.gif)
‘쥬디’ 멀웨어, 한국 개발사 앱 41개 통해 전파
가짜 클릭 유발하는 애드웨어로 최대 3,650만 명 침해
[보안뉴스 오다인 기자] 한국 회사가 개발한 게임 애플리케이션 41개에 광고 클릭수를 조작하는 악성코드가 심겨 있었던 것으로 드러났다. 이를 먼저 발견한 보안 전문업체 체크포인트(CheckPoint)는 이 멀웨어들을 ‘쥬디’라고 명명했으며, 최소 850만에서 최대 3,650만 명이 이미 이 앱을 설치한 것으로 추정된다. 현재 해당 애플리케이션들은 구글 플레이스토어에서 차단된 상태다.
체크포인트의 모바일 멀웨어 연구팀은 25일(현지시간), 구글 플레이스토어 사상 최대 규모로 보이는 멀웨어 캠페인 ‘쥬디(Judy)’가 한국 개발사의 애플리케이션 41개를 매개로 발생했다고 자사 블로그를 통해 발표했다. ‘패션쥬디’, ‘애니멀쥬디’, ‘셰프쥬디’ 등 41개 애플리케이션의 이름에 모두 ‘쥬디’가 들어간다는 데서 ‘쥬디 멀웨어’라는 이름이 붙었다. 쥬디 멀웨어는 앱 실행시 노출되는 광고의 클릭수를 조작해 정당치 못한 수익을 내는 애드웨어(adware)로, 약 450만에서 1,850만 회 다운로드 된 것으로 보인다.
체크포인트는 구글 플레이스토어에서 쥬디 시리즈 게임 외에도 똑같은 멀웨어가 포함된 애플리케이션들도 발견했는데, 이 앱들과 쥬디 앱들 사이의 연관성은 아직 명확하게 밝혀진 바 없다. 쥬디 악성코드를 사용한 타 애플리케이션은 약 400만에서 1,800만 회 다운로드 된 것으로 나타나, 쥬디 멀웨어로 인한 전체 침해 규모는 최대 3,650만 대 기기에 달하는 것으로 보인다.
▲ 구글 플레이에서 게임 앱이 차단됐음을 알리는 공지 화면 [사진=이엔아이스튜디오 홈페이지 캡처]
쥬디 멀웨어가 깔린 문제의 게임 애플리케이션 41개는 ‘키니위니(Kiniwini)’라는 한국 회사가 개발한 것으로, 개발사의 법인명은 ‘이엔아이스튜디오(ENISTUDIO)’다. 키니위니는 안드로이드 및 아이폰용 모바일 애플리케이션을 개발하는 회사인데, 체크포인트는 “악성 애플리케이션의 등록 정보에 실제로 합법적인 사업을 벌이는 일반 회사가 표기되어 있는 건 흔치 않은 일”이라고 설명한다. 사실상 이엔아이스튜디오가 악성코드를 의도적이든 실수든 직접 삽입한 것이라고 짚어낸 것이다.
현재 이엔아이스튜디오는 홈페이지를 통해 “최근 구글 플레이에서 게임 앱들이 차단돼 서비스가 중지된 상태”이며 “구글 측에서 게임들에 대해 다시 등록이 힘들다는 통보를 받아 기존 게임들을 더 이상 구글 플레이에서 다운로드 받을 수 없다”고 공지하고 있다. 30일 오전, 본지와의 전화통화에서 이엔아이스튜디오 담당자는 “구글 플레이에서 애플리케이션 차단 통보를 받은 건 몇 주 전”이라며 “구글에서 정확한 차단 이유를 설명하지 않아 자사도 상황 파악 중인 단계”라고 설명했다.
애플리케이션 보안 전문업체 엔시큐어의 손장군 이사는 “(이번 사건과 관련해) 정확한 사실은 분석해봐야 알 수 있지만, 만약 업체에서 고의로 멀웨어를 삽입한 것이 아니라면 개발 단계에서 오픈소스 모듈이나 서드파티 모듈을 안전하지 않은 경로로 사용해 애플리케이션에 악성코드가 삽입됐을 수 있다”고 설명했다. 내부자 소행이거나 인지하지 못한 채 악성코드를 삽입했거나 두 가지 중 하나라는 것이다.
