안드로이드 악성코드 급증

[오민근]

포티넷코리아(대표 최원식)는 포티가드 랩 연구소가 발표한 보고서를 통해 지난 3분기에 안드로이드 기반의 악성코드가 폭발적 증가했다고 30일 발표했다. 이밖에 금융 정보 탈취를 목적으로 한 지트모(Zeus-in-the-mobile) 모바일 트로이 목마 바이러스가 봇넷 수준으로 진화했으며, 루마니아 해커집단이 전세계 주요 웹서버들의 취약성을 무차별적으로 조사하는 대규모 스캐닝을 시도한 것으로 조사됐다.

보고서에 따르면 지난 3개월간 안드로이드 기반 악성코드는 대규모 스팸유포 집단인 넷스카이에 견주는 수준으로 증가했다. 변종 악성코드인 'Android/NewyearL'과 'Android/Plankton'이 포티가드 모니터링 시스템을 통해 전체 악성코드 중 아태지역과 유럽 및 중동, 아프리카 지역(EMEA)에서 약 1%, 북남미 지역에서 4% 가량 감지됐다.

이 변종 악성코드는 일반적인 애플리케이션에 침입해 모바일기기 상태 창에 원하지 않는 광고를 지속 노출시키거나 국제 모바일 기기 식별코드(IMEI) 번호를 통해 사용자를 추적하거나 데스크톱 상의 아이콘을 삭제시키는 증상을 일으켰다고 보고서는 밝혔다.

이에 대해 최원식 포티넷코리아 사장은 "사용자가 직접 자신의 모바일기기에 악성코드가 포함된 애플리케이션(앱)을 설치했기 때문"이라며 "일반적으로 이러한 앱은 불특정한 광고회사와 연계해 그들이 돈을 벌 수 있도록 지원하는 경향이 있다"고 설명했다.

악성 앱은 수많은 설치 동의 약관을 포함하고 있다. 이는 자신들에게 불리한 약관을 숨기기 위한 수단이다. 이 항목 중에는 앱과는 전혀 무관한 장치 접근 동의를 요구하거나 사용자가 열어본 인터넷 페이지목록이나 즐겨찾기 데이터 및 통화기록과 더불어 시스템 로그 데이터에 접근을 허가하는 조항을 포함하고 있다.

포티넷은 안드로이드 악성 코드가 설치되는 것을 방지할 수 있는 가장 좋은 대비책으로 앱 설치시 동의약관을 꼼꼼하게 읽어볼 것을 권고했다. 또한 높은 평점이나 리뷰가 많고, 다운로드 횟수가 많은 애플리케이션만 설치하는 것도 좋은 방법이라고 밝혔다.

이밖에도 금융 정보 탈취 트로이 목마인 지트모가 안드로이드와 블랙베리의 새로운 버전 상에서 더욱 복잡한 위협으로 진화하고 있다고 보고서는 설명했다.

지트모는 금융 정보 탈취 악성코드로 인터넷 뱅킹의 토큰 인증 목적으로 전송되는 단문메시지(SMS) 상의 인증 문자를 탈취해 모바일 기기 소유자 명의의 은행계좌로 접근할 수 있는 치명적인 악성코드다. 안드로이드와 블랙베리를 위한 새로운 버전의 지트모는 일종의 봇넷과 비슷한 기능을 추가해 SMS 명령을 통해 공격자가 모바일 기기에 설치된 트로이목마 프로그램을 다룰 수 있도록 허용한다.

또한 'phpMyAdmin' 취약성을 위한 루마니아 해커집단의 웹서버 스캐닝 시도가 발견됐다. mySQL 관리 소프트웨어인 phpMyadmind이 동작하고 있는 웹서버에 접근해 해당 서버를 장악할 수 있는 툴이 루마니아 해커들을 통해 개발됐다는 것이다.

'ZmEu'라고 불리는 이 툴은 헤더부분에 특정한 문자열을 포함하고 있으며, 이는 해커그룹인 어나니머스와 룰즈섹이 작년부터 시작한 안티섹과 관련있다고 보고서는 설명했다. 대규모의 웹 스캐닝은 전세계적으로 행해지고 있었으며, 지난 9월에는 전 세계에 흩어져 있는 포티게이트의 포티가드 모니터링 시스템 중 약 25% 에서 하루에 최소 하나 이상의 스캐닝 시도가 탐지됐다고 이 회사는 밝혔다.

최 사장은 "최근의 대규모의 웹 취약성 스캐닝의 목적은 사실 그 의도를 정확하게 파악하지는 못했지만, 만약 이러한 공격이 안티섹과 관련이 있다면, 이는 감염이 된 해당서버를 분산서비스거부(DDoS) 공격을 감행하는 전초 기지로 활용해 민감한 데이터들을 갈취하려는 목적이 있을 가능성이 있다"고 말했다.