삼성의 스마트폰에 대부분 설치되는 앱이 하나 있다. 갤럭시 스토어라는 건데, 이를 통해 앱을 받아 설치하는 사용자들이라면 멀웨어에 유의해야 한다는 소식이 나왔다. 최근 쇼박스라는 이름을 가진 멀웨어들이 발견됐다가 사라졌다고 한다.

[보안뉴스 문가용 기자] 온라인 공격을 일반 사용자들이 회피하기가 점점 더 힘들어지고 있다. 특히 안드로이드 생태계에 속한 모바일 사용자들에게 이는 더더욱 사실이 되어가고 있다. 안드로이드 폴리스(Android Police)는 최근 안드로이드 생태계 중에서도 삼성 사용자들에 대한 경고를 발표했다. 삼성의 갤럭시 스토어에서 멀웨어가 발견되었다는 내용이었다.

​

[이미지 = utoimage]

안드로이드 폴리스 측은 갤럭시 스토어에서 몇 가지 앱을 탐색하는 과정 중에 이상한 앱들을 발견할 수 있었다고 한다. 쇼박스(Showbox)와 관련된 몇 개의 앱들이 특히 눈에 띄었다고 하는데, 정상적인 과정을 통해 설치를 했음에도 구글 플레이 프로텍트(Google Play Protect)가 경고 메시지를 화면에 띄웠기 때문이다.

안드로이드 폴리스의 연구원들은 이를 바이러스토탈(VirusTotal)에 대입시켰다. 그러자 10개가 훨씬 넘는 경고들이 우수수 뜨기 시작했다. 애드웨어, 멀웨어, 트로이목마, 리스크웨어 등 종류도 다양했다. 그런 가운데 통화 기록 및 연락처에 대한 접근 권한이나 전화 기능에 대한 접근 권한을 요구하는 등 과도하게 높은 권한을 요청하는 앱들도 상당수 있었다고 한다.

안드로이드 폴리스 측이 보다 심도 있게 분석을 진행한 결과 문제가 있는 앱들은 쇼박스(Showbox)라는 오래된 앱의 복사판이라는 것을 알게 됐다. 쇼박스는 오래된 영화의 해적판을 제공해 주는 불법 앱이었다. 이러한 종류의 앱들은 꽤나 최근까지 갤럭시 스토어에 존재해 있었지만 12월 30일부터 현재까지는 전부 사라진 상태라고 한다. 삼성 측에서 내부적으로 조치를 취한 것으로 보인다.

갤럭시 스토어는 삼성에서 만든 거의 모든 스마트폰에 기본적으로 설치되는 앱이다. 일반 사용자들로서는 이 갤럭시 스토어를 무조건 가지고 있어야 하며, 따라서 이 스토어를 통해 유통되는 멀웨어의 위험에 노출되어 있다. 이번에 문제가 된 앱들 역시 이러한 위협의 한 예시가 될 수 있으며, 아직 발견되지 않은 ‘위험한 앱’이 다수 있을 것으로 예상된다.

멀웨어가 포함된 앱들만 문제가 아니다. 갤럭시 스토어의 광고 관련 기술에서도 문제가 될 만한 점이 발견됐다. 동적 코드 실행이 가능하며, 그렇기 때문에 앱 자체에 악성 기능이 없더라도 다운로드 되고 실행되는 과정 중에 다른 코드가 실행될 수 있다는 것이다. 결국 공격자는 완전히 깨끗한 앱을 통해서도 나중에 악성 코드를 실행시킬 수 있다는 뜻이 된다.

이런 동적 코드 실행 기능은 정상적으로 사용될 여지가 있기 때문에 필요한 것이지만, 실상은 사이버 공격자들의 손에 악용되는 경우가 더 많다는 게 일부 보안 전문가들의 주장이다. 안드로이드 폴리스 측은 “그래서 많은 플랫폼에서 해당 기능을 차용하고 있지 않다”고 설명한다. 갤럭시 스토어 사용자들은 앱을 다운로드 받아 설치하기 전에 정보를 조금 더 꼼꼼하게 살피거나 바이러스토탈을 활용하는 게 필요하다“고 강조했다.

3줄 요약

1. 삼성의 갤럭시 스토어에서 악성 앱 유통되는 것이 발견됨.

2. 전부 쇼박스와 관련된 앱들이었고, 애드웨어에서부터 트로이목마까지 종류도 다양.

3. 현재 갤럭시 스토어에서 전부 삭제된 상태이나, 위험한 것들이 더 있을 가능성 있음.

[국제부 문가용 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=103845&page=3&mkind=1&kind=1)]