사용자 삽입 이미지
안드로이드 권한 오용 문제가 불거졌다. 이번에는 삼성전자 갤럭시 시리즈에 선탑재(preload)되는 애플리케이션 ‘스마트 매니저’가 질타를 받았다. 얼마전 인터넷 커뮤니티에서는 삼성전자 갤럭시 시리즈에 탑재된 ‘스마트 매니저’의 권한을 나열하며 ‘해킹 앱’에 가깝다는 주장이 제기됐다.


‘스마트 매니저’는 삼성전자가 스마트폰 사용에 미숙한 소비자들을 위해 개발한 관리 앱이다. 불필요한 앱이 백그라운드에서 구동되는 것을 막아 배터리를 절약해주고, 임시파일로 인해 용량이 부족해지면 이를 삭제해준다. 또 악성 앱이 설치되는 것을 감시하는 기능 등도 담겼다.

사용자가 문제로 제기한 것은 스마트 매니저가 갖고 있는 권한이다. 이 앱은 ▲디바이스 상태 및 ID 읽기 ▲사진 및 동영상 촬영 ▲오디오 녹음 ▲위치 확인 ▲연락처 확인 ▲SD카드 콘텐츠 읽기 등으로 상당히 많은 권한을 보유하고 있다. 과거 구글은 이런 권한을 간략하게 설명하는 것에 그쳤지만, 안드로이드 4.0(코드명 킷캣) 부터는 해당 권한이 할 수 있는 모든 기능을 서술해두기 시작했다.
사용자 삽입 이미지

너무나도 상세한 설명은 오해를 불러왔다.

‘디바이스 상태 및 ID 읽기’ 권한은 전화걸기, 받기를 담당한다. 해석에 따라 사용자 몰래 전화를 걸거나 오는 전화를 가로챌 수 있다고 생각할 수 있다. 이 기능을 쓰는 대표적인 앱은 당연히 ‘전화’앱이며, 후후나 후스콜과 같은 스팸전화 차단 앱도 쓰고 있다. 이 외에도 이를 쓰는 앱들이 많은데, 주로 ‘푸시 메시지’ 발송을 위해서다.

‘사진 및 동영상 촬영’ 권한은 카메라에 관련된 부분이다. 구글 설명에 따르면 사용자 몰래 사진이나 동영상을 찍을 수 있다고 돼 있다. 카메라 모듈의 기능을 쓰게끔 하는 권한으로 보면 된다. 근데 이 권한은 카메라 앱을 비롯해 ‘플래시’ 앱들도 이를 쓴다. 앱 내부에 사진 촬영 기능이 있어도 이 권한이 필요하다.

‘SD카드 콘텐츠 읽기’ 권한은 내부저장소에 있는 파일들을 살펴볼 수 있다. 파일을 내려받을 수 있는 기능을 갖춘 앱, 파일정리 기능을 갖춘 앱, 사진 편집 앱 등 대부분의 활용 앱들이 이 권한을 보유하고 있다.

‘네트워크 통신’은 모바일 인터넷이 연결돼야 쓸 수 있는 앱들이라면 무조건 획득해야 하는 권한이다.

‘문자메시지 읽기’ 권한은 택배 앱 등 문제메시지를 파싱해서 쓰는 앱들에 쓰인다. 문자로 택배 송장번호가 오면 이 형식을 그대로 긁어가 바로 조회할 수 있도록 하는 것이다.

‘위치 확인’ 권한은 날씨나 지도, 내비게이션 앱이 쓴다. 현재 위치에 맞는 서비스를 제공하기 위해서다. 맞춤광고를 위해 쓰이기도 한다.

이외에도 우리가 쓰는 앱들은 이 외에도 각종 권한을 획득해 기능하고 있다. 물론 악의적인 앱의 경우 권한 획득후 모든 행위를 감행할 수 있다. SD카드 콘텐츠 읽기 권한을 획득하면 내부에 있는 사진이나 문서 등에 접근할 수 있고, ‘네트워크 전송’ 기능 등을 통해 외부로 빼돌릴 수도 있다. 또 통화 중 녹음을 하고, 해당 파일을 빼돌리는 등의 기능도 구현 가능하다. 과거 도감청 앱 등이 이러한 방법으로 성행한 것을 떠올리면 된다.

소비자들이 우려하는 것도 바로 이부분이다. 각각의 권한이 할 수 있는 기능이 워낙 많다보니 ’이 권한은 필요없을 것 같은데?’라고 생각할 수 있다. 그러다보니 이번처럼 오해가 발생한 것이다.
사용자 삽입 이미지

이러한 상황을 벗어나기 위해서는 개발사가 스스로 ‘애플리케이션 권한 설명’과 같은 설명서를 제공하는 것이 옳다. 해당 권한을 왜, 어떻게 사용하고 있는지를 명확히 명시해야 사용자가 믿고 쓸 수 있다. 다만 법제화하는 것은 아직 이르다. 소비자 보호도 중요하지만 앱 개발환경 자체를 나쁘게 만들 공산이 있어서다.

다행히도 안드로이드 6.0(마시멜로)부터는 앱 권한을 8개 항목으로 줄이고 이를 사용자가 관리할 수 있도록 했다. 자기정보관리를 스스로 할 수 있게 했다는 점에서 긍정적이라 본다. 물론 이 경우에도 권한 설명을 첨부한다면 더욱 좋을 것이다.
2015/11/18 12:00 2015/11/18 12:00
사용자 삽입 이미지
구글 안드로이드 4.4 이전 버전에 탑재된 기본 브라우저(AOSP 브라우저)에서 크로스사이트스크립팅(XSS) 결함에 따른 취약점이 발견됐다.


이 취약점이 악용될 경우 브라우저에서 접근한 모든 데이터가 외부로 유출될 수 있어 주의가 필요하다.

17일 현재까지 알려진 바에 따르면 기본 안드로이드 브라우저는 크로스사이트스크립트(XSS) 취약점을 보유하고 있는데, 이 취약점은 브라우저가 공백(null) 바이트 문자가 포함된 자바 스크립트를 처리하는 과정에서 SOP(Same Origin Policy)를 무력화시킨다.

