.gif)
텔레그램 생태계에서는 각종 모드들이 유행한다. 기본 텔레그램을 바탕으로, 여러 가지 변형된 버전들이 사용자들 간에 거래되는 것인데, 여기에 해커들이 난입했다.
[보안뉴스 문정후 기자] 텔레그램이라는 유명 메신저 프로그램의 정상적인 ‘모드’들로 위장한 스파이웨어가 공식 구글 플레이 스토어에 나타나 수만 대의 장비를 감염시켰다. 일반 개개인들만이 아니라 기업들에도 거대한 위협이 될 수 있어 문제다. 다행히 지금은 구글 측에서 이러한 앱들을 찾아내 삭제해 둔 상태다.
[이미지 = utoimage]
‘모드’는 오리지널 순정 앱을 사용하기 좋거나 보기 좋게 커스터마이징 한 것으로, 인기 높은 게임이나 애플리케이션들의 사용자들은 자기들끼리 괜찮은 모드를 개발해 공유하곤 한다. 텔레그램 생태계에서도 이러한 일들이 자주 벌어진다. 다른 모드들이 다 그렇듯 텔레그램 모드들도 오리지널 텔레그램에서 제공하는 모든 기본 기능들을 갖추고 있고, 그 위에 추가 기능을 덧입혔다. 텔레그램 본사에서도 사용자들의 이러한 행위를 적극 권장한다.
하지만 최근 보안 업체 카스퍼스키(Kaspersky)가 발견한 바에 따르면 일부 사이버 악성 행위자들이 이런 텔레그램 생태계의 분위기를 악용하기 시작했다고 한다. 이블텔레그렘(Evil Telegram)이라는 악성 모드를 개발해 텔레그램 사용자들 사이에 버젓이 퍼트린 것이다. “텔레그램 사용자들 중 여러 모드를 즐겨 사용해보는 사람들이 적지 않은데, 주의해야 할 행동 패턴입니다. 이블텔레그램이라는 것까지 등장했으니까요.”
보안 업체 노비포(KnowBe4)의 에릭 크론(Erich Kron)은 “사이버 범죄자들이 일찍부터 꼬이지 않은 것이 이상할 정도의 생태계”라고 말한다. “텔레그램 만이 아니라 시그널(Signal)과 왓츠앱(Whatsapp) 등 보안을 강점으로 내세운 메신저들이 상당히 많습니다. 사이버 보안이 강점이라는 게 틀린 말은 아닙니다만 그것 때문에 일반 사용자들이 지나치게 안심하는 경향이 있긴 합니다. 종단간 암호화가 된다는 것은 보안의 여러 가지 측면 중 하나일 뿐입니다. 완벽하다는 뜻이 아니죠. 공격 방법은 얼마든지 있다는 걸 사용자들이 인지해야 합니다.”
가짜 텔레그램, 중국에서 날다
이번 이블텔레그램 캠페인에 사용된 가짜 모드들 중 여러 개가 ‘종이 비행기(Paper Airplane)’라는 이름을 가지고 있었다. 여러 지방에서 사용되는 각기 다른 버전의 중국어로 된 버전들이 있기도 하고 위구르족을 위한 버전이 있기도 하다. 자기 나라 말로 텔레그램을 사용할 수 있으면서, 오리지널 텔레그램보다 빠르다고 개발자들은 광고하고 있었다.
“이 앱들은 완벽한 텔레그램의 모드로 보입니다. 다만 지역에 따라 커스터마이징이 조금 추가되었다는 차이만 있을 뿐이죠. 텔레그램의 모든 기능이 거의 오리지널 버전과 똑같이 작동하기도 하거든요.” 카스퍼스키의 설명이다. “하지만 그 ‘조금의 추가’ 요소 중에 악성 모듈이 섞여 있었고, 이걸 구글이 심사에서 놓쳤습니다. 그도 그럴 것이 오리지널 버전과 악성 버전 사이의 차이가 크지 않기 때문입니다.”
