모바일기기의 보급이 급격히 늘고 모바일을 이용한 금융 거래도 활발해지고 있는 가운데 모바일 공간에서의 바이러스 창궐 가능성이 제기되고 있다.
지금까지 PC의 전유물로 여겨졌던 바이러스가 휴대폰으로 확산되는 것은 고성능 휴대폰의 보급이 늘어나면서 파일을 다운로드하고 e메일에 첨부된 파일을 열어보는 일이 일상사가 되었기 때문이다.
다행히 아직 국내에서는 피해 사례가 없었지만, 2000년 1월에 처음 발견된 휴대전화 바이러스는 이미 미국과 중국, 러시아 등 20여개국으로 확산되었고, 다양한 변종까지 나타나 멀티미디어 메시지 서비스(MMS)를 통해 빠르게 전 세계로 퍼지고 있을 뿐만 아니라, 각종 모바일 콘텐츠는 악성코드 기생 및 전파의 온상이 되고 있어, 휴대전화 천국인 우리나라는 이제 안전지대가 아니다.
기존의 휴대폰에 전자메일과 인터넷접속 기능을 부가한 PC나 다름 없는 휴대폰인 스마트폰이 국내에 본격적으로 출시되면서 모바일 바이러스에 대한 취약성은 더욱 심각해지고 있다.
몇 해 전 컴퓨터에서나 대두되었던 보안문제가 그대로 휴대폰에서 재현되고 있어, 휴대폰에서도 매일 안티바이러스 솔루션을 업데이트해야 할 시대가 도래하고 있는 것이다.
1. 휴대폰 바이러스의 사전적 의미
통신회선을 통해 컴퓨터에 침입하여 소프트웨어나 기억 데이터를 파괴하는 컴퓨터 바이러스와 마찬가지로, 무선이나 첨부 파일등의 형태로 휴대폰에 침입해 프로그램이나 데이터를 변형․파괴하는 악성프로그램을 일컫는다. 휴대폰이 컴퓨터화 되고, 네트워크로 연결되면서 나타난 모바일 바이러스를 말한다.
2. 바이러스 감염 현상
현재 휴대폰 바이러스는 사용자 정보나 사용자가 저장한 응용프로그램을 변경 또는 삭제, 유출하거나 사용자가 요청하지 않은 데이터를 계속 요청하고 시스템 리소스(자원)를 끊임없이 소모해 단말기 성능을 떨어뜨리는가 하면 사용자 주소록을 이용해 임의로 다량의 문자메시지를 보내는 등 PC 바이러스와 비슷한 증상을 보인다.
휴대폰 환경에서 웜/바이러스 감염시 피해를 요약하면 아래와 같다.
- 사용자 데이터베이스, 전화번호 정보 등을 임의로 변경하거나 삭제한다.
- 사용자의 디바이스 설정을 초기화한다.
- 사용자가 저장한 응용프로그램을 임의로 삭제한다.
- 사용자가 요청하지 않은 데이터를 계속 요청하는 무한 루프를 발생시킨다.
- 시스템 리소스(메모리 등의 자원)를 끊임없이 소모하고 OS의 속도를 저하시킨다.
- 사용자 데이타베이스를 이용하여 임의로 다량의 메세지를 전송한다.
- 단말기로부터 들어오는 콜 신호를 거부하거나 조작하여 기지국이 단말기의 위치를 파악 하지 못해 전화기 본래의 기능을 수행하지 못하도록 한다.
- 통신사업자 데이터 센터의 게이트웨이/서버군 내부 네트워크 트래픽을 증가시킨다.
- 바이러스에 감염된 무선 응용프로그램의 집단 거주를 발생시킴다.
- 무선 응용프로그램을 가장, 통신사업자의 데이터 센터를 공격하는 바이러스에 의해서 백 도어 생성 및 해킹이 자행된다.
3. 발견된 바이러스
가. SMS 악성 코드
○ 2000년 1월, 노르웨이
특정 SMS 메시지가 휴대폰으로 전달되어 이를 읽어볼 경우 휴대폰 작동을 정지시키고, 휴대폰 배터리를 탈착한 후 재 장착해야 정상적인 이용이 가능해지는 악성코드가 노키아 (Nokia) 휴대폰을 타켓으로 출현되었다.