SOP는 월드와이드웹 컨소시엄(W3C)에서도 보안을 위해 반드시 지키도록 강조하는 규칙이다. 주된 내용은 특정 도메인에서 동작하는 스크립트는 해당 도메인에서만 동작해야 된다는 것이다.

즉, 네이버에서 동작하는 자바 스크립트는 네이버 도메인(*.naver.com)에서만 동작하도록 설계해야 한다는 의미다.

반대로 SOP가 무력화되면 특정 웹페이지에 심어둔 코드나 쿠키가 다른 웹페이지까지 영향을 미칠 수 있게 된다.

사용자가 AOSP 브라우저를 통해 공격자의 웹사이트에 접근하게 되면 그 이후에 접속하는 모든 웹사이트에 대한 정보가 그대로 공격자의 손에 들어갈 수 있게 된다. 당연히 로그인 세션값을 훔칠 수 있게되니 개인정보나 금융정보의 탈취도 가능한 상황이다.

현재 안드로이드 4.4 이상을 쓰는 사용자는 전체 안드로이드 사용자의 70%를 넘는 것으로 파악된다.

이러한 피해를 예방하기 위해서는 XSS 취약점이 해결된 구글 크롬, 오페라 등을 사용해야 한다.
사용자 삽입 이미지

삼성전자의 갤럭시 시리즈에 탑재돼 있는 순정 브라우저의 경우 AOSP를 기반으로 하고 있어 이 역시도 안전하지 않다.
2014/09/17 16:07 2014/09/17 16:07
최근 안드로이드 환경에서는 백그라운드에서 구동되며 원격접속도구(RAT)로 조종되는 서비스를 가장한 의심스러운 안드로이드 앱이 많이 발견되고 있다.

23일 파이어아이 모바일 보안 연구원들은 ‘구글 서비스 프레임워크’를 가장한 멀웨어 앱이 안티 바이러스 애플리케이션의 구동을 멈추고 해킹을 시도하는 사례를 발견했다.

과거에 발견된 안드로이드 멀웨어는 개인정보 유출이나 금융 정보 탈취, 원격 접속 등 한가지 목적으로 수행했으나. 이번에 발견된 애플리케이션은 이러한 활동을 모두 한번에 수행하는 진화된 형태로 나타났다.

파이어아이는 가까운 시일 내에 이러한 프레임워크가 완성되면 새로운 은행 애플리케이션을 단 30분만에 해킹할 수 있는 정도의 대규모 금융정보 탈취로 이어질 수 있다고 경고했다. 또한 IP 주소만으로는 해커의 정체를 알아낼 순 없었지만, 한국시장을 목표로 하고 있다는 것을 발견했다.

‘com.ll’이라는 패키지 이름의 새로운 RAT 멀웨어는 ‘구글 서비스 프레임워크(Google Service Framework)’라는 안드로이드 기본 앱 아이콘으로 나타나며 안드로이드 사용자는 관리자 모드 환경설정에서 비활성화시키지않는 한 삭제할수도 없다.

사용자 삽입 이미지
지금까지 샘플에 대한 바이러스토탈 스코어는 54개의 백신업체에서 나온 바이러스 탐지 앱 중 5개만이 탐지해냈다. 이 새로운 멀웨어는 해커가 사용하는 C&C 서버에 의해 빠르게 변화하고 있다.
사용자 삽입 이미지

의심스러운 애플리케이션이 설치된 직후 ‘구글 서비스’ 아이콘이 홈스크린에 나타난다. 아이콘을 클릭하면 애플리케이션은 관리자 권한을 요구한다. 한번 활성화되면 삭제 옵션은 사용할 수 없으며 새로운 ‘GS’라는 서비스가 아래 그림과 같이 시작된다. 아이콘을 한번 더 클릭하면 ‘앱이 설치되지 않았습니다’라는 메시지가 나오며 홈스크린에서 아예 사라지게 된다.

멀웨어의 백그라운드 실행

멀웨어의 백그라운드 실행


이 멀웨어는 아래와 같이 RAT의 명령을 실행하며 의심스러운 활동을 시작한다.
사용자 삽입 이미지


몇 분 이내로, 이 앱은 C%C 서버와 접속해 악성활동을 시작한다.

사용자 삽입 이미지

이 콘텐츠는 Base64 RFC 2045로 암호화돼 있다. 서버 IP는 홍콩에 위치한 것으로 나타났으나 해커의 IP인지 우회 IP를 이용한 것 인지는 확실하지 않다.
사용자 삽입 이미지

악성 활동 리스트의 첫번째 실행은 ‘Uplod Phone Detail'로 실행되면 전화번호, 디바이스ID, 연락처 등 사용자의 개인정보가 해커의 서버로 전송된다.
사용자 삽입 이미지

1. The red part:
사용자 삽입 이미지

2. The blue part:
사용자 삽입 이미지

만약 유저가 은행 애플리케이션을 설치할 경우 멀웨어가 스캔해서 연락처가 위험에 노출된다.

테스트 디바이스에서 파이어아이는 한국의 은행 애플리케이션 8개를 설치했다.
8개의 은행 애플리케이션

8개의 은행 애플리케이션




설치 후  패킷 캡쳐(PCap) 내 은행 리스트를 살펴보니 아래와 같이 은행 앱들이 약자로 표시돼 있는 것을 발견했다.
사용자 삽입 이미지

설치된 8개의 은행 애플리케이션의 약자와 패키지 네임으로 맵이 형성된 것이다.
사용자 삽입 이미지

이는 데이터베이스로 저장돼 CNC 서버의 악성 활동에 활용된다.

- “팝윈도우”

이러한 해커들의 활동 중 CNC 서버는 기존 앱을 가짜 앱으로 바꿔치기하는 명령을 보낸다. 8개의 은행 앱은 com.ahnlab.v3mobileplus 설치가 요구되지만 바이러스 탐지를 방해하기 위해 멀웨어는 은행 앱에서 안티 바이러스 애플리케이션의 활동을 막아버린다. 아래 코드와 같이 Conf.LV로 com.ahnlab.v3mobileplus가 비활성화됐다.  


