스파이앱 사칭한 스미싱 발견...KISA 측 “통신사 모의훈련용” 모의훈련용이라면서 외부 블로그에 공개...해당 통신사는 묵묵부답

 
      ▲ 28일 본지가 제보 받은 스미싱 문자 화면 
[보안뉴스 김경애] 최근 스파이앱 스미싱이 발견된 가운데 해당 스미싱이 한 통신사의 모의훈련용 스미싱이라는 의견이 제기되면서 파장이 커지고 있다.


본지는 지난 28일 ‘[긴급] 통화내역 탈취 기능의 스파이앱에 감염되었습니다. 전용앱을 설치하여, 지금 즉시 치료하세요. http://b*t.*y/**o**8*’ 문구의 스미싱이 발견됐다는 제보를 받고 지난 30일 보도한 바 있다.

KISA, 스미싱이 아니라 모의훈련용
그러나 본지로 들어온 또 다른 제보에 따르면 해당 스미싱이 실제 스미싱이 아니라 한 통신사의 모의훈련용 스미싱이었다는 것. 이에 본지는 진위파악을 위해 제보내용을 토대로 해당 IP를 조사했으며 확인해 본 결과 한 케이블 방송사로 드러났다.

그러나 방송사는 해당 스미싱에 대해 전혀 알지 못했으며, 해당 스미싱과 아무런 상관이 없다고 주장했다. 이와 관련 방송사 관계자는 “방송사 IP 대역이 맞으나 유동성 IP로 가입자 중 누군가가 해당 IP를 이용했다”며 “KISA에 해당 내용을 전달했으며, KISA는 해당 절차에 따라 중앙전파관리소에 확인을 요청한 것으로 알고 있다”고 말했다.

현재 해당 URL은 차단된 상태로 확인됐다. 이와 관련해 KISA 측은 “해당 스미싱은 한 통신사의 모의훈련용으로 제작된 스미싱”이라며, “훈련 대상은 내부 통신사 직원으로 확인했다”고 밝혔다.

모의훈련용인데 악성행위가 탐지?
그러나 내부 모의훈련용이라고 하기엔 석연치 않은 구석도 많다. 우선 해당 문자는 바이러스토탈 사이트에서 지난 28일 오전 8시 5분경  앱디펜더 APK(appdefender.apk) 파일에서 Android-Trojan/PNStealer.d19e로 진단됐다. 이와 관련 안랩 측에 확인한 결과 V3 백신이 스미싱에 포함된 APK파일을 이용자가 설치할 경우 전화번호를 탈취하는 악성행위가 탐지됐다는 답변을 들었다.



 ▲ 28일 바이러스 토탈 사이트에서 탐지된 분석 결과 캡처 화면

또 다른 백신업체의 경우도 ‘보내주신 파일은 이미 00드로이드에 업데이트된 항목으로 현재 Spyware.Android.InfoStealer.A로 탐지됐으며, 파일명은 appdefender.apk’이라고 진단했다. 이와 관련 한 백신업체 관계자는 모의훈련용으로 파악돼 바이러스토탈 사이트에는 별도로 올리지 않았다고 밝혔다.
 
모의훈련용일 경우 실제 악성행위가 일어나면 안 된다는 의견이 지배적이다. 그러나 이번 스미싱의 경우 백신 분석결과 스미싱에 넘어간 사용자의 전화번호를 동의 없이 해당 훈련을 진행한 통신사에서 가져가는 것으로 밝혀졌기 때문에 이것이 과연 옳은지 논란이 된 것이다.
사용자 번호를 탈취한다고?
이어 보안전문가들 사이에서도 단순히 테스트용이라고 단정 지을 수 없다는 의견도 제기됐다. 반대로 테스트용이라고 해도 문제의 소지가 많다는 게 보안전문가들의 공통된 의견이다.