나. 티모포니카(Timofonica)
○ 2000년 6월, 스페인
텔레포니카(세계 49개국에서 7800만명의 고객에게 서비스를 제공하고 있는, 1924년 4월 19일 설립된 스페인의 민간 통신회사)의 GSM(Global System for Mobile ommunication , 유럽전기통신표준협회(ETSI)가 표준화한 디지털 셀룰러 시스템) 무비스타(Moviestar) 서비스로 @correo.moviestar.net이라는 기본주소에 텔레포니카 지역코드와 무작위로 추출한 6자리 번호를 붙여 전자메일 형식으로 전파된 VBS(Visual Basic Script)형 웜바 이러스로, 감염되면 휴대폰에 저장된 전화번호를 무작위로 선택해서 문자메시지를 다시 전송하므로, 사용자들은 자신의 휴대폰이 자기도 모르게 통화중이라는 것을 알고 나서야 감염되었음을 확인하게 된다.
다. I-Mode 악성 코드
○ 2001년 6월, 일본
I-Mode(일본 NTT DoCoMo의 무선 인터넷 서비스 표준) 애플리케이션내의 악성 코드로, 감염되면 사용자들에게 “인터넷 버튼을 누르라”는 짧은 메시지 서비스(SMS)가 나타나고 , 메시지에 따라 인터넷에 접속하면 자동으로 응급서비스 110번(한국의 119)과 연결되 도록 한 이메일 바이러스.
라. Cabir(카비르, 캐비어)
○ 2004년 6월, 러시아
노키아, 모토롤라가 만든 Symbian(1998년 6월 설립된 영국 회사, “심비안”이라 발음) 의 Symbian TM OS(Symbian사가 소유권을 가지고 있는 스마트폰 운영체제, 현재 전 세계 스마트폰 OS 시장의 70% 이상을 점유하고 있으며, 세계 유수의 핸드폰 제조회사 인 Samsung, Nokia, Motorola, Matsushita, Sony Ericsson, Siemens, Panasonic, Sendo 등 대부분의 주요 업체들이 License를 이용하여 운영체제로 사용)하의 스마트폰 에서 발견되었으며, 휴대폰 바이러스가 제대로 된 웜의 형태로 나타난 최초라 볼 수 있 다.
외형상 타인이 자신의 휴대폰을 무단으로 사용할 수 없게 하는 보안용 유틸리티 파일인 것처럼 위장하고 있는데, 감염되면 휴대폰을 켤 때마다 액정 화면에 “Caribe”라 표시하 며, 이후 전화가 올 때마다 바이러스가 작동한다.
Cabir는 감염되어 있는 동안 블루투스(Bluetooth)에 의해 접속할 수 있는 디바이스를 발견하면(블루투스 기능이 탑재된 감염 휴대폰이 또 다른 블루투스 휴대폰 옆에 다가가 면) Bluetooth 통신을 통해 인근의 다른 휴대폰으로 자신의 복사본 파일인 Caribe.sis를 전송하므로 전염성이 매우 강하지만, 감염 직후에 “시스템을 재 부팅하라”는 메시지가 뜨기 때문에 이를 알고 조심만 하면 전염을 막을 수도 있다.
블루투스 전송 거리는 통상 30피트(9.14미터) 정도로 그 주변에 있는 무선기기간에서만
전파된다.
바이러스 제작그룹인 “29A”가 만든 것으로 추측되며, 29A는 이에 대해 자신들의 웹사 이트에서 "바이러스를 만드는 것은 재미와 취미 차원이며 다른 사람들에게 피해를 입히 기 위한 것이 아니다"고 괴변을 늘어놓았다.
마. Skulls(스컬)
○ 2004년 11월
Symbian 운영체계를 바탕으로 하는 휴대폰의 기능을 마비시키는 trojan horse(트로이 목마)의 변종으로써, 심비안 쉐어웨어 사이트에 [확장 테마 관리기]로 위장되어 올라와 확산되었는데, 감염되면 휴대폰이 작동하지 않고 모든 아이콘이 해골로 바뀌는 현 상이 나타난다.