사용자 삽입 이미지



그 후 악성 앱은 안드로이드 디바이스에 설치된 은행 앱을 분석하고 데이터베이스 /data/data/com.ll/database/simple_pref.에 저장한다. 아래 빨간 네모로 표시한 곳이다.


사용자 삽입 이미지




RAT으로 대응 명령이 보내지면 resolvePopWindow() 방법으로 디바이스는 “새로운버전이 출시됐습니다. 재설치 후 이용하시기 바랍니다.”라는 메시지를 띄운다.


사용자 삽입 이미지


그 후 멀웨어는 업데이트를 통해 CNC 서버로부터 실제 앱을 삭제하고 가짜 앱을 설치한다.


사용자 삽입 이미지


가짜 설치파일(APK)는 CNC 서버로부터 다운되는 것으로 나타났다.

- “UPDATE”

RAT에 의해 “update” 명령이 전송되면 CNC 서버로부터 “update.apk”라는 유사한 애플리케이션이 안드로이드에 설치된다.

사용자 삽입 이미지


- “UPLOAD SMS”

또한 RAT으로부터 SMS를 업로드하라는 명령을 받으면 안드로이드 폰의 SMS가 CNC 서버로 전송되며 데이터베이스로 저장된다.



사용자 삽입 이미지


- “SEND SMS”

비슷하게 SMS 보내기 명령을 통해 저장된 연락처에 SMS도 보낼 수 있다.
사용자 삽입 이미지


- “BANK HIJACK”

“은행 하이재킹”으로 명명된 이 해킹 방법은 악성코드가 예를 들어 NH 등의 짧은 은행 이름을 스캔한 후 CNC 서버로부터 보안 업데이트가 될 때까지 가짜 애플리케이션을 설치하는 방법이다.
사용자 삽입 이미지

 
지금까지 가짜 앱의 설치 이후 활동은 포착되지 않았다. 파이어아이는 해킹 수법진행중 막힌 부분이 있었을 것으로 파악된다.

위와 같이 해커는 한번 하이재킹이 끝난 이후 CNC 서버로부터 더 많은 악성 명령을 내릴 수 있도록 설계하고 준비했다. 이 앱의 독특한 특성으로 인해 모바일 뱅킹의 보안 위험성이 한층 더 위협받고 있음이 나타났다.


원문정보


Attacks  The Service You Can’t Refuse: A Secluded HijackRAT

http://www.fireeye.com/blog/technical/malware-research/2014/07/the-service-you-cant-refuse-a-secluded-hijackrat.html

2014/07/23 12:09 2014/07/23 12:09
사용자 삽입 이미지

아드리안 루드비히(Adrian Ludwig) 구글 안드로이드 보안 총괄 엔지니어는 최근 언론과의 인터뷰를 통해 “안드로이드 사용자의 99%는 안티바이러스(백신)를 사용할 필요가 없다. 보통의 사용자는 우리가 제공하는 보안 기능만으로도 충분하다”고 발언한 바 있다.

그의 발언은 보안업체인 어베스트(Avast)와 에프시큐어(F-Secure)의 보안보고서를 정면으로 반박하고 있다. 먼저 어베스트의 보고서를 살펴보자.

https://blog.avast.com/2014/07/09/android-foreniscs-pt-2-how-we-recovered-erased-data/

자로미어 호레제아이(JAROMÍR HOREJSI) 어베스트 연구원은 “안드로이드의 공장초기화(factory reset) 기능이 제대로 구현돼 있지 않기 때문에 초기화를 하더라도 약간의 조작만 한다면 과거에 저장된 데이터를 복구할 수 있다”며 “고도의 기술이 아닌 낮은 수준의 기술만으로도 복구가 가능했다”고 지적했다.

실제 어베스트의 포스트에 따르면 디지털포렌식 도구인 ‘FTK Imager’를 사용한 결과 20대의 중고폰(이베이에서 테스트용으로 구매)에서 4만건의 사진, 750개의 이메일과 문자메시지, 250개의 연락처를 복원했다. 이처럼 복원이 쉬운 것은 암호화를 하지 않았기 때문이다.

이번엔 에프시큐어의 보고서를 보자.


http://www.f-secure.com/static/doc/labs_global/Research/Mobile_Threat_Report_Q3_2013.pdf

이 보고서에 따르면 모바일 악성코드의 99%가 안드로이드를 노리고 있다. 이러한 악성코드는 문자메시지 탈취, 금융정보나 개인정보 탈취를 위한 목적으로 만들어져 구글플레이나 서드파티 앱스토어에서 유포되고 있는 상황이다.

이에 대해 루드비히 총괄 엔지니어는 “보안업체들은 발생할 확률이 매우 낮은 문제를 확대해 사람들에게 전파한다. 걸어다니다가 총에 맞을 수 있지만 그렇다고 일상에서 방탄복을 입고 다니는 사람은 없다. 안드로이드 백신도 이와 같다”며 “일반적인 사용자는 악성코드를 내려받을 가능성이 매우 낮으며, 악성코드를 예방하기 위해 설치하는 백신도 그 역할을 제대로 하지 못한다”고 지적했다.

하지만 루드비히 총괄 엔지니어의 발언에 동의하긴 힘들다. 그가 우리나라의 상황을 인지하고 있다면 자신의 발언이 실언이었음을 인정할 것이다.

우리나라 경찰청 통계에 따르면 지난해 스미싱 피해는 신고된 것만 2만8469건, 피해액은 약 54억원에 달하고 있다. 사용자 대비 피해자 비율을 따져보면 0.1%에 불과하지만 앞으로 더 늘어날 가능성도 배제할 수 없다.

특히 금전적인 피해를 입은 사용자가 이정도에 달하는데 집계되지 않는 단순한 스파이 앱등으로 인한 개인정보유출까지 고려한다면 그 수치는 더 높아질 수 있다.

