스마트폰 트로이목마 ‘범람’·샤오미 사용자 정보 유출 등

[보안뉴스 온기홍=중국 베이징] 중국 정보보안 회사인 치후360은 자사 ‘350인터넷보안센터’의 조사를 통해 지난 제2분기 중국 내 모바일 보안과 관련해 사회적 파장과 관심이 컸던 사건과 사고들을 뽑아 발표했다.


모바일 결제류 스마트폰 트로이목마 ‘범람’
중국에서도 모바일 결제 서비스 및 이용자의 확산에 따라 결제와 관련한 스마트폰 애플리케이션(이하 앱) 수량이 급증했다. 그러나 동시에 △모바일뱅킹 업그레이드 조수 △중국 최대 온라인 쇼핑몰 ‘타오바오’ △중국판 카카오톡인 ‘웨이신(WeChat)’ △유명 온라인 쇼핑몰 ‘징동’ △중국 최대 온라인 결제서비스인 ‘즈푸바오(Alipay)’ 같은 대표적인 모바일 뱅킹·구매·결제 앱들은 트로이목마의 공격 목표가 됐다.

지난 2분기 치후360의 이동전화 보안프로그램이 탐지한 △셔우인(모바일뱅킹) 귀셔우 △댜오위 무마(피싱 트로이목마) △쟈먠 인제이(가면 은행 도둑) △귀롄 인제이(마스크 은행 도둑) △티쓰귀 트로이목마 2세대 등은 대표적인 결제류 트로이목마로서 이동전화 사용자의 결제 안전을 위협했다.

이 가운데 ‘셔우인 귀셔우’란 이름의 트로이목마는 ‘온라인뱅킹 업그레이드 조수’로 위장했으며, ‘피싱 트로이목마’는 ‘즈푸바오’ 제거 프로그램으로 가장했다. ‘가면 은행 도둑’이란 트로이목마의 경우, ‘타오바오’ 모바일 앱의 ‘주문 실패’를 사칭해 환불을 요구하는 수법을 쓴다.

또 ‘티스귀 트로이목마 2세대’는 공식 ‘징동 모바일 앱’으로 사칭해 백그라운드에서 몰래 금액 결제와 관련된 모든 메시지를 탈취해 해커에게 보내는 것으로 밝혀졌다. ‘마스크 은행 도둑’이란 트로이목마는 모바일 채팅 앱 ‘웨이신’의 금액 결제 아이콘으로 위장해 사용자를 속인다.

이들 트로이목마는 모두 스마트폰 사용자를 꾀어 금액 결제와 관련된 중요 정보들을 기입하게 한 다음, 이를 메시지나 전자우편 형식으로 해커에게 보낸다. 또한 트로이목마들은 스마트폰 메시지로 수신되는 결제 관련 인증번호를 차단하면서 사용자의 모바일 뱅킹 내 금전을 훔치는 것으로 드러났다.

‘도청 대도둑’ 계열 트로이목마, 스마트폰 통화·메시지·위치정보·사진 빼내
지난 4월 30일 치후360의 360인터넷보안센터는 ‘치에팅 따따오(도청 대도둑)’이란 이름의 이동전화 트로이목마를 탐지했다. 이 트로이목마는 토론정보 사이트 링크와 2차원바코드 스캐닝 방식을 통해 스마트폰 사용자를 속여 단말기에 설치하게 한다. 일단 스마트폰에 설치되면 단말기는 자동으로 재부팅을 한다. 하지만 스마트폰이 재부팅 된 뒤 바탕화면에는 새로 늘어난 아이콘이 표시되지 않는다.

이 ‘도청 대도둑’ 트로이목마는 스마트폰 사용자의 통화 내용과 배경음을 몰래 녹음할 뿐 아니라 카메라를 조정해 스마트폰 주변의 환경을 몰래 촬영한다. 또 스마트폰내 주소록과 통화기록, 메시지 내용 등 중요 내용들을 훔치고 사용자의 위치정보를 파악하며, 이들 정보를 트로이목마 제작자의 전자우편함으로 보낸다. 동시에 스마트폰 내 설치 전에 설비관리기를 활성화했기 때문에, 사용자는 이 트로이목마를 정상적으로 제거할 수 없다고 치후360은 설명했다.

탐지된 ‘도청 대도둑’ 트로이목마 2세대는 △전화걸기 △WiFi 만능 키 △중국 최대 온라인 검색사이트 ‘바이두’ △91조수 △타오바오(Taobao)를 비롯한 141종에 이르는 정품 S/W로 가장해 스마트폰 사용자를 속여 단말기에 내려 받게 한다.

치후360은 “이들 악성 프로그램은 부팅 후 ‘자동 활동 개시’, ‘정해진 시간 촉발’, ‘메시지 촉발’ 등 세 가지 방식을 통해 감청 행위를 벌인다”며 “일단 촉발이 되면, 악성 프로그램은 시스템 내장 리스트에 들어갈 수 있고 스마트폰 사용자는 이를 정상적으로 제거할 수 없다”고 밝혔다.