그렇다면 구글 플레이스토어 멀웨어 방지 프로그램인 ‘바운서(Bouncer)’를 주디 멀웨어는 어떻게 피해갔을까? 체크포인트는 “공격자가 1) 합법적으로 보이는 앱을 만들어 앱스토어에 등록해 최초 교두보를 마련한 다음, 2) 피해자가 악성 앱을 다운로드 받아 설치하기를 기다렸다가, 3) 리시버(receiver)를 피해자 몰래 등록해 C&C 서버와 통신을 시작한 후 4) 자바스크립트 코드가 포함된 악성 페이로드를 설치하는 등 단계적으로 바운서를 피해 간다”고 설명한다. 이 페이로드는 엉뚱한 웹 페이지를 열거나 사용자를 우회시켜 특정 페이지가 열리도록 하며, 해당 페이지에 있는 배너 광고들이 클릭되도록 한다. 이 웹 페이지들을 운영하는 누군가가 이 클릭수 조작 기법으로 이득을 보고 있다는 것이다.
쥬디 멀웨어를 발견해 구글 측에 공지한 체크포인트는 이와 관련해서 특정 애플리케이션이 유명하다고 해서 안전한 것은 아니라고 짚었다. 공격자가 애플리케이션의 진짜 의도를 숨기는 경우가 있을뿐더러, 사용자가 자각하지 못한 채로 높은 점수를 주게끔 조작할 수도 있기 때문이다. 또한, 체크포인트는 모바일 기기를 안전하게 사용하려면 ‘공식 애플리케이션 스토어’에만 의존해선 안 되며, 제로데이 공격을 감지하고 방어할 수 있도록 보안 조치를 강화하라고 당부했다. 손장군 이사 역시 “개인적인 생각으로는 공식 앱스토어를 운영하는 구글이 이런 사태를 미리 발견하지 못했다는 것도 문제”라고 말했다.
무슨 일이 벌어진 걸까? 현재까지 밝혀진 사실로 드러난 가능성과 그에 따른 문제점은 다음과 같다.
1) 이엔아이스튜디오가 이윤을 최대한으로 남기기 위해 불법 행위라는 인식 없이 해당 코드를 일부러 삽입했다 - 애드웨어도 멀웨어라는 인식 제고가 필요하다.
2) 누군가 외부나 내부에서 이엔아이스튜디오의 앱 개발 단계에 침투해 악성코드를 삽입했다 - 내부자 관리와 상품의 보안 점검이 제대로 이루어지고 있지 않다.
3) 이엔아이스튜디오 개발자들이 검증되지 않은 코드를 앱 개발에 사용했다 - 오픈소스를 사용할 때 보안 점검을 하지 않는다.
[국제부 오다인 기자(boan2@boannews.com)]
가짜 클릭 유발하는 애드웨어로 최대 3,650만 명 침해
[보안뉴스 오다인 기자] 한국 회사가 개발한 게임 애플리케이션 41개에 광고 클릭수를 조작하는 악성코드가 심겨 있었던 것으로 드러났다. 이를 먼저 발견한 보안 전문업체 체크포인트(CheckPoint)는 이 멀웨어들을 ‘쥬디’라고 명명했으며, 최소 850만에서 최대 3,650만 명이 이미 이 앱을 설치한 것으로 추정된다. 현재 해당 애플리케이션들은 구글 플레이스토어에서 차단된 상태다.
체크포인트의 모바일 멀웨어 연구팀은 25일(현지시간), 구글 플레이스토어 사상 최대 규모로 보이는 멀웨어 캠페인 ‘쥬디(Judy)’가 한국 개발사의 애플리케이션 41개를 매개로 발생했다고 자사 블로그를 통해 발표했다. ‘패션쥬디’, ‘애니멀쥬디’, ‘셰프쥬디’ 등 41개 애플리케이션의 이름에 모두 ‘쥬디’가 들어간다는 데서 ‘쥬디 멀웨어’라는 이름이 붙었다. 쥬디 멀웨어는 앱 실행시 노출되는 광고의 클릭수를 조작해 정당치 못한 수익을 내는 애드웨어(adware)로, 약 450만에서 1,850만 회 다운로드 된 것으로 보인다.
체크포인트는 구글 플레이스토어에서 쥬디 시리즈 게임 외에도 똑같은 멀웨어가 포함된 애플리케이션들도 발견했는데, 이 앱들과 쥬디 앱들 사이의 연관성은 아직 명확하게 밝혀진 바 없다. 쥬디 악성코드를 사용한 타 애플리케이션은 약 400만에서 1,800만 회 다운로드 된 것으로 나타나, 쥬디 멀웨어로 인한 전체 침해 규모는 최대 3,650만 대 기기에 달하는 것으로 보인다.