한 보안전문가는 “해당 샘플이 진짜 모의훈련용인지는 제작자만 정확히 알 수 있다”며 “설사 진짜 테스트용일지라도 테스트 하는 방식에 문제가 있거나 해당 샘플 관리가 제대로 안 되어 외부로 유출된 걸 공격자들이 활용하고 있을 수도 있다”고 우려했다.

또한, 서울여자대학교 김명주 교수는 “앱디펜더는 원래 일본 프로그램인데 해당 스미싱의 경우 앱디펜더 이름만 사용했다”며 “APK파일을 설치하면 사용자의 동의를 받지 않고 스미싱에 넘어간 사용자 스마트폰의 전화번호를 빼간 것”이라고 지적했다.

이어 김명주 교수는 “테스트앱을 다운로드 받으면 테스트하는 회사쪽으로 전화번호가 무단 수집되는데, 이는 스미싱에 잘 넘어갈 수 있는 사용자의 개인정보이기 때문에 스미싱 공격자 입장에서는 매우 유용한 고객정보가 될 수 있다”고 말했다.

따라서 모의훈련을 진행한 기업에서 수집된 정보로 무엇을 하려고 했는지 등 어떤 목적과 의도를 갖고 모의훈련을 진행했는지가 중요하다는 것이다.

훈련용인데 외부 블로그에 공개?
해당 앱을 최종 설치한 화면을 본지가 입수한 결과 ‘실행하신 앱은 구성원 대상 스미싱 모의훈련용입니다(전체공지 참조).’라는 메시지와 함께 감염 통계 파악을 위한 최소한의 정보(전화번호)만을 수집한다고 밝히고 있다.

그러나 외부에 알려져 스미싱으로 오인되는 사례가 발생한 것에 대한 문제도 지적된다. 일반적으로 내부 훈련용이라고 하면 내부인력이나 제한된 구성원을 대상으로 진행되며, 스미싱으로 오인되지 않도록 외부에 알려지지 않게 진행하는 것이 일반적이기 때문이다.

 

 ▲ 28일 블로그에 올라온 스파이앱 스미싱 내용 캡처 화면
그러나 해당 스미싱은 지난 28일 한 블로그에 게시됐으며, 해당 스미싱을 주의하라는 글이 올라오기도 했다. 해당 블로그에 따르면 ‘스마트폰에 문자메시지가 도착 했다는 알림음이 울린다. 한번도 연락한 적 없는 누군가가 내게 보낸 문자메시지이다. 그 내용을 보니 걱정이 되기 시작한다. “[긴급] 통화 내역 탈취 기능의 스파이앱에 감염 되었습니다. 전용 앱을 설치하여 지금 즉시 치료하세요” 물론 문자메시지에 친절하게 이를 해결할 수 있는 링크도 걸려 있다’고 올라와 있다.

특정 회사를 대상으로 한 훈련용 스미싱이라면 실제 스미싱으로 오인되지 않도록 해야 하는데, 이렇듯 외부 블로그에 올라왔다면 문제가 있다는 얘기다. 따라서 훈련용 스미싱 문자가 불특정 다수에게 뿌려진 것인지, 내부 훈련사항이 외부로 유출된 것인지도 이번 이슈에 있어 풀어야 할 숙제로 보인다.
이에 대해 한 보안전문가는 “테스트 방식에서 문제가 있었던 것으로 보인다”며 “한정된 사람들만 테스트하고, 어쩔 수 없이 오픈했으면 훈련이 끝나면 닫아야 하는데 그걸 계속 운영한 게 문제가 된 것 같다”고 말했다. 또한, 김명주 교수도 “좀더 조심스럽고 철저하게 훈련이 이루어져야 한다”고 당부했다.

그러나 정작 해당 통신사의 통합보안관제센터 관계자는 “실제 모의훈련이 있었는지 내부적으로 해당 부서에 확인요청을 했지만, 아직까진 답변을 받지 못했다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>