전 세계에서 4억 2,100만회 설치된 스파이웨어 ‘Android.Spy.SpinOk’ 발견
신뢰 가능한 공식 홈페이지에서만 프로그램 다운로드, 백신 최신 업데이트도 필수
[보안뉴스 김영명 기자] ‘스파이웨어(Spyware)’란 다른 국가 또는 기업의 비밀 정보를 파헤치는 일을 하는 행위 또는 행위자라는 뜻을 가진 ‘스파이(Spy)’와 컴퓨터 ‘소프트웨어(Software)’를 합성한 단어로, ‘악의적인 행위를 하는 컴퓨터 소프트웨어’를 뜻한다.
[이미지=gettyimagesbank]
스파이웨어는 사용자의 동의 없이 컴퓨터에 몰래 설치돼 이름, 주민등록번호, 연락처 등 개인정보와 신용정보 등을 수집해 공격자의 서버로 전송한다. 이밖에도 △컴퓨터 내에 저장된 개인정보 수집 및 전송 △사용자의 행동 감시 및 전송 △파일 삭제 및 변조 △실시간 서버와 연결돼 악성코드 설치 등의 행위를 수행한다. ‘스파이웨어’는 기존에는 광고·마케팅으로 활용됐지만, 최근에는 사용자의 컴퓨터에 몰래 설치, 해킹을 통해 카드 등 금융 정보 및 주민등록번호와 같은 신상정보, 암호를 비롯한 각종 정보를 빼가는 프로그램으로 인식되고 있다.
스파이웨어 어떤 유형으로 구분되나
스파이웨어의 유형은 크게 ‘애드웨어(Adware)’, ‘키로거(Keylogger)’, ‘트로이목마(Trojan horse)’, ‘백도어(Backdoor)’ 등 네 가지 유형으로 구분된다. 먼저 ‘애드웨어’는 사용자의 단말기 등 시스템에 원하지 않는 광고를 표시하는 스파이웨어를 말한다. 애드웨어는 사용자에게 동의를 구하거나 통보하지 않고 몰래 활동을 기록하며, 이렇게 수집된 자료들을 재판매한다. ‘키로거’는 중요한 정보를 캡처하기 위해 키 입력을 기록하는 스파이웨어로, 키보드로 입력한 데이터를 중간에 가로채는 해킹 공격이다. 금융 사이트에서 로그인할 때 마우스로 비밀번호를 입력하는 것도 키로깅 해킹을 방지하기 위해서다.
‘트로이목마’는 사용자를 속여 설치하도록 유인하기 위해 합법적인 프로그램으로 위장하는 스파이웨어다. 최초의 트로이목마는 영업용 컴퓨터 유니박(UNIVAC)에서 실행되는 애니멀(ANIMAL)이라는 게임이었다. ‘백도어’는 타깃 시스템의 숨겨진 액세스 지점을 생성해 공격자가 해당 시스템을 원격으로 제어하는 스파이웨어다. 백도어는 개발·유통과정에서 몰래 탑재돼 정상적인 인증과정을 거치지 않고 보안을 해제할 수 있도록 만들어진 악성코드를 말한다.
▲해외 안드로이드에서 내려받을 수 있는 스파이웨어가 포함된 애플리케이션들[자료=닥터웹]
스파이웨어 감염시 나타나는 증상
스파이웨어는 사용자 몰래 악성 행위가 진행되기 때문에 사용자는 감염 여부를 인식하기가 쉽지 않다. 백신 탐지에 검색되는 것을 막기 위해 보안 설정을 변경할 수도 있기 때문이다.
평소와 다른 이상 증세가 느껴진다면 스파이웨어 감염을 의심해볼 필요가 있다. 예를 들어, 바이러스 또는 기기 감염에 대한 경고가 자주 표시되고, 사용하고 있는 바이러스 백신 소프트웨어가 중단되거나 실행되지 않을 때, 스마트폰의 작동 속도가 크게 느려지거나 저장공간이 크게 줄어들 때, 기기가 작동하지 않는 등의 현상이 나타날 때는 감염 여부를 의심해야 한다. CPU 사용량이 갑작스럽게 증가할 때, 처음에 설정한 브라우저 시작페이지와 다른 페이지가 열릴 때는 스파이웨어 감염을 의심할 필요가 있다.
