루팅 스마트폰 통한 금융거래, 루팅 비활성화됐다고 안심은 금물!
루팅 단말기 타깃의 악성코드 출현 위험...루팅 위험성 홍보해야  

[보안뉴스 김태형] 임의로 OS를 조작한 루팅 스마트폰에서 최고관리자 권한을 획득할 수 있는 보안 취약점이 존재하는 것으로 나타나 이를 소지한 사용자들의 각별한 주의가 요구된다.  

일반적으로 루팅 제어 앱을 설치하고, 이를 활성화 하는 경우에만 최고관리자 권한을 획득할 수 있다. 그러나 이를 비활성화 해도 조작을 통해서 권한 획득이 가능하도록 한 취약점이 발견된 것이다.
 
공격자가 루팅 제어 앱에서 루팅 활성화 코드를 추출해 악성코드를 심어 유포하면 다른 사용자의 단말기에 이 악성 앱이 설치되고, 이를 이용해 사용자의 권한설정 앱을 조작할 수 있다.
  
    


이번 취약점을 발견한 쉬프트웍스 정영민 연구원은 “루팅 단말기에선 루팅의 활성화와 비활성화를 제어할 수 있는 앱을 설치해 이를 활성화해야만 최고관리자 권한을 획득할 수 있고, 비활성화 할 경우 이 앱에서 최고관리자 권한을 획득할 수 없도록 구현돼 있다”고 설명했다.

이어 “하지만 자사 분석팀에서 이를 분석한 결과 루팅 제어 앱인 ‘테그라크 커널’,‘SuperSu’ 등은 루팅 활성화 코드를 쉽게 추출할 수 있도록 구현돼 있었고, 이 소스코드를 다른 애플리케이션에 적용해보니 사용하는데 아무런 문제가 없음을 확인할 수 있었다”고 설명했다.

정 연구원은 “공격자가 이를 악용해 루팅 활성화 코드를 심은 앱을 유포한 후 사용자가 이를 설치하도록 하면, 최고관리자 권한을 설정하는 앱을 조작해 사용자 모르게 이를 마음대로 이용할 수 있다는 것을 확인했다”고 강조했다.

이러한 보안 취약점을 이용해 루팅된 단말기를 타깃으로 한 악성코드가 나타날 가능성이 충분히 있다는 것. 또한, 단순한 개인정보 유출이 아닌 금융거래 정보를 타깃으로 한 악성코드일 가능성이 매우 크다는 것이 그의 설명이다.

정 연구원은 “현재 관련기관의 스마트폰 안전 사용 지침을 보면 루팅된 단말기에서는 금융거래를 이용할 수 없도록 하고 있다. 하지만 루팅을 비활성화하면 정상적으로 금융거래가 가능한데, 여기에 보안상 심각한 문제가 있다”고 지적하며, “루팅을 비활성화한 경우에도 루팅된 단말기로 인식해 금융거래가 이뤄지지 않도록 관계당국과 금융기관, 그리고 모바일 백신업계가 대응조치를 취해야 한다”고 강조했다.

이에 따라 금융당국 등 관계기관은 스마트폰 사용자들이 임의로 조작된 OS 사용 시에는 보안이 상당히 취약하다는 점에 대해서 올바른 인식을 가질 수 있도록 지속적인 홍보와 교육이 필요할 것으로 보인다.

한편, 현재 쉬프트웍스의 모바일 백신인 ‘VGuard’에서는 위와 같은 보안문제를 탐지할 수 있도록 해당 기능을 강화했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>