모바일 운영체제가 안전하다면 구글의 말처럼 백신은 필요없을 수 있다. 하지만 오픈플랫폼을 주창하는 구글이 아무런 조치를 취하지 않고 ‘안전하다’고 주장하는 것은 오만이다.
2014/07/16 16:47 2014/07/16 16:47
사용자 삽입 이미지

구글은 지난달 25일 미국 샌프란시스코 모스콘센터에서 구글 개발자행사(I/O)를 개최하고 웨어러블(Wearable) 운영체제(OS)인 ‘안드로이드 웨어’를 선보였다.

‘안드로이드 웨어’ 역시 웨어러블이란 목적에 최적화돼 있으나 본질적으로는 안드로이드를 기반으로 하고 있다. 이날 구글은 또 ‘안드로이드 오토’라고 불리는 차량용 플랫폼도 내놨다.
사용자 삽입 이미지

via forbes


이번 행사에서는 구글이 안드로이드로 세계 재패를 꿈꾸고 있다는 사실을 다시 한번 확인할 수 있었다.

하지만 원초적인 사안으로 돌아가 보자. 안드로이드의 확산이 마냥 반가운 일일까?


안드로이드에는 ‘보안’에 있어서 절대 자유롭지 못하다. 하루가 멀다하고 등장하는 수십개의 악성 애플리케이션이 이를 뒷받침 한다.

물론 악성 앱이 많다는 것이 안드로이드OS 자체가 보안에 취약하다는 의미는 아니다. 사용자가 어떻게 쓰느냐에 따라 보안이 취약해질 수 있다는 뜻으로 해석하는 것이 옳다.

안드로이드의 개방성을 다시 한번 짚어보자.


구글은 슈퍼유저(SU) 권한을 얻을 수 있는 루팅(rooting)이나 서드파티 앱의 설치가 자유롭다는 것이 개방성이라고 주장한다.


하지만 개방성보다 안전성을 중요시하는 사용자들에게는 선택의 권한도 주지 않는다. 그나마 스마트폰 제조사에서 관련된 기능을 삽입하곤 한다.
사용자 삽입 이미지


안랩의 통계자료에 따르면(http://www.ddaily.co.kr/news/article.html?no=117957) 올해 1분기에 총 43만5122개의 안드로이드 기반 악성코드 샘플이 수집됐다.

이는 지난해 동기 20만6628개 대비 2배 가량 증가한 수치다. 이는 2012년 1분기 1만1923개 대비 36배 증가한 것이며, 2012년 전체 악성코드 진단 건수(26만2699개) 보다 약 1.7배 가량 증가한 수치다.

현재 안드로이드의 가장 큰 장점이자 단점은 서드파티 앱의 설치가 자유롭다는 점이다. 단지 ‘*.apk 파일’을 내려받고 설치했는데 스마트폰에 저장된 공인인증서가 유출되고, 연락처 정보와 문자메시지 정보가 외부로 빠져나간다.

사용자의 부주의일 수도 있으나 본질적인 문제는 안드로이드가 가지고 있다. 안드로이드가 타 모바일OS에 비해 좋지 않다라고 주장하는 것은 아니다.

현재 상황을 근거로 했을 때 스마트폰에만 한정돼 있던 안드로이드의 문제점이 웨어러블이나 차량으로까지 확산될 수 있다는 가능성을 고민해봐야 한다.

구글 플레이(옛 안드로이드 마켓)에 올라간 앱들의 검증을 보다 철저히 하고, ‘알 수 없는 출처에서 설치’ 항목을 기존 영역에서 개발자 도구 영역으로 옮기거나, 아예 삭제해 서드파티 앱을 터미널 등으로만 설치할 수 있도록 한다면 보다 안전해질 것으로 기대한다.
2014/07/01 10:25 2014/07/01 10:25
[IT전문 미디어 블로그=딜라이트닷넷]


모바일 악성코드가 국내 포털 자료실을 통해 배포된 사례가 나왔습니다.

 

아직까지 피해가 보고되진 않았지만 국내에서 안드로이드 기반 악성코드가 국내 포털 자료실을 통해 배포된 첫 사례로 남을 것 같습니다.

문제가 되는 앱은 ‘새해 2012 라이브 월페이퍼’라는 앱입니다. 해당 앱은 안드로이드폰에서 배경화면을 바꿔주는 앱으로 중국 개발사로부터 제작, 배포된 것으로 알려졌습니다.

이번 사례에서 눈여겨봐야할 점은 대형 포털 자료실에서 이 파일이 배포됐다는 것입니다. 해당 앱은 안드로이드 마켓과 LG유플러스에서 서비스되고 있는 심파일에서 배포됐으며, 약 40여명이 내려받은 것으로 알려졌습니다.


이를 처음으로 발견한 잉카인터넷 대응팀에서는 “해당 앱을 설치하면 구글 계정, 안드로이드 아이디, 설치된 패키지 리스트, 국가코드 정보 등을 유출시키도록 시도한다”며 “테스트를 위해 개발된 것으로 보인다”고 설명했습니다.

심파일에서는 사용자가 직접 앱을 등록할 수 있도록 돼있습니다. 다만 안드로이드 앱 파일 (APK)을 직접 등록하는 것이 아니라 안드로이드 마켓의 주소를 링크시키도록 돼 있습니다.

즉, 심파일 사용자가 해당 앱의 링크를 클릭하면 안드로이드 마켓으로 이동되고, 거기에서 앱을 내려받을 수 있습니다. (현재 해당 앱은 안드로이드 마켓에서 내려간 상태입니다)


그렇다보니 엄밀하게 따지자면 심파일이 악성 앱을 배포한 것은 아닙니다. 그 통로를 제공했을 뿐이니까요. 그러나 국내 대표격 자료실인 심파일이 그 통로 역할을 했다는 점에서 경각심을 가져야할 필요가 있습니다.