아이폰이나 안드로이드폰 모두 공통으로 화면 우측 상단의 배터리 용량이 표시되는 곳의 옆에 불이 들어온다. 카메라와 녹음 기능을 작동시키면 초록 불 또는 주황 불이 켜진다. 하지만 특정 기능을 사용하지 않는데도 해당 위치에 녹색 불이 켜진다는 피해 사례가 올라오고 있다. 이러한 현상이 자주 발생할 때 스파이웨어 감염을 의심할 필요가 있다.
스파이웨어, 어떻게 설치되는지 살펴보니
스파이웨어는 △개발사가 무료로 배포하는 공개 소프트웨어·프로그램에 내장 △개발사가 업그레이드 기능을 이용해 설치 △개발사가 레지스트리에 접속정보 삽입 후 웹사이트에 강제 접속 설치 △이용자가 Active X 프로그램 실행 선택 시 자동 병행 설치 등의 방식으로 설치된다.
먼저 ‘개발사가 무료로 배포하는 공개 소프트웨어·프로그램에 내장’하는 방식에서는 소프트웨어 개발사가 자사의 소프트웨어를 무료 배포하면서 프로그램 일부에 광고 스파이웨어를 삽입시킨다. 이용자들은 해당 프로그램을 사용하거나 특정 웹사이트에 접속할 때마다 삽입된 광고를 강제로 보게 되고, 해당 광고 수주를 통한 수익이 개발사의 자금 마련을 위한 원천이 된다.
두 번째는 ‘개발사가 업그레이드 기능을 이용해 설치’하는 방식이다. 최근 출시되는 많은 소프트웨어는 프로그램 자체에 업그레이드 기능을 내장한다. 업그레이드 기능은 해당 소프트웨어의 업버전(Up-version) 프로그램이나 패치 파일 등을 인터넷으로 실시간 연동해 사용자 컴퓨터에 세팅된 ‘자동 업그레이드’ 아이콘을 통해 자동 또는 수동으로 보완한다. 또한, 개발사는 기존에 수집한 개인정보와 스파이웨어로 얻은 자료를 마케팅에 활용할 수 있다.
세 번째는 ‘개발사가 레지스트리에 접속정보 삽입 후 웹사이트에 강제 접속 설치’하는 방식이다. 개발사가 윈도(Windows) 레지스트리의 특정 폴더에 웹사이트 주소를 삽입하고 이용자의 웹브라우저 활성화 횟수와 일자, 시간 등을 지정하면, 이용자가 웹 서핑 때 해당 웹사이트가 자동으로 열려 광고효과를 기대하거나 스파이웨어 설치 대상으로 삼을 수 있다.
네 번째는 ‘이용자가 ActiveX 프로그램 실행 선택 시 자동으로 병행 설치’하는 방식이다. 국내 많은 웹사이트는 초기 화면에 ActiveX 컨트롤을 뜨게 해 이용자들이 ‘예’를 선택하면 ActiveX와 함께 스파이웨어도 설치된다. 다만 이용자가 설치과정을 알고 ‘아니오’를 선택한다면 사이트 접속 때마다 뜨는 팝업창에 불편이 따르게 된다.
▲안드로이드 앱에서 광고 배너를 띄우는 모습[자료=닥터웹]
전 세계에서 가장 많이 설치된 스파이웨어는?
