코로나19는 디지털 결제 기술이 널리 보급되는 계기가 되었다. 이동제한 조치가 사람들이 온라인으로 금융거래를 하도록 밀어붙인 셈이다.
그러나 금융위협 누적 데이터를 분석한 결과 2019년 초반부터 새롭게 창궐한 바이러스를 확인할 수 있었다. 바로 사용자의 은행계좌에서 돈을 훔치는 것이 목적인 뱅킹 트로이목마다.
샤크봇은 차세대 멀웨어라 불리는 고급 멀웨어로, 안드로이드 장비 사용자가 은행 앱에 로그인되어 있을 때, 은행 계좌로부터 은밀히 돈을 빼돌리는 뱅킹 트로이목마다. 그 외에도 자격증명과 신용카드 데이터를 훔치는 등 다른 악성 기능도 가지고 있다.
샤크봇은 구글 플레이에 등록될 당시, 아무런 악성 기능을 포함하지 않는 정상 앱으로 위장하고 있었다. 피해자 장비에 설치된 이후 업데이트를 통해 로그인 아이디와 비밀번호를 훔친다.
ATS(자동 전송 시스템) 기능은 샤크봇에 감염된 안드로이드 장비의 주인이 사용하는 은행 계좌들에게 송금이 가능하게끔 만들어주는 기능이다.
샤크봇은 피해자가 은행 계좌에 로그인할 때 정보를 미리 확보해둔다. 이후 모바일 뱅킹으로 송금할 때 은행이 요구하는 정보를 양식에 맞게 자동으로 채워 송금을 가능하게 한다. 이는 사용자가 자주 사용하던 장비로부터 이루어지는 일이기에 탐지가 힘들다.
샤크봇 개발자들은 구글플레이의 점검 및 보호 장치를 몇 번이나 피해갈 수 있었다. 그 이유는 무엇일까? 우선 시간을 지연시켜 악성 기능을 실행했으며, 본격적인 악성 기능은 외부의 명령제어 서버로부터 추가 설치했기 때문이다. 게다가 샌드박스 환경을 탐지할 수 있는 기능도 있었다.
보안업체 케르베르 센티널의 부회장 크리스 클레멘츠는 “스토어를 마냥 신뢰하는 건 위험하다”면서, “소비자 개개인이 앱을 설치할 때마다 리뷰와 다운로드 수, 개발자 정보를 꼼꼼히 확인하는 것이 중요하다”라고 말한다. 아울러 “접근성 서비스에 대한 권한을 요청하는 앱은 장애인들을 위한 특수한 경우가 아니라면 의심하고 보는 게 좋다”고 경고했다.
[제작=서울여자대학교 정보보호학과 학생회 리플라이]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>