국내 스마트폰 이용자들 주요 표적...이용자 주의!
[보안뉴스 김태형] 지난 2012년 11월 경부터 그 실체가 사실로 드러난 안드로이드 기반 모바일 분산서비스거부(DDoS) 공격용 악성파일(Trojan/Android.KRDDoS)이 최근까지 자주 포착되고 있어 주의가 필요하다.

잉카인터넷 대응팀은 “문제는 이 악성파일이 국내 스마트폰 이용자들을 주요 표적으로 겨냥하고 있고 발견된 경유지가 차단되면 얼마 지나지 않아 또 다른 웹 사이트를 이용하는 등 악성 앱 유포를 쉽사리 멈추지 않고 있다는 점에 주목된다”고 설명했다.

이는 공격자가 지능적으로 연속성을 유지하기 위한 나름의 노력을 하고 있다는 것을 의미하고 악성파일의 생존기간과 전파범위를 확대시키기 위한 다각적 시도를 끊임없이 진행하고 있는 것을 여실히 증명하고 있다는 얘기다.

잉카인터넷 대응팀 문종현 팀장은 “현재까지 확보한 정황을 근거로 종합적인 상황을 예측해 보면 공격자는 이미 사전에 매우 치밀하고 다양한 공격 시나리오와 계획 등을 수립해 놓았을 가능성이 높고, 이른바 좀비(Zombie) 스마트폰의 개체수를 일정수 만큼 확보하기 위한 교두보 확보 전략을 추진 중인 것으로 예상된다”고 밝혔다.

어느 정도 시간이 흘러 공격자가 원하는 조건이 성립되거나 전초기지격의 공격태세가 갖춰지면 좀비 스마트폰을 이용한 DDoS 공격이 현실화되는 것은 시간문제일 것으로 잉카인터넷 측은 전망했다.

이에 따라 안드로이드 기반의 스마트폰 이용자들은 소액결제 사기용 악성파일과 더불어 모바일 DDoS 공격 기능의 악성파일에 대한 대비도 철저히 준비해야 할 것으로 보인다. 아직 본격적인 공격의 신호탄이 목격되지는 않고 있지만 예상보다 빨리 감행될 수도 있을 것으로 예상하고 있다.

그동안 발견된 악성 문자메시지들은 과감하게도 스마트폰 이동통신사의 발신번호(114)로 위장하거나 구글 코리아, 정부기관에서 배포하는 ‘폰키퍼’, 안랩의 ‘모바일 V3 제품’, 카카오 업데이트, 구글 코리아 안드로이드 보안 업데이트 등으로 위장하는 등 나날이 교묘해지고 다양화되고 있는 추세다.

아래 그림은 최근 연속적으로 발견되고 있는 모바일 DDoS 기능용 악성파일 전파용 문자 메시지들로, 문자내용은 거의 동일하면서 링크된 경유지만 변경하는 경우도 다수 목격되고 있다.

    
 
잉카인터넷 측은 “위의 그림 중 첫 번째 사례는 안드로이드 업데이트 위장 문자메시지가 몇 분 간격으로 6차례에 걸쳐 수신됐다. 특이하게도 문자메시지 자체적으로도 다량의 공격(?)을 시도했다는 점이 이례적”이라고 설명했다.

대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다.
 
또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨 것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다.

이에 대해 잉카인터넷 문종현 팀장은 “점차적으로 유포 및 감염에 있어 지능화 되는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서 ‘스마트폰 보안관리 수칙’을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법”이라고 강조했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>