앱 개발자들, 보안 가이드라인 무시하는 경우 있어
검증된 앱만 설치, 과도한 권한 요구할 땐 삭제

[보안뉴스 문가용] 모바일 앱은 사용하기도 쉽고 편리하다. 그래서 개발자들은 이 편리성과 사용성에 집중하여 앱을 만든다. 백엔드에 대한 고려는 자연히 2순위, 3순위로 밀려난다. 몇몇 예외도 있겠지만 아마존, 페이스북, 구글과 같은 대형 기업체들이나 되어야 백엔드 보안까지도 제공하는 게 현실이다.


▲ 앱 설치, 아직 살얼음 위를 걷는 것과 같다

올해 초 맥아피는 독일의 유명 기술 대학들과 함께 2백만 개의 앱을 백엔드 노출이라는 관점에서 분석하고 조사한 바 있다. 대부분은 보안과 거리가 멀며, 연동된 클라우드 스토리지로의 허가 없는 접근을 허용하고 있었다. 이름, 이메일 주소, 암호, 사진, 금융거래 내역, 건강 정보까지 남김없이 열람할 수 있었다. 즉, ID 도용이라든가 멀웨어 배포 등의 2차, 3차 범죄에 무방비로 노출된 상태였던 것이다.

연구를 지속한 결과 모바일 앱 개발자들 중 보안을 위한 개발 가이드라인을 완전히 무시하는 이들이 있다는 걸 알 수 있었다. 모바일 앱에는 거의 대부분 비밀 키가 임베드 되어 있기 때문에 모바일 앱의 보안에 있어서 가장 중요한 권장사항은 중요한 데이터를 기록하거나 변경할 때 다른 채널을 사용하는 것이다. 그렇지 않으면 키 하나 알아낸 것만으로도 많은 정보를 탈취하는 게 가능해지기 때문이다. 그런데 이 사항을 제대로 지키지 않는 개발자들이 상당히 많다.

다행이라면 멀웨어를 개발하는 자들 역시 이 가이드라인을 무시하고 있다는 거다. 그래서 한 번 잡힌 멀웨어를 분석하면 우리 쪽에서도 많은 정보를 알아낼 수 있었다. 위에서 언급했듯 2백만 개 앱을 분석하는데, 페이스북 파스(Facebook Parse) 백엔드와 연동이 되는 코딩의 보안 수준이 형편없는 경우가 16건 있었다. 거슬러 올라가다보니 두 개의 뱅킹 트로이 목마, Android/OpFake, Android/Marry를 발견할 수 있었다. 이에 대해 페이스북에 통보를 했고, 해당 계정은 폐쇄되었다.

이어 트로이목마를 심층적으로 분석했다. 어떤 방식으로 작동하고 어떤 정보를 노리고 있는지를 알기 위해서였다. 이 트로이목마는 러시아에서 유명한 메신저 앱인 것처럼 위장하고 있었으며 설치되는 순간 백그라운드 프로세스에서 SMS 메시지들을 가로채고 C&C 서버로 사용자의 정보를 전송했다. 특히 감염시킨 기기에 설치되어 있는 뱅킹 앱의 백엔드 서비스에 침투해 은행에서 오는 메시지를 기다렸다가 가로채 내용을 바꾸거나 재활용하는 게 주요 기능이었다.

이 트로이목마는 6월과 7월 사이에만 17만 건의 메시지를 가로챘으며, 이 메시지들 대부분은 개인의 사생활과 관련된 정보를 내포하고 있었다. 즉 은행정보를 탈취하는 것은 물론 프라이버시까지도 침해하고 있었던 것이다. 또한 이 메시지들 가운데 은행계좌번호나 심지어 비밀번호까지 노출시키는 내용도 적지 않았다. 이런 식으로 사기를 치기 위해 트로이목마는 2만 여개 이상의 명령을 실행했다. 피해자는 4만명을 넘어선 것으로 밝혀졌다.

사용자 입장에서는 이런 은밀한 멀웨어의 접근을 어떻게 방지해야 할까? 앱을 굉장히 조심해서 설치해야 한다. 그러나 사용자가 앱 목록만 보고 ‘이 앱을 설치하면 백엔드에서 무슨 일이 일어날지’ 알 수 없다. 그러므로 이미 공인된 앱만을 엄선해서 설치하는 수밖에 없다. 많은 사용자들이 이미 경험을 해봤고, 좋은 후기도 많이 나와 있는 그런 앱들 말이다. 루팅이나 그에 준하는 작업을 해야 설치가 되는 앱은 십중팔구 위험하다. 또한 앱을 설치할 때 관리자 권한을 요구하는지도 확인하는 것이 중요하다. 멀웨어들 대부분이 관리자 권한을 요구하기 때문이다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>