'안드로이드' 사용자가 알아야할 7가지 보안위협

유무선 네트워크로 구성된 사이버 공간에서 개인이나 기업의 시스템이나 단말기를 악의적인 목적으로 접근해 피해를 입히는 경우는 크게 세 가지다. 첫번째는 금전적인 이득을 노리는 경우다. 두번째는 정치나 사회적인 의사 표출이 목적으로 하는 공격이 있는데 이를 핵티비즘(Hacktivism)이라고도 한다. 세번째는 사이버 테러라고 할 수 있는  스턱스넷(Stuxnet)으로 장기간 은밀하게 활동하면서 기간시설 파괴나 국가나 기업의 정보를 수집하는 것이 목적이다.

이러한 보안위협은 대상이나 방법에 차이가 있지만 개인, 기업, 기관, 국가에 전에는 경험하지 못했던 다양한 피해를 입히며 전세계적으로 심각한 위협요소로 떠오르고 있다. 이러한 시도는 더욱 치밀하고 지속적이며 심각한 피해를 입히는 방향으로 점점 진화를 거듭하고 있다, 특히 최근에는 스마트폰 보급이 급속하게 증가하면서 보안에 상대적으로 취약한 스마트폰을 겨냥한 공격이 점차 늘어나는 양상을 보이고 있다.

시장조사 전문기관인 가트너는 올해 스마트폰 등의 휴대용 단말기를 이용하는 모바일 결제 사용자 수가 약 1억 4,110만명 결제 규모는 약 861억 달러에 이를 것으로 전망한다. 이는 지난 해와 비교할 때 사용자 수는 38.2% 결제 규모는 약 75.9%가 증가한 수치다. 이렇게 모바일 단말기에 의한 결제가 시장이 확대되면서 이들 단말기나 솔루션을 겨냥한 보안 위협도 그만큼 증가하고 있다.

이러한 가운데 시만텍이 '악성코드의 공격 동기(Motivations of Recent Android Malware)' 백서를 발표하며 모바일 플랫폼에 대한 보안 위협을 다시 한번 강조하고 나섰다. 이 보고서는 최근 들어 많은 전문가들이 보안 취약점을 경고하고 있는 안드로이드 탑재 단말기에 대한 위험요소를 분석한 것으로, 개인이나 기업들이 관심을 가지고 눈 여겨 볼만한 부분이 적지 않다.

시만텍에 따르면 지하경제에서 조차 자본주의 시장경제 논리가 대부분 그대로 적용되어, 아직까지는 모바일 플랫폼을 겨냥한 공격이 투자대비수익률이 높지 않기 때문에 PC와 비교하면 상대적으로 공격에 소극적인 것으로 나타났다. 하지만 모바일 결제 시장이 성장하고, 감염 기기당 수익률이 올라갈 경우 스마트폰을 겨냥한 보안위협이 기하급수적으로 증가할 것이라는 것이 시만텍의 설명이다. 

향후 공격자들이 투자수익률을 높이기 위한 잠재적 범죄수법으로 모바일 뱅킹용 개인정보나 모바일거래 인증번호(mTAN) 등 민감한 금융 정보를 탈취 후 판매하는 행위, 훔친 국제단말기식별번호(IMEI)를 불법 사용할 목적으로 판매하는 행위, PC 영역에서도 큰 성공을 거둔 가짜 보안 소프트웨어 판매 행위 등으로 위협을 가해올 것이라고 지적했다.

그 동안 보안 업계는 매년 모바일 기기를 겨냥한 악성코드가 증가할 것으로 전망해 왔지만 실제 등장한 모바일 악성코드는 소수에 불과했다는 일부의 지적이 있어왔다. 이 부분에 대해 백서는 모바일 악성코드 증가는 개방형 플랫폼, 보편적 플랫폼, 그리고 공격자의 동기부여 등 세가지 요건이 충족되어야 하는데, 최근 빠르게 시장점유율을 높여가고 있는 안드로이드 OS의 등장으로 앞서 언급한 두 가지 요건이 충족됨에 따라 향후 안드로이드 모바일 기기를 노린 해커들의 '투자활동'이 본격화될 것이라고 전망했다.

아울러 시만텍은 이번 백서를 통해 자사의 보안기술대응팀이 분석한 안드로이드 기기 공격자들의 7대 공격 수법을 다음과 같이 공개했다. 안드로이드를 운영체제로 사용하는 스마트폰이나 단말기를 소유한 개인이나 기업이라면 반드시 숙지하고 사용에 주의를 기울이는 것이 좋을 듯하다.

- 프리미엄 번호 과금사기(Premium Rate Number Billing): 공격자가 미리 등록해둔 프리미엄 요금제 번호로 사용자 몰래 주기적으로 SMS 메시지를 보내는 악성 앱을 개발, 배포해 부당이익을 챙기는 수법. Android.FakePlayer가 대표적. 

- 스파이웨어(Spyware): 안드로이드 모바일 기기 사용자들의 SMS 메시지, 이메일, 통화내역 등을 빼돌리고 사용자 위치를 추적, 감시할 수 있는 악성 앱. Android.Tapsnake 및 Spyware.Flexispy 등이 대표적. 관련 앱들은 약 400달러에 안드로이드 마켓에서 판매되고 있음.

- 검색엔진 포이즈닝(Search Engine Poisoning): 공격자들이 악성코드를 배포할 악의적 웹사이트를 만든 후 검색엔진 최적화 알고리즘을 이용하여 검색 결과 상위에 노출시킴으로써 사용자를 악성코드 유포 사이트로 유인하거나 원치않는 광고에 노출 또는 클릭하도록 만드는 수법

- 클릭당과금(Pay-Per-Click): 검색광고 제휴 프로그램의 경우 사용자가 제휴 사이트를 통해 특정 웹사이트에 방문할 때마다 클릭당과금이 되는 점을 악용, 공격자가 악성 앱을 통해 부정클릭이나 인위적 방문을 유도, 클릭당 일정 비율의 광고요금을 편취하는 사기 수법

- 설치당과금(Pay-Per-Install): 공격자가 다운로드나 설치 건 수에 따라 과금되는 악성 앱을 만들어 제휴 사이트에 배포후 다운로드나 설치 건당 과금하는 사기 수법  

- 애드웨어(Adware): 앱 이용시 새 창을 띄어 특정 광고를 디스플레이하거나 앱 내에 사용자 의사와 상관없이 광고를 표시토록 해 부당수익 창출

- 모바일거래 인증번호 탈취(mTAN Stealing): 온라인 뱅킹 또는 온라인으로 은행계좌에 로그인할 경우 은행들은 관련 정보가 중간에 탈취당하지 않도록 사용자가 사전에 등록해 둔 휴대폰 번호로 모바일거래 인증번호(mTAN)를 전송하는데, 공격자들이 Android.Smssniffer와 같은 악성코드로 사용자 휴대폰을 감염시킬 경우 이 인증번호 수신이 가능함

참고로 시만텍이 발표한 '최신 안드로이드 악성코드의 공격 동기' 백서 전문은 시만텍 홈페이지에서 다운로드할 수 있다.