러시아의 안티바이러스 소프트웨어 기업이자 제품명이기도 한 ‘닥터웹(Dr. Web)’은 올해 5월 29일 스파이웨어 기능이 있는 앱으로, 4억 2,100만회 이상 설치된 SpinOk 모듈을 포함한 안드로이드 앱을 발견했다고 밝혔다. 해당 앱은 안드로이드 기기 내 파일 정보를 수집해 공격자에게 전송 가능하며, 클립보드 내용을 특정 내용으로 임의 대체 또는 원격 서버에 사용자 모르게 업로드가 가능한 것으로 알려졌다. 닥터웹은 이 앱을 ‘Android.Spy.SpinOk’로 명명했다. 모듈 개발자는 마케팅용 SDK 파일로 배포 중이며, 모든 종류의 앱과 게임에 삽입할 수 있다고 분석했다.
해당 악성 SDK 파일은 광고가 포함된 웹사이트에서 실행되는 자바스크립트 코드의 기능을 확장한다. 세부적으로는 △지정된 디렉토리의 파일 목록 수집 △사용자 장치에 지정된 파일이나 디렉토리 확인 △장치에서 해당 파일 수집 △클립보드 내용 복사 또는 대체 기능을 수행한다. 닥터웹 분석가는 101개 안드로이드 앱에서 최소 4억 2,129만 300건의 누적 다운로드를 통해 이를 발견했으며, 수억 명의 안드로이드 기기 소유자가 피해를 볼 수 있다고 경고했다.
안드로이드 폰에서 가장 다운로드 수가 많으며, Android.Spy.SpinOk라는 SDK 파일을 확산하고 있는 10대 앱은 △Noizz : video editor with music(Noizz Team) △Zapya-File Transfer, Share(Dewmobile) △VFly : video editor&video maker(VFly) △MVBit Video Status Maker(De STUV) △Biugo-video maker&video editor(Noizz Team) △Crazy Drop △Cashzine-Earn money reward △Fizzo Novel-Reading Offline △CashEM : Get Rewards △Tick : watch to earn(TickTick)(이상 다운로드 수 기준) 등이다. 다만, 이 10개의 앱 중 ‘Cashzine-Earn money reward’, ‘Fizzo Novel-Reading Offline’, ‘CashEM : Get Rewards’ 등 3개 앱은 현재도 구글 플레이스토어에 등록됐지만 국내 사용은 제한된 상태다.
[이미지=gettyimagesbank]
스파이웨어, 어떻게 방지할 수 있나
스파이웨어를 방지하는 첫 번째 방법은 방화벽 사용 등 네트워크 보안을 강화하는 것이다. 또한, 출처를 알 수 없는 의심스러운 링크를 클릭하지 않고, 신뢰할 수 있는 공식 홈페이지에서만 내려받아야 하며 백신 또는 안티 스파이웨어 소프트웨어 등을 최신 상태로 업데이트해야 한다.
사용하고 있는 브라우저는 다양한 확장 기능과 모바일 앱에 부여된 (접근) 권한 등에 추가로 요구하는 기능이 있을 수 있다. 해당 요구를 확인하고, 불필요하거나 의심 가는 기능은 설치하지 않아야 한다. 스파이웨어와 멀웨어 방지를 방화벽 및 엔드포인트 탐지 및 대응 솔루션과 함께 사용하는 등 계층화된 방지 시스템으로 방어의 취약점과 허점을 사전에 차단해야 한다.
모바일에서 사용하는 모든 인바운드 이메일에 대해서는 스팸 및 콘텐츠 필터링 시스템을 업데이트하고, 다운로드된 앱을 실행 또는 내려받은 파일을 열람하기 전에는 보안 프로그램을 사용해 바이러스 감염 여부를 확인하는 것도 안전한 스마트폰 활용을 위한 과정 중 하나다.
또한, 로그인 보안 비밀번호는 영문 대소문자, 숫자, 기호 등을 포함해 강력한 암호를 사용하고, 이중 인증을 활성화해야 한다. 서로 다른 사이트에서 비밀번호를 공유하지 않으며, 중요한 데이터는 정기적으로 백업을 하며 이중으로 안전장치를 마련하는 것도 좋은 방법이다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>