아울러 심파일은 네이버, 다음, 네이트와 제휴를 통해 자료실 서비스를 제공하고 있습니다. 심파일 자료실에 악성 앱이 올라왔음에도 불구하고 다운로드 건수가 낮은 것은 포털들은 모바일 자료실은 따로 운영하고 있지 않기 때문입니다. 불행 중 다행이라고 할 수 있습니다. 현재 해당 앱은 안드로이드 마켓, 심파일에서 내려간 상태입니다.

이번이 보안업체에서 발견한 첫 사례이지만 이전에도 이런 일이 많이 있었다고 합니다. 한 개발자는 “각종 커뮤니티에서 배포, 소개되는 앱 중에 이런 앱들이 다수 존재하고 있다”며 “자료실만 잘 살펴보더라도 지금은 삭제되고 없는 앱들이 부기지수다. 이러한 앱들은 구글이 보안상 문제로 앱을 내린 것”이라고 전했습니다.

그는 이어 “아직까지 안드로이드 악성코드는 스마트폰 시스템을 파괴시키는 것이 아니라 사용자 정보를 습득하기 위한 것이 많다”며 “안드로이드 앱을 설치할 때 어떤 권한을 요구하는지 잘 살펴봐야하며, 그것이 어렵다면 모바일 백신을 설치하는 것이 안전하다”고 덧붙였습니다.

한편, 해당 앱이 요구한 권한은 ▲위치 ▲네트워크 통신 ▲개인정보 ▲전화통화 ▲시스템 도구 ▲하드웨어 제어 등입니다.


일반적인 배경화면 앱들은 ‘배경화면 설정’의 권한만 가지고 있다는 것으로 유추할 때 비상식적으로 많은 권한을 요구하고 있다는 것을 알 수 있습니다.

자신이 설치하려고 하는 앱이 필요이상의 권한을 요구하는지는 ‘상식선’에서 생각하면 쉽습니다. ‘이 앱이 특정 기능을 수행하기 위해 어떤 권한이 필요할까?’라는 질문을 스스로에게 던져보세요.

[이민형 기자 블로그=인터넷 일상다반사]

2012/01/09 09:37 2012/01/09 09:37


안드로이드 악성코드로 인해 피해를 입은 사례가 국내에서도 하나 둘씩 나타하고 있습니다.

최근에 안드로이드 악성코드에 피해를 입었다는 제보도 들어오고 있습니다. 지난 28일 ‘안드로이드 악성코드, 급증하는 이유는?’라는 기사를 보고 전화를 주신 독자가 있었습니다.

A라는 사용자는 안드로이드 마켓에서 애플리케이션(앱)을 내려받았는데 정보이용료로 23만원이 청구됐다고 제보해왔습니다.

그는 이동통신사 상담직원과 통화해 그 정보이용료가 안드로이드 마켓에서 내려받은 어떤 앱을 사용한 이용료인 것을 인지하게 됐다고 합니다. 그러나 상식적으로 앱을 내려받아 몇 번 실행했을 뿐인데 수십만원의 정보이용료가 나온다는 것은 의아한 일이지요.

그래서 인터넷을 찾아보니 악성코드로 인한 금전적인 손해가 발생할 수 있다는 기사를 보고 저에게 전화를 한 것이었습니다.

그 사용자는 “해당 앱의 이름은 정확히 기억나지 않아요. 지금 찾아보니 안드로이드 마켓에서는 내려가 있네요”라며 “단 몇분만에 20만원이 훌쩍 넘는 정보이용료가 청구됐는데 이 같은 피해는 누가 보상해주나요?”라고 반문했습니다.

실제로 이런일이 있을 수 있는지 구글 안드로이드 마켓 담당쪽에 문의를 했습니다.

Q : 안드로이드 마켓에서 악성코드가 탑재된 앱이 존재할 수 있는가?
A : 악성코드가 있는 앱은 구글에서 차단을 하기 때문에 존재하지 않는다.

Q : 지난 3월, 6월 각각 악성코드가 심어진 APK 파일이 마켓을 통해 유통된 적이 있고, 이에 대해 구글측에서 직접 조취를 취한 적이 있는데 이는 어떻게 된 것인가?
A : 마켓을 모니터링하는 직원이 상시 있기 때문에 문제가 발생하기 전 진단한 것 뿐이다.

아울러 이러한 악성코드에 피해를 입더라도 구제할 수 있는 방법은 거의 없다고 하네요.

이와 관련해 모바일 보안솔루션 업체들에게 문의를 했으나 해당 앱의 이름도 모르는 상황에서 왈가왈부하긴 곤란하다는 입장을 비췄습니다.

이러한 문제는 구글이 안드로이드 마켓에 올라오는 앱들을 사전에 검수하지 않기 때문입니다. 애플과 달리 안드로이드 마켓은 개발자 등록비 25달러만 지불하면 언제든지 앱을 마켓에 올릴 수 있습니다. 이 때문에 구글에게 책임을 묻기가 힘든 것이 사실입니다.

이는 재래시장에서 상인들이 파는 물건에 대한 책임을 재래시장 조합장이 지지 않는 것과 동일한 개념입니다. 물론 도의적인 책임은 질 수 있겠지만, 문제해결에는 도움이 되지 않습니다.

그렇다보니 마켓에 등록된 앱이 어떠한 악성코드와 문제점을 안고 있는지 사용자는 알 방법이 없습니다. 단지 해당 앱이 어떠한 권한(통화내역, SMS, 인터넷, GPS 사용 등)을 이용하는지 파악할 수밖에 없습니다.

이번 사례는 안드로이드는 앱 리패키징(App. RePackaging)이 수월하다는 점을 악용한 것 처럼 보이기도 합니다. A 사용자는 로비오사의 앵그리버드와 유사한 앱을 내려받은 이후에 정보이용료가 청구됐다고 전했습니다.

안드로이드 앱은 ‘APK’ 형식을 가진 파일로 내려받게되는데, 이는 일종의 압축파일입니다. 압축을 풀고 악성코드를 심은 다음 다시 패키징 작업을 거치면 겉으로 보기에는 정상적인 앱으로 보일 수 있습니다.

가정을 하자면 앵그리버드 APK 파일을 분해해 특정 영역에 결제나 과금을 할 수 있는 프로세스를 심어두고 이를 다시 패키징해서 올렸을 수도 있다는 의미입니다.

