연일 스미싱에 대한 뉴스가 지면을 장식하고 있다.

‘애플리케이션을 설치만 했을 뿐인데 30만원의 소액결제 피해가 발생했다’, ‘문자가 와서 클릭만 했는데 소액결제로 돈이 빠져나갔다’ 등 피해를 호소하는 사례가 늘고 있다.

이에 정부와 이동통신사도 스미싱 피해 방지를 위한 대책마련에 나서고 있으나 피해는 좀처럼 줄지 않고 있다.

최근에는 카카오톡을 인증을 악용한 스미싱 공격도 등장했다고 하니 점차 지능화되는 공격에 혀를 내두를 수 밖에 없다.

그런데 스미싱 앱이 어떤 권한을 가지고 있는지, 왜 피해를 입을 수 밖에 없는지 궁금증이 생긴다. 왜 앱을 설치하기만 했는데 금전적인 피해를 입을까.

이런 호기심이 많은 사람들을 위한 서비스가 있다. 스위스 보안업체 조시큐리티(Joe Security)가 제공하는 ‘조의 샌드박스(Joe’s Sandbox)’는 사용자가 업로드하는 앱 패키지 파일(.apk)을 실시간으로 분석해주는 서비스다.


이 서비스는 업로드 한 앱이 어떤 권한을 가지고 있는지, 어디에 위치한 서버로 데이터를 보내는지, 어떤 체계로 구성돼 있는지 등 다양한 정보를 보여준다.

기자는 최근 입수한 스미싱 앱 ‘giro114.apk’ 파일을 서비스에 업로드 했다. 약 10분 뒤 결과(http://goo.gl/gjFWJA)가 나왔는데 흥미로운 항목이 있었다.


리포트에는 ‘민감한 정보 탈취(Stealing of Sensitive Information)’ 항목의 위험도가 높은 것으로 나타났다. 보다 정확한 분석을 위해 권한을 살펴봤다.


이미지에서 알 수 있듯이 giro114 앱은 네트워크, 위치, 폰의 상태에서부터 연락처 읽고 쓰기, 문자메시지 읽고 쓰기 등의 개인정보와 관련 강력한 권한을 모두 가지고 있다.

특히 주목할 것은 문자메시지를 읽고 쓸 수 있다는 점이다. 모바일메신저 등에서 인증번호를 파싱(Pharsing) 하기 위해 문자메시지를 읽는 권한은 가질 수 있으나 문자를 보내는 권한은 없다.

하지만 이 앱은 문자메시지를 보낼 수 있는 권한을 가졌다. 즉, 문자가 들어오면 이를 그대로 재전송할 수 있는 권한을 가졌다고 볼 수 있다. 스미싱의 절차 중 ‘인증문자 요청 – 인증문자 탈취’가 이 권한에 의해 이뤄지게 되는 것이다.

또 얼마 전 등장한 주소록에 있는 모든 지인에게 스미싱 문자를 보내는 것 역시 ‘연락처를 읽는(READ_CONTACTS)’ 권한을 가지고 있었기 때문이다.

결국 권한에 대한 이해도를 높이면 스미싱 피해를 예방할 수 있다. 앱을 설치할 때 요구하는 권한을 하나하나 살펴보는 것도 좋은 습관이다.

스미싱을 예방하는 가장 좋은 방법은 구글 플레이가 아닌 다른 경로에서 앱을 설치하지 못하도록 ‘알 수 없는 앱 설치’ 기능을 비활성화 해두는 것이며, 혹여나 구글 플레이에서 내려받은 앱을 설치할 때에도 평판과 권한을 살펴보는 것이 피해를 예방할 수 있다.

한편 조의 샌드박스는 여기에서(apk-analyzer.net) 사용해볼 수 있다.

2013/11/15 09:51 2013/11/15 09:51

트위터에서 사용할 수 있는 최대 글자 수 ‘140자’를 보완하기 위해 등장한 ‘축약URL’. 유선에 이어 모바일에서도 이를 악용해 악성파일을 유포하는 사례가 지속적으로 나타나고 있습니다.

지금까지 알려진 수법을 살펴보면, 대체로 소셜네트워크서비스(SNS), 혹은 문자메시지를 통한 배포입니다. SNS를 통한 배포는 오래전부터 사용됐으나, 최근 들어 해커들은 악성파일이 업로드 된 ‘축약URL’을 국가기관이나 이동통신사 등을 사칭해 문자메시지로 배포합니다.

문자메시지에는 악성파일이 올라가 있는 주소가 축약된 상태로 나타나기 때문에, 눈으로 봐서는 분간할 수 없습니다. 또 스마트폰으로 해당 주소를 클릭할 경우 유선과 동일하게 동작하기 때문에, 큰 피해를 불러올 수 있습니다.

실제 지난해에는 방송통신위원회, 이통3사, 한국인터넷진흥원, 구글코리아 등을 사칭한 휴 문자메시지 유포가 확산돼 보안업계에서 큰 이슈가 된 적이 있습니다.

악성 문자메시지의 내용은 “고객님! 요금과다청구 환급금 조회”또는 “고객님! 이번달 사용내역입니다. http://tinyurl.com/☜클릭”의 문자내용과 함께 “스마트청구서”, “e-청구서” 형태로 발송되거나, “구글코리아의 새로운 앱을 사용해보세요. goo.gl/xxxx” 등 사용자의 불안감과 호기심을 자극하는 형태를 띄고 있습니다.


해당 축약URL을 통해 설치된 악성 애플리케이션(앱)은 문자메시지에 있는 링크를 클릭 시 악성코드에 감염되며, 감염 스마트폰의 전화번호, 통신사정보, 결제정보 등이 지정된 IP로 전송됩니다. 추가적인 피해가 없을 것이라는 보장을 할 수 없는 상황입니다.

또 공식적으로 보도되지는 않았으나, 구글 플레이(옛 안드로이드 마켓)을 변조한 APK(애플리케이션 패키지 파일)을 문자메시지로 배포해, 사용자의 결제정보를 탈취한 사례도 국내에서 IT커뮤니티에서 보고된 바 있습니다.

문제는 이러한 시도가 앞으로 더 많이 일어날 것이라는 예측 때문입니다. 스마트폰 사용자가 늘어나는 것은 해커들에게는 새로운 먹잇감이 등장했다는 것과 동일한 의미라고 해석할 수 있습니다.

보안업계 관계자는 “윈도 사용자가 급격하게 증가하면서 바이러스도 기하급수적으로 늘어난 것을 생각해본다면, 모바일 사용자와 악성 앱, 피싱 등의 정비례는 고민할 필요가 없는 위기”라며 “올해는 국내에서 모바일 악성 앱으로 인한 금전적인 피해 사례가 등장할 것으로 예상된다”고 전합니다.

물론 축약URL 서비스 업체들은 보안에 대한 위협을 자체적으로 막을 다양한 방법을 강구하고 나섰지만, 패턴에 의지하는 방법을 사용하고 있어 본질적인 해결방법은 아직까지 없습니다.

그러나 모바일 역시 유선과 동일합니다. 안티바이러스(백신)을 설치하는 것이 하나의 해결책이 될 수 있겠지만 역시 가장 좋은 방법은 축약된 URL을 클릭하지 않는 것입니다.

2013/01/03 15:09 2013/01/03 15:09