섞여든 악성 모듈은 강력한 스파이웨어였다. 텔레그램 메신저 내에서 일어나는 모든 활동들을 감시하고, 필요한 정보를 찾아 외부로 빼돌리는 기능을 가지고 있었다. 피해자의 연락처와, 주고받은 메시지, 첨부 파일, 채팅을 하고 있는 채널 이름, 전화번호 등이 꾸준히 공격자들에게로 넘어갔다.
이런 악성 ‘모드’들은 전부 합해 6만 번이 넘게 다운로드 됐다. 피해자들이 이 앱들을 찾아 제거하지 않은 이상 계속해서 피해자의 장비에 남아 지속적으로 정보를 빼돌릴 것으로 예상된다. 위구르족을 위한 버전으로 위장된 텔레그램 모드의 경우, 중국 정부의 지속적인 인권 탄압 행위를 생각했을 때 어떤 식으로 악용될지 염려가 될 수밖에 없다. 중국 정부는 위구르족을 모니터링하기 위해 꾸준히 스파이웨어 감염을 실시해 오기도 했었다.
악성 메시징 앱들의 인기
보안 업체 크리티컬스타트(Critical Start)의 수석 연구원인 캘리 겐터(Callie Guenther)는 “이번 이블텔레그램 사태가 중국과 위구르족 사이의 문제인 것만은 아니”라고 강조한다. “모든 기업들이 반드시 염두에 두어야 할 사건입니다. 왜냐하면 회사에 다니는 사람들 중 메신저를 하나도 쓰지 않는 사람은 거의 없으니까요. 텔레그램도 꽤나 인기가 많은 메신저 앱이니, 어느 기업에나 텔레그램 사용자가 존재할 겁니다. 하지만 기업 차원에서 임직원들의 메신저들을 일일이 관리하지는 않죠. 그러다가 이런 악성 모듈을 설치하게 되면 공격자가 회사 정보까지 탈취할 수 있게 됩니다.”
임직원들의 개인 장비에 저장되는 갖가지 정보들을 생각했을 때 개인 텔레그램이나 메신저를 통해 들어오는 스파이웨어가 큰 사건으로 이어질 수 있다는 경고는 충분히 납득이 간다. 게다가 카스퍼스키는 “요즘 텔레그램의 악성 모드를 공격에 활용하는 전략이 공격자들 사이에서 서서히 인기를 얻고 있기도 합니다. 기업들은 메신저 프로그램의 사용 실태를 파악해 두어야 할 것입니다.”
모바일 스파이웨어 방어하기
카스퍼스키는 “구글 플레이 스토어에 있는 앱이라고 해서 다 믿을 만한 건 아니”라는 걸 강조한다. “아직도 너무 많은 사용자들이 구글 플레이 스토어에 있는 앱들을 맹신합니다. 구글이 알아서 악성 요소들을 걸러줬을 거라고 믿는 것이죠. 하지만 이미 수많은 멀웨어들이 구글 플레이의 점검을 통과하여 등록된 바 있습니다. 이런 사례를 알고 기억하여 공식 스토어에서조차도 앱을 찾아서 점검해야 할 필요가 있습니다.”
그러면서 카스퍼스키는 “앱의 공식 이름과 지금 내가 설치하려는 앱의 이름이 정확히 일치하는지, 개발자가 일치하는지 등을 살피라”고 귀띔을 준다. “또한 사용자들의 리뷰도 잘 살펴야 합니다. 악성 앱의 경우 먼저 설치해 낭패를 본 사람들이 부정적인 리뷰를 올릴 때가 많거든요. 설치 전에 이런 확인 과정을 꼼꼼하게 거치는 게 좋습니다.”
3줄 요약
1. 텔레그램 생태계에서는 여러 가지 모드가 활성화 되어 있음.
2. 악성 공격자들이 악성 모듈을 만들어 이 생태계에 뿌리고 있음.