안드로이드 마켓에서 악성코드로 인한 피해를 입었다면 구제받기가 매우 힘듭니다. 이를 방지하기 위해서 자신의 스마트폰은 자신이 지킨다는 생각을 해야할 것 같습니다.

안철수연구소, 이스트소프트, 쉬프트웍스 등의 보안업체들이 무료로 제공하는 모바일 백신을 꼭 설치하고, 앱을 내려받아 설치하기 전 사용자들의 평가를 유심히 살펴보길 바랍니다.

아울러 의심가는 앱은 애초에 내려받지 않는게 좋다는 것은 당연히 알고 계실 것이며, 불필요한 앱은 삭제하는 것도 좋은 방법입니다.



2011/12/30 09:35 2011/12/30 09:35
안드로이드 기반 스마트폰의 개인정보와 금전적인 수익을 노리는 악성코드가 폭발적으로 늘어나고 있다.

이는 안철수연구소, 시만텍, 블루코트 등 국내외 보안업체들이 올해 보안위협 동향 보고서에 ‘모바일 악성코드 급증’이라는 것을 새롭게 추가할 정도로 심각한 수준이다.

안철수연구소 시큐리티대응센터에 따르면 올해 상반기에 발견된 안드로이드 악성코드는 128개, 하반기에 발견된 악성코드는 2251개로 약 17배 증가한 것으로 나타났다. 악성코드의 대부분은 스마트폰의 원격조정을 이용해 금전적인 수익을 얻고자하는 형태가 가장 많았으며, 개인정보를 탈취하기 위한 목적이 그 뒤를 이었다.

눈여겨봐야할 점은 악성코드의 급증은 ‘안드로이드’에 국한된다는 점이다. 애플 아이폰에서의 침해사고는 지금까지 국내에 등장한 바 없다.

보안업계에서는 안드로이드의 개방성이 이러한 문제점을 안고있다고 주장했다. 별다른 조작없이도 서드파티 애플리케이션(앱) 설치가 가능하고, 기기 통제를 위해 권한을 세분화 해둔 것이 역으로 작용했다는 분석이다.

◆악성코드 급증, 왜 안드로이드만?=안드로이드 기반 스마트폰을 노리는 악성코드가 급증하고 있다는 사실은 그만큼 안드로이드 기반 앱을 개발, 배포하기 쉽다는 의미와 같다.

안드로이드에서는 개발자가 제작한 앱을 배포하기 위해서는 25달러의 등록비를 구글에 내면된다. 여기서 짚고 넘어가야할 부분은 구글에서 안드로이드 마켓에 등록된 앱에 대한 검수작업을 하지 않는다는 점이다.

그렇다보니 마켓에 등록된 앱이 어떠한 악성코드와 문제점을 안고 있는지 사용자는 알 방법이 없다. 단지 해당 앱이 어떠한 권한을 이용하는지 파악할 뿐이다.

안드로이드는 앱 리패키징(App. RePackaging)이 수월하다는 점도 악용된다. 안드로이드 앱은 ‘APK’ 형식을 가진 파일로 내려받는데, 이는 일종의 압축파일이다. 압축을 풀고 악성코드를 심은 다음 다시 패키징 작업을 거치면 겉으로 보기에는 정상적인 앱으로 보인다.

해커들은 많은 사람들에게 인기가 있는 정상적인 앱을 분해해서 악성코드를 심고, 인터넷 등지에서 재배포한다.

가격, 지역 등의 문제로 인해 해당 앱을 사용하지 못하는 사용자들은 불법으로 해당 앱을 내려받아 자신의 스마트폰에 설치하게 되고, 이는 악성코드 감염으로 이어진다.

특히 안드로이드는 아이오에스(iOS)와 같이 탈옥이라는 번거로운 절차를 거치지 않아도 정식 유통과정을 거치지 않은 앱들을 설치할 수 있어 위험성이 크다.

어떤 악성코드들이 있나?=현재까지 보고된 안드로이드 악성코드는 스마트폰에 저장된 개인정보나 금전적 이익을 취하기 위한 것들이다.

특정번호로 문자를 보내면 문자를 받은 사람에게 수익이 생기는 프리미엄SMS 악성코드가 올해 3분기에 발견돼 보안업계에서 조치에 나섰으며, 스마트폰의 IMEI(이동전화단말기식별번호), 구글 계정, 주소록 등을 수집해 특정 서버로 전송하는 악성코드도 지난해 발견돼 전세계적으로 이목을 끌었다.

악성코드는 아니지만 국내에서도 유사한 사례가 발생한 적도 있다. 지난 4월 생활정보와 관련된 무료 앱들을 안드로이드 마켓에서 배포하고 이를 설치한 사용자들의 위치정보를 무단으로 수집, 해당 정보를 활용해 위치기반 광고를 해왔던 사업자들이 검거된 사건이 발생했다.

해당 사건은 해커들이 나쁜 마음을 먹으면 쉽게 안드로이드폰 사용자들의 개인정보를 탈취할 수 있다는 선례로 남아있다.

수법도 다양해졌다. 과거 서드파티 마켓, 블랙마켓에서 배포되던 악성코드 앱들이 이제는 QR코드 등으로 배포되는 방식이 사용되고 있는 것.

지난 10월 러시아 한 기업에서는 안드로이드 앱 홍보를 위해 해당 앱을 바로 내려받을 수 있는 QR코드를 사이트에 공개했다. QR코드를 읽으면 자동으로 앱을 내려받아 설치하게 되는데 해당 앱을 설치하면 프리미엄SMS를 보내 금전적인 손해를 입게된다.

QR코드는 겉으로 보기에 어떤 내용인지 알 수 없기에 사용자들의 주의를 요한다.

◆막을 방법은 없나?=안드로이드 악성코드를 막을 수 있는 가장 좋은 방법은 의심가는 앱을 설치하지 않는 것이다.

