인들에게 스미싱 문자를 재전송 하는 경우도 있기 때문에 지인을 사칭하는 사례도 19%나 되었다.
 
악성앱 유포방식은 다양한 형태로 진화했다. 스미싱은 국민적인 이슈를 사용하는 방법으로도 사용자들의 관심을 끌었다. 예를 들어 소치 올림픽 시기에는 김연아 선수 관련 판정 불만을 이용했고 세월호 사고 때는 국민적인 슬픔을 이용했다.
 
이후 다사다난했던 2014년인 만큼 뉴스에 따라 관련 동영상 주소를 첨부했다는 식으로 관심을 끌어 악성앱의 다운로드를 유도했다. 또한 스미싱에 의한 피해 사례가 점차 알려지게 되고, 보안에 대한 국민 의식이 성장하자 악성앱 제작자는 이를 역이용하려는 시도도 보였다. 사용자에게 개인정보가 도용 당했다든지 불법 로그인이 이루어져서 경고를 한다는 등의 보안 관련 메시지를 스미싱에 사용해 악성앱을 유포했다.
 
 
그 밖에 공유기의 DNS를 변조해 악성앱을 유포하기도 했다. PC로 주요 사이트를 접속할 때 피싱 사이트로 연결시켰던 것처럼, 스마트폰을 이용해 포털에 접속할 때에도 악성 DNS를 통해 포털 앱을 위장한 악성앱을 다운받아 설치하게 유도했다.
 
악성행위에 대해서 송 선임은 “악성 앱의 대부분이 정보 유출 행위를 했고 그 중 금융 정보를 유출하는 앱이 많았다. 사용자의 스마트폰에 저장 되어 있는 공인인증서 파일을 압축해 전송하고, 사용자에게 주민등록 번호뿐 아니라 보안카드 번호, 계좌 번호와 비밀번호와 같이 금융사기에 필요한 정보들도 직접 입력 받아서 전송했다”며 “또한 인증 관련 문자 메시지를 가로채기도 하고 설치되어있는 정상 금융 앱을 지우고 악성 앱을 설치하도록 유도했다. 이 과정에서 백신 앱도 삭제하게 끔하는 치밀함을 보였다”고 설명했다.
 
이밖에 금융 회사로 전화 발신 시 위조된 전화 발신 화면을 보여주고 뒤에서는 해당 전화연결을 해제한 후 공격자의 번호로 전화가 걸리게 하는 유형도 발견되었다. 금융 상담을 위해 전화를 건 피해자는 상대가 금융 회사라고 생각하고 금융정보를 노출하여 큰 피해를 볼 수도 있는 경우였다. 
 
그리고 문자나 위치 정보 같이 민감한 개인정보를 유출하고, 전화 통화를 녹음하는 스파이 앱도 발견되었다. 외국에서는 스마트폰이 대기상태일 때 비트코인을 채굴하는 데 사용하는 악성앱도 발견된 바 있고 모바일 랜섬웨어도 등장했다.
 
또 송지훤 선임은 “악성앱들은 탐지되지 않기 위해 혹은 분석하기 어렵게 만들기 위해 다양한 방법을 사용하고 있다. 상용 난독화 툴을 사용해 중요 코드를 난독화 하고, 악성코드를 동적으로 복호화 해 로드하거나 특정 트리거를 동작시켜야만 악성행위를 시작하는 앱들도 있었다”며 “유출지를 획득하는 방법도 기존 하드코딩 방식에서 라이브러리를 사용하거나 블로그에 접속해 얻어오는 방식 등으로 발전하고 있다. 이러한 방법들은 악성앱이 탐지 시스템을 우회하기 위한 방향으로 진화하고 있는 것을 보여준다”고 말했다.
 
2014년을 돌아보면 많은 악성 앱들이 출현했고 시간이 갈수록 진화하고 있다는 것을 느낄 수 있다. 가장 큰 피해를 입힌 스미싱 같은 경우는 ‘알 수 없는 출처의 앱’의 설치를 차단하는 것만으로도 어느 정도 예방이 가능하다.
 
송지훤 선임연구원은 “한국인터넷진흥원(KISA)에서는 국내 단말 제조사와 협업해 알 수 없는 출처의 앱 설치를 영구적으로 허용하는 대신, 설치를 시도할 때마다 확인을 할 수 있도록 수정 적용 중이다”라며 “그리고 스팸으로 유포되는 스미싱 문자를 탐지해 정보유출지나 추가 다운로드지를 차단하고, 앱마켓을 감시하고 있다. 또한 진화하는 악성앱에 대응해 보다 안전한 모바일 환경을 이룩하도록 KISA도 지속적으로 노력하고 있다”고 전했다.
 
송지훤 선임연구원의 MISCON 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com
 
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★