800만명 ‘샤오미’ 스마트폰 사용자 정보 유출
지난 5월 13일 저녁, 중국판 트위터인 웨이보어(Weibo)에서 중국산 인기 스마트폰 ‘샤오미’의 토론정보 사이트 가입자들의 정보가 담긴 데이터베이스가 유출된 것으로 알려졌다. 중국 ‘우윈 취약점 보고 플랫폼’이 확인해 밝힌 내용에 따르면, 유출된 샤오미 토론정보사이트 내 공식 데이터베이스는 샤오미 스마트폰과 MIUI 시스템 등을 쓰는 사용자 800만명의 정보를 담고 있다.

이들 데이터는 샤오미의 ‘클라우드 서비스’에 들어가 더 많은 민감한 정보들을 훔치는 데 쓰일 수 있는 것으로 밝혀졌다. 이와 동시에 주소록, 메시지, 사진, 위치정보를 얻을 수 있고 단말기 잠금 및 정보 삭제 등까지 가능하다.

온라인에서 떠도는 샤오미 데이터베이스로 판단해 볼 때, 비밀번호 관련 데이터는 보호 조치가 취해졌으며, 해커가 비밀번호를 복원할 확률은 70%~80%（간단한 비밀번호는 쉽게 해제）정도인 것으로 정보보안 업계는 파악했다.

이번에 유출된 데이터는 불법 세력이 사기를 행하는데 악용될 우려가 크다. 많은 ‘샤오미’ 사용자들은 웨이보어와 토론정보사이트의 피드백을 통해 ‘01053799231’과  ‘02160544527’ 같은 번호에서 걸려오는 전화를 받았는데, 성명과 주소, 전화번호, 쇼핑 기록 등 정확한 정보를 제공하게 되면, 해커는 ‘물품을 받은 다음 대금을 지불하는’ 방식으로 사기 행위를 벌일 수 있다.

‘중국 이동전화 방해·사기 반대연맹’ 정식 설립
지난 5월 19일 중국 온라인 정보보안 회사인 치후360은 정보, 법제만보, 신문신보, 남방도시보, 해협도시보 등 중국 50여개 주류 매체와 연합해 ‘중국 이동전화 반(反)방해·반(反)사기 연맹’ 설립을 정식 발표하고 ‘방해 전화’에 대해 전쟁을 선포했다. 연맹은 전국 각지의 매체를 통해 방해성 전화번호를 공개하면서 이동전화 사용자들의 관심을 불러 일으켰다.


연맹은 이날 ‘519 이동전화 공익 행동’에도 정식 착수했다. 이 ‘공익 행동’은 연맹과  ‘이동전화 사기 선(先)배상 서비스’를 통해 △이동전화 보안솔루션 업그레이드 △400개 도시 10만개 전문점내 이동전화기 무료 수리 △온라인 전문가 수시 응답 등 3대 조치를 벌이면서 이동전화 이용자의 모바일 보안 문제 해결을 돕고 있다.

NFC 이동전화, 은행카드 정보 스캐닝 가능
지난 6월 초 웨이보어와 웨이신이 ‘친구그룹’ 등 SNS에서는 “근거리 무선 통신(NFC) 기능을 가진 이동전화기를 은행카드에 대면, 비밀번호 입력 필요 없이도 거래 기록을 확인할 수 있다”는 내용이 널리 퍼졌다. NFC 기능을 켠 스마트폰을 IC칩 내장 은행카드로부터 3센티미터 안에 대면, 비밀번호 없이도 스마트폰으로 은행카드의 최근 거래 기록을 확인할 수 있다는 내용이다.

이에 대해 은행의 고객서비스팀은 “NFC 기능을 보유한 스마트폰이 은행카드 정보를 스캐닝해 낼 수 있지만, 그 스캐닝 한 정보는 제한적이고, 결제 안전에도 영향을 끼치지 않는다”고 주장했다. 은행 업무 표준에 따르면, 텔레뱅킹을 통해 금전 거래 사기 행위를 할 수 없고, 금융 IC카드를 복제할 수 없다는 게 은행 쪽 설명이다.

하지만 NFC 결제 안전에서 가장 우려를 낳는 것은 이른바 ‘중개자 공격’라고 정보보안 업계는 강조하고 있다. 즉 해커 등이 스마트폰 상에 모종 형식의 스파이 웨어나 악성 S/W를 설치해 해당 스마트폰을 감염시킬 뿐 아니라 데이터를 훔칠 수 있고, 탈취한 은행카드 정보와 결합해 스마트폰 사용자의 자금을 빼낸다는 것이다.

정보보안 업계는 “스마트폰 사용자들은 보안 신뢰성 있는 온라인 S/W 마켓에서 NFC 결제류 앱을 내려 받아야 하며, 보안 프로그램으로 스마트폰 내 바이러스 유무 검사를 해야 한다”고 당부했다.