그러나 사실상 이러한 방법은 원론적인 방법이며, 현실적으로 불가능하다. 이에 대해 국내 안드로이드 개발자 메디오스는 몇 가지 방법을 소개했다.

1.안드로이드 마켓이 아닌 곳에서 받은 APK 파일은 설치를 지양한다.
2.모바일 안티바이러스를 사용한다.
3.앱 설치시 어떠한 권한을 사용하는지 유심히 살펴본다.
4.특정 앱을 설치한 이후 비정상적으로 배터리가 빨리 닳는 경우는 의심해 봐야 한다.
5.되도록 루팅을 하지 않는다.
6.개인정보를 되도록 스마트폰에 저장하지 않도록 한다.


2011/11/27 09:34 2011/11/27 09:34


구글과 오라클, 양사의 특허소송이 시작된지 약 1년이 지나면서 소송전에 대한 윤곽이 하나 둘씩 드러나기 시작했습니다.

지난 6월 샌프란시스코 연방법원은 오라클의 요구에 따라 소송장을 공개했는데 해당내용의 골자는 다음과 같습니다.

‘구글은 오라클의 139개의 특허를 침해했으므로 61억 달러의 피해배상액을 지불하라’

당초 비밀리에 진행됐던 소송전이 오라클에 의해 공개되면서 구글은 적극적으로(혹은 공개적으로) 반박하기 시작했습니다.

구글 스콧 바인개트너 고문변호사는 성명서를 통해 “오라클이 우리에게 요구한 61억 달러의 피해보상금은 터무니없는 금액”이라며 “그 이전에 61억 달러가 오라클에게도, 우리에게도 의미가 없다. 아직 끝나지 않은 것”이라고 발표했습니다.

앞서 구글은 연방법원에 오라클이 요구한 금액에 대한 반박서신도 보냈습니다. 해당 서신에는 “오라클이 14~61억 달러의 피해배상액을 책정한 절차를 이해할 수 없으며, 그 정도의 가치가 있는 것도 아니다”라고 밝히기도 했습니다.

같은 달, 미국 특허상표등록청(USPTO)은 “오라클이 구글 안드로이드가 침해했다는 7개의 특허 중 1개의 특허를 심사한 결과 21개의 청구항 중 17개가 부적합하다고 판단해 심사를 거절했다”고 밝혔습니다.

순간 들으면 구글에게 좋은 일 같으나 여전히 4개의 청구항은 남아있고, 남은 6개의 특허들 내에 118개의 청구항들도 특허청의 재심사 과정이 진행되고 있어 긴장의 끈을 놓을 수는 없겠죠.

상황이 급박하게 변하자 구글도 조바심을 내기 시작합니다. 모바일 관련 특허가 절실하게 필요한 상황이 닥친 것 입니다.

구글은 모바일 특허를 다량 보유한 노텔을 인수하려고 마음 먹습니다. 그러나 노텔을 인수하려는 곳은 구글 외에도 애플, 마이크로소프트, 에릭슨, 림 등의 업체들도 호시탐탐 노리고 있었지요. 구글을 제외한 나머지 업체들은 애플 컨소시엄(EMC, MS, 에릭슨, RIM, 소니)을 짜고 노텔 경매전에 참여합니다.

MS는 구글을 해당 컨소시엄에 참여할 수 있도록 배려했으나 구글은 이를 거절하고 단독으로 노텔 경매전에 참여합니다.


당시 노텔을 인수하기 위해 구글이 제시한 입찰액은 31억4158만달러. 업계에서는 노텔 인수를 위해서는 최소 40억 달러가 필요할 것으로 예상했으나 구글은 개의치 않았습니다. 결국 구글은 노텔 인수에는 실패했지요.

(31억4158달러는 원주율 3.14159265358... 에 근거하고 있다는 루머도 있습니다. 달리 생각해보면 경쟁사들과 함께 특허를 공유할 바에 훗날 모토로라모빌리티를 인수하겠다는 의지가 있었을지도 모르겠습니다)

노텔 인수에 실패한구글은 지난 7월 IBM으로부터 1000개 이상의 특허를 매입하고, 8월에는 모토로라 모빌리티를 인수하며 방어전선을 꾸립니다.

이렇게 양사가 소모전만 지속하며 소송이 끝날 기미를 보이지 않자 미 법원은 양사 최고경영자(CEO)를 법정에 소환해 합의하도록 했습니다.

지난 20일, 21일 구글 래리 페이지 CEO와 오라클 래리 엘리슨 CEO는 미국 캘리포니아 산호세(세너제이) 연방지방법원에서 만나 협상을 진행했습니다.

이번 특허침해소송, 협상은 비공개로 진행됐으며 결과가 공개되지는 않았으나 양사의 이견을 좁히지 못한 것으로 알려졌습니다.

외신들은 오라클이 당초 61억달러 피해보상금에서 한발 물러나 11억6000만 달러를 요구했다고 보도했습니다. 그러나 구글은 이를 거부하고 1억달러 이상은 낼 수 없다고 말했다고 합니다.

구글이 말하는 ‘1억달러’는 법원에서 오라클과 합의를 하라고 권고했기 때문에 나온 금액이며 자신들은 여전히 자바 특허를 침해하지 않았다는 입장을 표명하고 있습니다.

이로써 구글과 오라클의 1차 공방전은 내달 31일 열리는 법정심리에서 결정될 것으로 보입니다.

[이민형 기자 블로그=인터넷 일상다반사]

2011/09/26 15:38 2011/09/26 15:38


최근 글로벌 IT기업들간의 소송전 중 가장 많은 관심을 받고 있는 것은 구글과 오라클의 특허소송전일 것입니다.

물론 삼성전자와 애플컴퓨터의 소송도 눈여겨볼 만하지만 구글-오라클 소송전에 더 관심이 많을 것이라고 판단한 것은 소송의 결과에 따라 전세계 모바일 시장이 뒤흔들릴 수 있기 때문입니다.

이번 소송이 오라클의 압도적인 승리로 끝맺음된다면 안드로이드폰 제조사, 이동통신사들은 안드로이드폰 제조, 유통에 큰 무리가 갈 것이고 이는 소비자에게로 이어질 것입니다.