▲ 구글 플레이에서 게임 앱이 차단됐음을 알리는 공지 화면 [사진=이엔아이스튜디오 홈페이지 캡처]
쥬디 멀웨어가 깔린 문제의 게임 애플리케이션 41개는 ‘키니위니(Kiniwini)’라는 한국 회사가 개발한 것으로, 개발사의 법인명은 ‘이엔아이스튜디오(ENISTUDIO)’다. 키니위니는 안드로이드 및 아이폰용 모바일 애플리케이션을 개발하는 회사인데, 체크포인트는 “악성 애플리케이션의 등록 정보에 실제로 합법적인 사업을 벌이는 일반 회사가 표기되어 있는 건 흔치 않은 일”이라고 설명한다. 사실상 이엔아이스튜디오가 악성코드를 의도적이든 실수든 직접 삽입한 것이라고 짚어낸 것이다.
현재 이엔아이스튜디오는 홈페이지를 통해 “최근 구글 플레이에서 게임 앱들이 차단돼 서비스가 중지된 상태”이며 “구글 측에서 게임들에 대해 다시 등록이 힘들다는 통보를 받아 기존 게임들을 더 이상 구글 플레이에서 다운로드 받을 수 없다”고 공지하고 있다. 30일 오전, 본지와의 전화통화에서 이엔아이스튜디오 담당자는 “구글 플레이에서 애플리케이션 차단 통보를 받은 건 몇 주 전”이라며 “구글에서 정확한 차단 이유를 설명하지 않아 자사도 상황 파악 중인 단계”라고 설명했다.
애플리케이션 보안 전문업체 엔시큐어의 손장군 이사는 “(이번 사건과 관련해) 정확한 사실은 분석해봐야 알 수 있지만, 만약 업체에서 고의로 멀웨어를 삽입한 것이 아니라면 개발 단계에서 오픈소스 모듈이나 서드파티 모듈을 안전하지 않은 경로로 사용해 애플리케이션에 악성코드가 삽입됐을 수 있다”고 설명했다. 내부자 소행이거나 인지하지 못한 채 악성코드를 삽입했거나 두 가지 중 하나라는 것이다.
그렇다면 구글 플레이스토어 멀웨어 방지 프로그램인 ‘바운서(Bouncer)’를 주디 멀웨어는 어떻게 피해갔을까? 체크포인트는 “공격자가 1) 합법적으로 보이는 앱을 만들어 앱스토어에 등록해 최초 교두보를 마련한 다음, 2) 피해자가 악성 앱을 다운로드 받아 설치하기를 기다렸다가, 3) 리시버(receiver)를 피해자 몰래 등록해 C&C 서버와 통신을 시작한 후 4) 자바스크립트 코드가 포함된 악성 페이로드를 설치하는 등 단계적으로 바운서를 피해 간다”고 설명한다. 이 페이로드는 엉뚱한 웹 페이지를 열거나 사용자를 우회시켜 특정 페이지가 열리도록 하며, 해당 페이지에 있는 배너 광고들이 클릭되도록 한다. 이 웹 페이지들을 운영하는 누군가가 이 클릭수 조작 기법으로 이득을 보고 있다는 것이다.
쥬디 멀웨어를 발견해 구글 측에 공지한 체크포인트는 이와 관련해서 특정 애플리케이션이 유명하다고 해서 안전한 것은 아니라고 짚었다. 공격자가 애플리케이션의 진짜 의도를 숨기는 경우가 있을뿐더러, 사용자가 자각하지 못한 채로 높은 점수를 주게끔 조작할 수도 있기 때문이다. 또한, 체크포인트는 모바일 기기를 안전하게 사용하려면 ‘공식 애플리케이션 스토어’에만 의존해선 안 되며, 제로데이 공격을 감지하고 방어할 수 있도록 보안 조치를 강화하라고 당부했다. 손장군 이사 역시 “개인적인 생각으로는 공식 앱스토어를 운영하는 구글이 이런 사태를 미리 발견하지 못했다는 것도 문제”라고 말했다.
무슨 일이 벌어진 걸까? 현재까지 밝혀진 사실로 드러난 가능성과 그에 따른 문제점은 다음과 같다.
1) 이엔아이스튜디오가 이윤을 최대한으로 남기기 위해 불법 행위라는 인식 없이 해당 코드를 일부러 삽입했다 - 애드웨어도 멀웨어라는 인식 제고가 필요하다.
2) 누군가 외부나 내부에서 이엔아이스튜디오의 앱 개발 단계에 침투해 악성코드를 삽입했다 - 내부자 관리와 상품의 보안 점검이 제대로 이루어지고 있지 않다.
3) 이엔아이스튜디오 개발자들이 검증되지 않은 코드를 앱 개발에 사용했다 - 오픈소스를 사용할 때 보안 점검을 하지 않는다.
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