3. 특히 정보 탈취와 감시를 위한 스파이웨어가 지금 많이 유포되는 중임.
[문가용 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 텔레그램이라는 유명 메신저 프로그램의 정상적인 ‘모드’들로 위장한 스파이웨어가 공식 구글 플레이 스토어에 나타나 수만 대의 장비를 감염시켰다. 일반 개개인들만이 아니라 기업들에도 거대한 위협이 될 수 있어 문제다. 다행히 지금은 구글 측에서 이러한 앱들을 찾아내 삭제해 둔 상태다.
[이미지 = utoimage]
‘모드’는 오리지널 순정 앱을 사용하기 좋거나 보기 좋게 커스터마이징 한 것으로, 인기 높은 게임이나 애플리케이션들의 사용자들은 자기들끼리 괜찮은 모드를 개발해 공유하곤 한다. 텔레그램 생태계에서도 이러한 일들이 자주 벌어진다. 다른 모드들이 다 그렇듯 텔레그램 모드들도 오리지널 텔레그램에서 제공하는 모든 기본 기능들을 갖추고 있고, 그 위에 추가 기능을 덧입혔다. 텔레그램 본사에서도 사용자들의 이러한 행위를 적극 권장한다.
하지만 최근 보안 업체 카스퍼스키(Kaspersky)가 발견한 바에 따르면 일부 사이버 악성 행위자들이 이런 텔레그램 생태계의 분위기를 악용하기 시작했다고 한다. 이블텔레그렘(Evil Telegram)이라는 악성 모드를 개발해 텔레그램 사용자들 사이에 버젓이 퍼트린 것이다. “텔레그램 사용자들 중 여러 모드를 즐겨 사용해보는 사람들이 적지 않은데, 주의해야 할 행동 패턴입니다. 이블텔레그램이라는 것까지 등장했으니까요.”
보안 업체 노비포(KnowBe4)의 에릭 크론(Erich Kron)은 “사이버 범죄자들이 일찍부터 꼬이지 않은 것이 이상할 정도의 생태계”라고 말한다. “텔레그램 만이 아니라 시그널(Signal)과 왓츠앱(Whatsapp) 등 보안을 강점으로 내세운 메신저들이 상당히 많습니다. 사이버 보안이 강점이라는 게 틀린 말은 아닙니다만 그것 때문에 일반 사용자들이 지나치게 안심하는 경향이 있긴 합니다. 종단간 암호화가 된다는 것은 보안의 여러 가지 측면 중 하나일 뿐입니다. 완벽하다는 뜻이 아니죠. 공격 방법은 얼마든지 있다는 걸 사용자들이 인지해야 합니다.”
가짜 텔레그램, 중국에서 날다
이번 이블텔레그램 캠페인에 사용된 가짜 모드들 중 여러 개가 ‘종이 비행기(Paper Airplane)’라는 이름을 가지고 있었다. 여러 지방에서 사용되는 각기 다른 버전의 중국어로 된 버전들이 있기도 하고 위구르족을 위한 버전이 있기도 하다. 자기 나라 말로 텔레그램을 사용할 수 있으면서, 오리지널 텔레그램보다 빠르다고 개발자들은 광고하고 있었다.
“이 앱들은 완벽한 텔레그램의 모드로 보입니다. 다만 지역에 따라 커스터마이징이 조금 추가되었다는 차이만 있을 뿐이죠. 텔레그램의 모든 기능이 거의 오리지널 버전과 똑같이 작동하기도 하거든요.” 카스퍼스키의 설명이다. “하지만 그 ‘조금의 추가’ 요소 중에 악성 모듈이 섞여 있었고, 이걸 구글이 심사에서 놓쳤습니다. 그도 그럴 것이 오리지널 버전과 악성 버전 사이의 차이가 크지 않기 때문입니다.”