Skulls는 휴대폰이 다른 기기보다도 바이러스의 공격에 더 취약함을 보여주는데, Skulls 의 두 번째 버전인 스컬.B는 Cabir의 변종인 Cabir.B 웜도 포함하고 있어서, 스컬.B에 감염된 휴대폰은 인근의 다른 휴대폰에도 카비르를 옮기게 된다.
바. Lasco(라스코).A
○ 2005년 1월
이전에 발견된 휴대폰 바이러스는 무선이나 첨부파일 중 한 가지 형태로만 유포되었지만 Lasco.A는 심비안 운용체계를 사용하는 휴대폰용 애플리케이션 파일에 첨부되어 유포되 므로 휴대폰 사용자가 파일을 단말기에 설치하면 곧바로 활성화되며, 특히 Bluetooth 무선기술을 사용하는 휴대폰에는 바로 자신을 복제(자기 스스로를 첨부해 무선을 통해 전파)할 수도 있다.
감염되면, 특정번호로 전화를 걸거나 주소록에 있는 번호로 스팸을 보내는 등 문제가 발 생된다.
사. Comm Warrior(컴워리어)
○ 2005년 3월, 인도네시아
Cabir를 능가하는 신종 trojan horse로써, 노키아의 주소록 관리용 소프트웨어를 감염시 켜 주소록 중에서 전화번호를 무작위로 추출한 다음, 자신의 복사본을 첨부한 문자메시 지를 보내는 방법으로 퍼뜨리기 때문에, 전화요금 부담도 늘어난다.
그러나 수신자가 메세지를 확인하고 첨부 파일을 다운로드해야 트로이 목마가 구동될 수 있으므로 감염방지가 상대적으로 용이하나, Symbian의 정상적 소프트웨어 업데이트 혹 은 포르노 사진 메시지 등을 사용해 유포되기 때문에 각별한 주의가 요구된다.
Cabir가 단지 Bluetooth를 통해 자신을 복제하는 것과는 달리, 노키아 60시리즈 휴대폰 에서 구동되는 Symbian OS에 탑재돼 Bluetooth 무선 연결과 MMS를 이용하기 때문에 Cabir보다 확산 범위와 속도가 빠르다.
Comm Warrior는 노키아 휴대폰 뿐 아니라 MMS를 이용하는 모든 휴대폰이 대상이다.
※ Cabir가 등장한 2004년 6월 이후 휴대용 기기를 노리는 악성 코드는 위에서 언급한 것 을 비롯하여 Cabir-H와 Cabir-I 등 변종 까지를 포함하면 20여개가 출현한 것으로 집계 되고 있다.
이 중 대부분은 극소수 사용자에게만 영향을 미치거나 단순히 휴대폰에도 바이러스를 감 염 시킬 수 있다는 것을 증명해 보이는 코드 수준에 지나지 않았지만, 초고속 무선네트 워크로 인하여 곧 실제적인 위험으로 다가올 것으로 보인다.
다만, 우리나라의 경우에는 유럽식 GSM 단말기에서 사용하는 Symbian 운영체계와 달 리 CDMA 방식의 것을 채택하고 있고, 국내 이동통신 업체의 경우 단말기 플랫폼이 저 마다 다른데다가 Bluetooth 내장도 일반적이지 않아, 현재까지는 휴대폰 바이러스나 trojan horse 및 worm에 의한 피해는 발견되지 않고 있다.
4. 대비책 추진
노키아와 소니 에릭슨 양사는 모두 OS로 Symbian을 사용하는데도 Comm Warrior가 노키아 휴대폰은 감염시켰지만 소니 에릭슨사의 휴대폰은 감염시키지 못하였음으로 알 수 있듯이, “플랫폼이나 제품에 전혀 상관없이 단기간에 엄청난 수의 기기를 마비시킬 수 있는 악성 코드를 만든다는 것은 어려운 일”이라는 낙관론도 없지 않다.
그러함에도 불구하고 휴대폰용 백신에 관심을 두지 않을 수 없는 이유는 미래에 있을 수 있는 더 큰 위험에 대비하고자 함이다.
