한국 안드로이드 생태계를 잘 아는 듯한 누군가가 스파이웨어를 퍼트리고 있다. 누구인지도, 그 목적도 아직은 알 수가 없다. 중요한 건 한국에서 비공식적인 루트로 안드로이드 앱을 설치하는 건 당분간 위험할 수 있다는 것이다.

[보안뉴스 문가용 기자] 새로운 안드로이드 멀웨어가 발견됐다. 폰스파이(PhoneSpy)라고 하며 최근 세계적인 문제가 되고 있는 스파이웨어 페가수스(Pegasus)와 유사한 기능을 가지고 있다. 폰스파이는 현재 한국의 주요 사용자와 조직들을 활발히 공격하고 있으며, 피해자들은 이 사실을 인지하지 못하고 있다고 한다.

 ​

[이미지 = utoimage]

폰스파이는 겉으로 보기에는 정상적인 애플리케이션처럼 보인다. 여기에 속아 설치를 하게 되면 공격자들이 모바일 장비에 저장된 각종 데이터에 접근할 수 있게 되며, 심지어 공격자가 원격에서 장비를 제어할 수도 있게 된다. 이는 보안 업체 짐페리움(Zimperium)이 이번 주 보고서를 통해 밝힌 내용이다. 하지만 폰스파이가 표적 공격에 사용되고 있는지, 무작위 공격에 활용되고 있는지는 명확히 밝혀지지 않고 있다.

짐페리움의 위협 분석가인 아짐 야스완트(Aazim Yaswant)는 “폰스파이에는 데이터 탈취 및 메시지 엿보기, 사진 열람 등의 기능을 가지고 있다”고 설명하며 “약 23개의 애플리케이션으로 위장된 채 안드로이드 생태계에서 유통되고 있다”고 말한다. 여기에는 요가 앱, 이미지 열람 앱 등이 포함되어 있다. “폰스파이는 백그라운드에서 조용히 실행되어 각종 정보를 빼돌리는데, 배후 세력은 현재까지 꽤 많은 정보를 수집했을 거라고 보고 있습니다.”

폰스파이의 또 다른 특징은 평범한 코드로 작성되어 있다는 것이다. 즉 대단히 복잡하고 높은 기술력이 뒷받침 되어야 하는 고차원적인 프로그래머만 페가수스와 같은 스파이웨어를 만들 수 있다는 게 아니다. “여태까지는 NSO그룹(NSO Group)과 같은 고급 조직들만 스파이웨어를 만들 수 있다는 관념이 있었죠, 하지만 이는 사실이 아닙니다.”

재미있는 건 현재까지 폰스파이 캠페인이 한국의 안드로이드 사용자들만을 노린 채 진행되고 있다는 것이다. 아직 공식 플레이 스토어나 서드파티 안드로이드 앱 스토어에 등장한 적도 없다. “현재까지는 소셜 엔지니어링 기법을 통해서만 전달되고 있습니다. 피해자들이 설치를 진행하면 여러 가지 권한을 허용해 달라는 요청 창을 띄우고, 카카오톡 로그인 페이지와 똑같이 생긴 피싱 페이지를 화면에 나타냅니다. 이를 통해 크리덴셜을 훔치죠. 이 크리덴셜을 가지고 한국의 싱글사인온 기반 서비스들을 공략합니다.”

설치된 폰스파이는 일종의 ‘원격 접근 트로이목마(RAT)’의 기능을 발휘한다. C&C 서버로 정보를 빼돌리고, 공격자들이 직접 장비를 제어할 수 있도록 통로를 확보한다는 뜻이다. “하지만 그 외에도 영상 녹화나 음성 녹음 기능, SMS 메시지 열람 기능, SMS 문자 전송 기능, 연락처 편집 기능, 통화 전달 기능, GPS 위치 정보 열람 기능도 가지고 있습니다. 피해자에 대한 광범위한 스파잉이 가능하다는 뜻입니다. 심지어 추가 앱을 설치하거나 삭제하는 것도 가능합니다. 즉 공격자가 보안 앱도 삭제할 수 있다는 뜻이 됩니다.”

하지만 아직까지 공격자가 누구인지, 동기가 무엇인지는 알 수가 없다. 왜 한국인만을 노리는 것인지도 불분명하다. 피해자들 사이에서도 일관성이 없다. “폰스파이는 일반 생활 앱의 외관을 갖추고 있습니다. 즉 특정 부류가 선호할 만한 앱으로서 퍼지는 게 아니라는 뜻입니다. 아직 이 공격자들에 대해 조사해야 할 것이 많습니다. 그 동안 출처가 불분명한 안드로이드 앱을 설치하지 않는 게 최선의 방어책입니다.”

3줄 요약

1. 페가수스에 버금가는 스파이웨어가 안드로이드 생태계에 등장.

2. 현재까지는 한국인들만을 주로 노리는데, 이유는 알 수 없음.

3. 일반적인 생활 앱 23가지로 위장된 채 퍼지고 있으나 공식 스토어에 등록되지는 않았음.

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=102365&page=1&mkind=1&kind=1)]​