악성 프로그램 대량화 현상 뚜렷해져
지난 6월 초 중국의 대학입학시험인 ‘까오카오(高考)’ 시행 전날, 치후360은 이동전화 보안솔루션을 써서 ‘까오카오’ 이름을 내세운 이동전화 악성 S/W 142종을 차단했다고 밝혔다. 이는 까오카오 관련 악성 S/W에 대한 차단 수량으로는 역대 가장 많은 규모다.

이들 악성 S/W는 ‘고등학교 문과이과 단어’, ‘까오카오 필수준비 지식 전서’, ‘까오카오 영어 어휘’, ‘까오카오 영어’처럼 까오카오 관련 키워드를 이용해 수험생들의 스마트폰을 파고 들었다.

또 6월~7월에는 ‘브라질 월드컵’이란 이름을 내세운 악성 프로그램이 267종에 달했다고 치후360은 밝혔다. 이 가운데 62종은 모바일 축구 게임류 앱이었고, 124종은 스포츠 복권 앱, 81종은 자명종 앱이었다.

브라질 월드컵 기간에 이처럼 변조된 모바일 앱을 내려 받은 중국 축구팬들은 △익명의 팝업 광고 △스마트폰내 정보 절취 △통화 내용 감청·업로드 △백드라운드에서 몰래 S/W 다운로드 △과금 메시지 몰래 발송 같은 악의적 행위에 의한 피해를 입었다.

“트로이목마, 스마트폰 24시간 동안 강제로 잠가”
지난 6월 30일 360인터넷보안센터가 발표한 보고에 따르면, 스마트폰을 강제로 ‘잠금 상태’에 놓이게 하는 트로이목마 크게 늘었다. 이른바 ‘둬밍쒀’로 불리는 이 트로이목마는 ‘야오옌 즈줘(요염 제작)을 비롯한 600여 종의 스마트폰 앱으로 위장해, 안드로이드 OS 스마트폰 사용자를 속여 내려 받게 한다.

이 때문에 최근까지 5만7,000대의 스마트폰이 강제로 잠금 상태에 놓여 24시간 동안 정상적으로 사용할 수 없었고 스마트폰 재부팅 방식으로도 이 문제를 해결할 수 없었다고 360인터넷보안센터는 밝혔다. 더욱이 ‘둬밍쒀’ 트로이목마는 안드로이드 스마트폰의 보안 취약점을 악용해 금전을 빼내는 트로이목마로 진화할 수 있다고 센터는 덧붙였다.

위장술 갖춘 트로이목마 출현
지난 6월 13일 360인터넷보안센터는 ‘가면 스파이’란 이름의 새로운 이동전화 트로이목마를 발견했다고 밝혔다. ‘가면 스파이’는 인기 스마트폰 앱으로 가장해, △앱 업데이트 모방 △다운로드 위조 △무용한 아이콘 삽입 △과금 메시지 통지 삭제 등과 같은 위장술을 벌이면서 ‘이용자 체험’을 가장 잘 파악하는 이동전화 트로이목마라고 센터는 설명했다.

스마트폰이 ‘가면 스파이’에 감염되면, 메시지가 도청될 수 있다. 또 해커는 메시지 지령을 통해 스마트폰을 통제하고 몰래 과금 메시지를 발송한다. ‘가면 스파이’는 최근 온라인 토론정보 사이트, 클라우드, 2차원바코드 같은 경로를 통해 스마트폰을 감염시키고 있는 것으로 나타났다. 이 ‘가면 스파이’의 출현으로 트로이목마 식별과 방어의 난도는 더욱 높아질 것으로 정보보안 업계는 내다보고 있다.

‘장로 트로이목마’, 스마트폰 20여개 암호 훔쳐
360인터넷보안센터는 지난 3월 초 스마트폰 내 ROM 안에 잠복해 있던 ‘장로’란 이름의 트로이목마를 탐지한 데 이어, 6월 19일 ‘장로 트로이목마 2세대’를 단독으로 발견했다고 밝혔다.

360인터넷보안센터는 “이는 처음으로 비밀해제 DB 방식을 채택해 온라인 채팅 기록을 훔치는 ‘장로 트로이목마’의 변종이다”고 설명했다. 동시에 이 새로운 변종은 스마트폰 안의 메시지, 전화번호, 위치정보, 일정, 와이파이(WiFi), 브라우저 등 20여개 아이디와 비밀번호를 마구 훔치는 것으로 드러났다. 나아가 해커의 지령에 따라 스마트폰 사용자의 전화걸기를 제한한다.

‘장로 트로이목마 2세대’는 스마트폰에서 자동으로 파일을 백업 설치할 뿐 아니라 30초마다 트로이목마의 존재 여부를 검사한다. 일단 트로이목마가 삭제된 게 발견되면, 백업 파일이 다시 자동으로 설치되어 악의적 행위를 계속 진행한다고 360인터넷보안센터는 밝혔다.
[중국 베이징 / 온기홍 특파원(onkihong@yahoo.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>