섞여든 악성 모듈은 강력한 스파이웨어였다. 텔레그램 메신저 내에서 일어나는 모든 활동들을 감시하고, 필요한 정보를 찾아 외부로 빼돌리는 기능을 가지고 있었다. 피해자의 연락처와, 주고받은 메시지, 첨부 파일, 채팅을 하고 있는 채널 이름, 전화번호 등이 꾸준히 공격자들에게로 넘어갔다.
이런 악성 ‘모드’들은 전부 합해 6만 번이 넘게 다운로드 됐다. 피해자들이 이 앱들을 찾아 제거하지 않은 이상 계속해서 피해자의 장비에 남아 지속적으로 정보를 빼돌릴 것으로 예상된다. 위구르족을 위한 버전으로 위장된 텔레그램 모드의 경우, 중국 정부의 지속적인 인권 탄압 행위를 생각했을 때 어떤 식으로 악용될지 염려가 될 수밖에 없다. 중국 정부는 위구르족을 모니터링하기 위해 꾸준히 스파이웨어 감염을 실시해 오기도 했었다.
악성 메시징 앱들의 인기
보안 업체 크리티컬스타트(Critical Start)의 수석 연구원인 캘리 겐터(Callie Guenther)는 “이번 이블텔레그램 사태가 중국과 위구르족 사이의 문제인 것만은 아니”라고 강조한다. “모든 기업들이 반드시 염두에 두어야 할 사건입니다. 왜냐하면 회사에 다니는 사람들 중 메신저를 하나도 쓰지 않는 사람은 거의 없으니까요. 텔레그램도 꽤나 인기가 많은 메신저 앱이니, 어느 기업에나 텔레그램 사용자가 존재할 겁니다. 하지만 기업 차원에서 임직원들의 메신저들을 일일이 관리하지는 않죠. 그러다가 이런 악성 모듈을 설치하게 되면 공격자가 회사 정보까지 탈취할 수 있게 됩니다.”
임직원들의 개인 장비에 저장되는 갖가지 정보들을 생각했을 때 개인 텔레그램이나 메신저를 통해 들어오는 스파이웨어가 큰 사건으로 이어질 수 있다는 경고는 충분히 납득이 간다. 게다가 카스퍼스키는 “요즘 텔레그램의 악성 모드를 공격에 활용하는 전략이 공격자들 사이에서 서서히 인기를 얻고 있기도 합니다. 기업들은 메신저 프로그램의 사용 실태를 파악해 두어야 할 것입니다.”
모바일 스파이웨어 방어하기
카스퍼스키는 “구글 플레이 스토어에 있는 앱이라고 해서 다 믿을 만한 건 아니”라는 걸 강조한다. “아직도 너무 많은 사용자들이 구글 플레이 스토어에 있는 앱들을 맹신합니다. 구글이 알아서 악성 요소들을 걸러줬을 거라고 믿는 것이죠. 하지만 이미 수많은 멀웨어들이 구글 플레이의 점검을 통과하여 등록된 바 있습니다. 이런 사례를 알고 기억하여 공식 스토어에서조차도 앱을 찾아서 점검해야 할 필요가 있습니다.”
그러면서 카스퍼스키는 “앱의 공식 이름과 지금 내가 설치하려는 앱의 이름이 정확히 일치하는지, 개발자가 일치하는지 등을 살피라”고 귀띔을 준다. “또한 사용자들의 리뷰도 잘 살펴야 합니다. 악성 앱의 경우 먼저 설치해 낭패를 본 사람들이 부정적인 리뷰를 올릴 때가 많거든요. 설치 전에 이런 확인 과정을 꼼꼼하게 거치는 게 좋습니다.”
3줄 요약
1. 텔레그램 생태계에서는 여러 가지 모드가 활성화 되어 있음.
2. 악성 공격자들이 악성 모듈을 만들어 이 생태계에 뿌리고 있음.
3. 특히 정보 탈취와 감시를 위한 스파이웨어가 지금 많이 유포되는 중임.
[문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
