천하의 iOS와 안드로이드 보안까지 뚫어버린 악성 소프트웨어의 정체

- Advertisement -
Pxhere

모바일 기기가 대중화되면서 사용자들을 노리는 멀웨어가 기승이다. 멀웨어는 타인에게 피해를 입히거나, 정보를 탈취하기 위해 만들어진 악성 소프트웨어를 부르는 명칭이다. 흔히 알고 있는 바이러스는 물론 웜, 트로이목마, 스파이웨어 모두 멀웨어에 속한다.

멀웨어는 날이 갈수록 종류가 많아지고 있으며, 침투 수단도 교묘해지고 있다. 보안업체 카스퍼스키(Kaspersky)는 지난해 적발된 멀웨어 수만 10만여개에 달한다고 밝혔다. 구글이나 애플의 앱마켓에 멀웨어가 심어진 앱을 배포하거나, 문자 메시지(SMS)를 통해 악성 앱을 배포하기도 한다.

통상 모바일 멀웨어의 표적은 비교적 개방적인 안드로이드 스마트폰인 경우가 많다. 하지만 이젠 iOS 사용자도 안심하긴 어려워 보인다. 26일(현지시간) 해외 IT 전문 매체 엔가젯(Engadget)은 안드로이드와 iOS를 감염시킬 수 있는 새로운 스파이웨어가 발견됐다고 밝혔다.

Pixabay

두 운영체제(OS)를 노리는 스파이웨어 명칭은 ‘허밋(Hermit)’으로, 이탈리아에 위치한 RCS 랩(RCS Labs)에서 만든 스파이웨어다. 최근 구글 위협분석그룹(TAG)에서 RCS 랩과 허밋에 대한 자체 조사 결과를 내놓았는데, 유포 방법이 독특했다. 사용자가 어쩔 수 없이 허밋을 내려받도록 상황을 조성한단다.

공격자는 스마트폰의 모바일 데이터 접속에 장애를 일으킨 뒤, 악성 소프트웨어 다운로드 링크가 포함된 문자 메시지를 보낸다. 문자 메시지는 겉보기엔 정상적이다. 무선 연결을 복구하는 방법으로 위장했기 때문이다. 이 같은 방법이 어렵다고 판단될 경우, 인스타그램과 같은 유명 앱으로 속여 다운로드를 유도하기도 한다.

허밋이 위험한 이유는 모듈식 구조이기 때문이다. 보안 전문 업체 룩아웃(LookOut)에 따르면 처음 사용자 기기에 침투한 허밋은 별다른 기능이 없는 상태다. 허나 방심해선 안된다. 허밋은 목적 달성에 필요한 기능을 명령제어(C2) 서버에서 하나하나 내려받는다.

Pxhere

이를 통해 허밋은 공격 대상 기기의 통화 기록, 사용자 위치, 사진, 문자 메시지에 접근 권한을 갖는다. 대상이 안드로이드 스마트폰 사용자인 경우, 루팅 권한을 부여하는 모듈도 있었다. 탐지도 쉽지 않다. 보안 탐지 회피 기능을 탑재했고, 필요한 기능만 천천히 더해가는 모듈식 구조여서다.

구글 위협분석그룹과 룩아웃 조사 결과 허밋은 구글 플레이스토어, 애플 앱스토어에서 배포되진 않았다. 많은 수의 멀웨어가 정상인척하는 앱에 숨어들어 앱마켓에서 배포되곤 한다. 허밋은 다른 방법을 택했다. 애플 개발자 엔터프라이즈 프로그램이다.

애플 개발자 엔터프라이즈 프로그램은 회사나 단체에서 사용하는 별도 앱을 배포하는 용도다. 이런 앱은 보통 앱스토어에서 내려받을 수 없다. 해외 IT 전문지 더 버지(The Verge)는 “공격자는 이 방법으로 앱스토어의 표준 심사 절차를 우회해 iOS 기기에서 요구하는 인증서를 얻을 수 있었다”고 설명했다.

Pixabay

구글 위협분석그룹은 이탈리아와 카자흐스탄에서 허밋의 사용 흔적이 발견됐다고 했지만, 다른 국가도 안심할 수 없다는 분석이 나온다. 외신 나인투파이브맥(9to5mac)은 “RCS 랩이 주요 고객으로 유럽 법 집행 기관을 언급하고 있어 다른 국가 iOS 제품도 해킹당했을 가능성이 있다”고 부연했다.

다행히 현재는 허밋에 대한 방비가 이뤄진 것으로 보인다. 외신 맥월드(MacWorld)에 의하면 애플은 지난 iOS 15.2 업데이트에서 허밋이 사용한 취약점을 보완했다. 구글은 허밋의 영향을 받을 수 있는 사용자에게 알림을 보내고, 앱 위험 요소를 진단하는 플레이 프로텍트 업데이트를 권고했다.

허밋의 발견은 아이폰 해킹으로 충격을 준 페가수스(Pegasus)와 비견된다. 페가수스는 이스라엘 업체 NSO 그룹이 만든 스파이웨어로 전 세계 정치인, 언론인, 시민단체 활동가를 염탐하는 데 쓰였다. 앱을 내려받지 않아도, 링크를 클릭하지 않아도 감염되는 ‘제로클릭’ 방식으로 유명했다.

페가수스에 이어 허밋까지 발견되면서 모바일 기기 보안에 대한 우려가 나온다. CNN은 스파이웨어를 만드는 글로벌 산업이 성장 중이라는 점을 지적했다. 보안업체 시티즌 랩(Citizen Lab)은 “이런 강력한 공격으로부터 보호하려면 갈 길이 멀다”고 했다.​

테크플러스 에디터 윤정환
tech-plus@naver.com​

랭킹 뉴스

실시간 급상승 뉴스 베스트 클릭

- Advertisement -

LEAVE A REPLY

Please enter your comment!
Please enter your name here


Related Stories