얼마전에는 구글 래리 페이지 최고경영자와 오라클 래리 엘리슨 최고경영자가 법정에서 만나 협상을 하기도 했습니다만, 유의미한 결과는 나오지 않았습니다.

이번 포스팅에서는 구글과 오라클의 특허전쟁을 다시 한번 재조명해보려고 합니다.


◆오라클, 썬마이크로시스템즈 인수하며 전쟁의 시작을 알리다

컴퓨터공학을 전공한 사람이라면 한번쯤은 다뤄본다는 자바(Java).

자바는 썬마이크로시스템즈(썬)의 제임스 고슬링이 개발한 객체지향 언어입니다. 처음에는 가전제품에서 특정 기능을 독립적으로 운용할 수 있도록 개발됐으나 현재는 웹, 모바일 애플리케이션 개발에 널리 사용되고 있습니다.

썬은 자바와 함께 코딩SW인 이클립스를 함께 공개했습니다. 누구나 자바로 프로그램을 개발할 수 있고 판매도 할 수 있도록 말이죠.

 

전세계 스마트폰 시장의 40%를 차지하고 있는 안드로이드가 바로 자바를 사용합니다.

2009년 4월 상황이 급박하게 돌아가기 시작합니다 오라클이 썬을 인수하면서 썬이 보유한 모든 기술특허를 함께 취득했기 때문입니다. 업계에서는 오라클이 자바특허를 내세우며 소송을 추진할 것이라고 예상했습니다.

이듬해 8월 12일, 오라클은 구글을 상대로 특허침해소송을 걸었습니다. 구글이 자바 라이선스를 획득하지 않았음에도 불구하고 무단으로 사용했다는 것이 소송의 이유였습니다.

구글과 오라클, 전쟁이 시작됐습니다.

(안드로이드는 리눅스커널을 기반으로 자바가상머신(정확히 달빅가상머신)을 사용하고, 자바로 개발된 앱을 구동시킬 수 있습니다)


◆구글의 반박, 이어진 오라클의 반박

오라클이 61억달러(이는 2011년 6월에 밝혀졌습니다)의 특허침해 소송을 내자 구글은 즉각 부인에 나서며 반박자료를 제출했습니다.

구글은 공문을 통해 ‘안드로이드는 아파치소프트웨어재단(Apache Software Foundation, ASF)의 아파치 하모니 자바 임플리멘테이션(Apache Harmony Java Implementation, AHJI)의 서브셋을 사용했다고 밝혔습니다.

오라클이 주장하는대로 안드로이드는 자바 표준코드를 사용하지 않았다는 것입니다.

자세한 내용을 쓰자니 너무 길 것 같고 자바표준과 AHJI의 관계에 대해 간략하게 정리해보겠습니다.

AHJI는 아파치 하모니 프로젝트에서 나왔고 ASF가 개발했습니다.

ASF는 자바기술표준협회(JCP)에 소속돼 있었는데 지난해 11월 JCP에서 탈퇴하게 됩니다. 오라클이 썬을 인수하면서 오픈소스인 자바를 상업적인 용도로 사용하려고 하고 있어 더 이상 함께 활동하지 못하겠다고 밝힌 것입니다.

자바가 기업에서 쓸 수 있는 오픈소스로 공개된지는 오래되지 않았습니다. 썬은 2007년 자바 스탠다드 에디션(JavaSE)를 GPL(자유소프트웨어라이센스)로 공개한 직후 오픈소스라고 불리게 된 것이죠.

(ASF는 썬이 자바를 공개하기전부터 자바를 오픈소스로 만드려는 노력을 해 왔습니다)

그러나 썬은 여기에 단서를 달았는데 자바 모바일 에디션(Java ME)와 자바 엔터프라이즈 에디션(Java EE)는 라이선스를 취득해야 사용할 수 있도록 했으면서, 자바 스탠다드 에디션을 모바일에 사용하지 못하도록 규제했습니다.

상황이 이렇게 되자 구글은 썬의 자바 코드를 사용하지 않고 AHJI를 사용하게 됩니다.

하지만 오라클은 이를 인정하지 않고 구글이 자신들의 자바 코드를 사용해 부당이익을 취하고 있다고 주장합니다.

이때부터 오라클은 기술문서를 작성해 법원과 미 특허청(FTA)에 제출했고 현재도 이 상황은 지속되고 있습니다.


◆구글 “우리는 달빅가상머신 쓴다”…오라클 “그것도 우리 기술 침해”

구글이 자바의 특허를 침해하지 않았다고 주장하는 것에는 AHJI도 있지만 기저에는 자체적으로 개발한 달빅가상머신<상단 이미지>이 깔려있습니다.

달빅가상머신(DVM)은 구글에서 자바가상머신(JVM)을 기초로 만든 새로운 가상머신입니다. 레지스터 머신형태를 띄고 있으며 안드로이드에 탑재됐습니다.

달빅가상머신은 자바가상머신과 달리 낮은 메모리에서도 구동될 수 있도록 개발됐습니다. 모바일 디바이스에 최적화된 가상머신이라고 봐도 무방한 것이죠.

이 때문에 구글은 ‘자바가상머신과 달빅가상머신은 다른 것으로 봐야한다’고 주장합니다. 달빅가상머신에서 구동되는 코드(.dex)는 자바가상머신에서 돌아가는 코드와 전혀 다르기 때문입니다.

그러나 오라클은 달빅가상머신이 자바 스탠다드 에디션을 기초로 JNI, OEM(자바API)를 짬뽕시켜 만들었다고 주장하고 있습니다.

지난 4월 청문회에서 오라클 담당 변호사는 안드로이드 개발자들이 자바 내에서 코딩을 하고, 컴파일러를 통해 코드를 실행하는데, 비록 코드는 자바 가상머신이 아니라 구글의 달빅 가상머신에서 구동되는 .dex 파일로 변환되지만 기본적인 원칙은 똑같다고 주장하기도 했습니다.

2011/09/26 15:35 2011/09/26 15:35