컴퓨터에 버금가는 기능을 지닌 차세대 고성능 휴대폰이 등장하면서 네트워크에서 24시간 연결되어 있는 휴대폰을 통해 바이러스나 웜 등이 단숨에 전 세계로 확산될 위협이 점점 높아지고, 휴대폰 바이러스도 PC 바이러스처럼 진화해 언젠가는 예상치 못한 심각한 문제를 낳을 수도 있을 것이라 보기 때문이다.
휴대폰을 사용해 상품을 거래하고 비밀 정보를 공개하며 온라인 뱅킹을 이용하는 사용자 수가 날로 증가하고 있어 더 많은 휴대폰이 악성코드의 타켓이 될 것이고, 각종 콘텐츠를 다운로드받는 과정을 틈타 잠입한 다양한 웜이나 바이러스는 휴대폰이 저절로 꺼지게 하고 사용자가 잠들어 있는 동안에도 스스로 문자 메시지를 전송하거나 유료 전화를 걸고 있을 것이다.
모바일을 중심으로 하는 유비쿼터스 환경을 겨냥한 웜의 급증은 이제 시작에 불과할 뿐이다.
세계적으로 유수한 보안 소프트웨어업체, 이동통신사 및 휴대기기 제작사가 현재까지 구현하였거나 앞으로 실현을 목표로 추진하고 있는 대책(가장 많이 이용되는 수단은 통신서비스 사업자를 통해 단말기에 백신을 다운로드하거나 PC와 마찬가지로 휴대폰 출시 때부터 번들로 공급하는 방법이다)에 대하여 알아본다.
○ 노턴 안티바이러스로 낯익은 보안소프트웨어 업체인 시만텍 (www.symantec.com)은 MS 윈도우 모바일 기반의 PDA 및 노키아의 휴대폰에 사용할 바이러스 소프트웨어를 개발하였다.
○ 안철수연구소는 자회사 IA시큐리티를 통해 국내 가전업체와 아파트 건설업체에 홈네트워 킹분야의 보호 솔루션을 개발, 제공했다.
○ SK텔레콤은 안철수연구소, 안랩유비웨어와 안티 바이러스 백신 V3Mobile을 공동 개발, 가입자가 무선인터넷으로 다운로드하여 설치함으로써 한국형 무선인터넷 플랫폼인 WIPI
(Wireless Internet Platform for Interoperability, 이동전화 단말기에서 PC의 운영체계와 같은 역할을 하는 기본 소프트웨어) 기반의 모든 파일을 대상으로 수동검사, 실시간 검 사(실행되는 파일의 진단 및 치료), 엔진 업데이트(백신엔진의 상태를 항상 최신으로 유 지), 검사기록의 관리 등을 할 수 있도록 하였다.
○ KTF, LG텔레콤은 이동통신에서의 프로그램과 콘텐츠 유통은 통신사업자 서버를 경유해 야 하는 폐쇄적 구조기 때문에 사용자가 바이러스를 침투시킬 가능성이 거의 없을 보고 통신사업자의 네트워크 통제에 중점을 두어 하우리(http://www.hauri.co.kr)와 바이러스 유통경로를 차단하는 방법으로 개발하고 있다.
○ 뉴테크웨이브(http://www.virusdesk.com)는 2006년 상반기 중 출시를 목표로 모든 휴대 폰에서 범용적으로 사용할 수 있는 모바일 백신을 개발 중에 있다.
○ 한국맥아피는 펌웨어 개발 전문 기업인 이노패스소프트웨어(http://www.innopath.com), 인텔과 공동으로 2005년 4월, 무선으로 휴대폰을 진단하거나 소프트웨어를 업그레이드 할 수 있는 OTA(over to air) 기술을 활용한 안티 바이러스 솔루션을 개발했다.
○ 시만텍은 Symbian OS를 채택한 휴대폰 및 스마트폰에 대한 바이러스, 트로이목마, 웜 은 물론 네트워크 행위까지 방어할 수 있는 모바일 시큐리티 4.0 솔루션을 개발했다.
○ 트렌드마이크로(http://www.trendmicro.com)는 2006년 상반기 중 상용화를 목표로 새로 운 바이러스가 나올 때마다 문자메시지를 고객에게 보내어, 유료로 업데이트할 수 있게 하는 모바일 백신을 개발 중(거의 완료 단계)이다.
○ SK텔레콤은 개방형 스마트폰의 본격적인 보급에 대비하여, 2005년 7월말부터 마이크로 소프트의 윈도우 모바일 운영체제(OS)하에서 출시하는 스마트폰에 대해, 스마트폰에서 콘텐츠를 다운로드할 때 해당 프로그램의 출처와 악성코드로부터 감염돼 있지 않다는 것을 검증해 주는 코드 사이닝(Code Signing) 서비스를 시작했다.
5. 사용자 유의사항
모바일 게임이 인기를 끌면서 사용료를 지불하지 않고도 휴대폰으로 게임을 옮기는 불법 모바일게임 전송 프로그램이 등장했다. 이렇게 국내에서 모바일 기기용 불법 복제 프로그램이 나돈다는 것은, 우리나라도 이미 휴대폰 바이러스나 웜의 무대가 되기 시작했다는 것이다.
물론, 이동통신업체들은 휴대폰 바이러스가 급격히 증가한다 해도 무선으로 안티바이러스 패치를 제공하여 신속히 대처할 것이고, 모바일 운영체제에 디지털 인증을 적용하여 인증 받지 않은 코드의 확산을 막음으로써 피해를 줄이려 부단히 노력할 것이다.
그러나 악성코드의 피해를 막고 확산을 봉쇄하는데 있어서 1차적인 역할을 맡아야 할 계층은 바로 사용자 자신임을 간과하지 말아야 한다.
Cabir, Comm Warrior같은 악성 코드에 감염된 초기에는 사용자들의 조그만 주의로도 피해를 줄일 수 있고, 디지털 인증을 사용하면 신뢰할 수 없는 애플리케이션이 설치되려고 할 때 경고 메시지가 나타나므로 무심코 지나치지만 않는다면 현명하게 대처할 수 있다.
옛날엔 악성 코드를 만드는 자들의 목적이 명예(?)에 있었다고들 하지만, 지금은 금전적 이득에 목적을 두고 있음을 스스로 천명하고 있다는 것에 주목해야한다.
6. 향후 전망
향후 다가올 유비쿼터스 환경을 감안하면, 지금 드러나고 있거나 예상되고 있는 우려들은 아주 경미한 수준에 불과한 것인지도 모른다. 그렇다고 하여 바이러스나 보안에 대한 두려움 때문에 휴대폰의 활용이나 선택의 폭을 줄일 수도 제약받을 수도 또한 없다.
스마트폰의 경우에는 기존 휴대폰과 달리 인터넷 운영체제가 오픈형이기 때문에 누구나 콘텐츠를 제작해 사이트에 올려놓으면 자유롭게 다운로드해 사용할 수 있어서, 유무선 환경이 연동되어 Web to Phone 메일 서비스로 Web에서 메일을 다운로드 받게 될 때 Web에서 휴대폰으로 배포된 악성 코드가 Phone to Phone으로 전파되고, 이는 다시 Phone to Web으로 확산되는 악 순환이 되풀이 될 것이다.
따라서 스마트폰의 보급이 확대되면 클라이언트 기반의 안티바이러스 소프트웨어로는 사후 처리에 불과하게 되어, 네트워크의 트래픽과 동작의 이상 유무를 추적하는 등 네트워크 계층에서의 방책이 강구되어야 할 것이다. 바이러스 차단 대책은 네트워크에 보다 향상된 인공지능을 구현하는 것으로 강화되어야 하고, 개별 기기에서의 차단은 최후의 보류여야 한다는 것이다.
또한 사용자가 무선인터넷 상에서 바이러스로 의심되는 파일에 대한 분석을 직접 요청하여 실시간으로 조치 받을 수 있는 응급 바이러스센터도 다각적으로 운영되어야 한다.
유비쿼터스 환경이 상상할 수 없는 생활의 편의를 가져다 줄 것은 분명하지만, 악성 코드에 대한 대비책이 소홀할 경우에는 상상할 수 없는 재앙 또한 피할 수 없게 될 것이다.