나도 모르는 사이 스마트폰에 설치돼 사적인 대화는 물론이고 신용카드 결제 내역, 임시 비밀번호까지 모두 가져가는 악성앱이 등장했다. 국내 점유율 90%가 넘는 안드로이드폰 취약점을 노린 공격으로 주의가 요구된다.
빛스캔(대표 문일준)은 안드로이드 스마트폰으로 모바일 웹사이트를 방문만 해도 악성 앱에 노출되는 공격을 발견했다고 31일 밝혔다. 과거 공격자는 주로 문자메시지(SMS)로 악성코드가 담긴 인터넷 주소(URL)를 보내 URL을 클릭하면 악성코드가 스마트폰에 내려왔다. 이제는 URL을 클릭하지 않아도 자동으로 악성앱 코드가 내려오고 설치를 요구한다.
공격자는 유명 피자회사 모바일 웹사이트를 악서 앱을 유포하는 통로로 악용했다. 안드로이드 스마트폰 사용자가 피자를 주문하려 사이트를 방문하면 악성 앱이 스마트폰으로 내려온다. 사용자가 피자를 주문하는데 필요한 앱으로 착각하고 설치를 누르면 악성코드에 감염된다.
감염된 스마트폰은 공격자 서버로 사용자의 모든 SMS를 보낸다. 인터넷 뱅킹에 사용되는 SMS 인증문자는 물론이고 전자상거래 간편 결제에 쓰이는 인증번호, ID와 비밀번호 재발급시 발급되는 임시 번호, 사적인 메시지까지 모두 전송한다.
이 같은 모바일 악성 앱은 PC보다 더 큰 위협을 초래한다. 많은 안드로이드폰 사용자가 모바일 백신을 꺼두는데다 OS 업그레이드에 소홀하기 때문이다. 안드로이드 취약점 발생시 구글과 제조사, 통신사가 함께 업데이트를 제공해야해 적시에 보안 구멍을 막기 힘들다.
크롬과 사파리 등 PC 웹브라우저는 악성코드를 유포하는 사이트 방문을 예방하고 심각성을 알린다. 하지만, 모바일 웹브라우저는 기능이 제한적이거나 아예 없는 경우도 많다.
문일준 빛스캔 대표는 “이미 피해자가 발생하기 시작했다”며 “공격자 서버에 로그인해 수집된 정보를 확인한 결과 접속자 현황, SMS 송수신 등 스마트폰에서 주고받는 데이터를 확인할 수 있는 관리 페이지가 존재했다”고 설명했다. 그는 “민감도 높은 정보가 모두 빠져나가 공격자가 이를 활용해 금융 사고를 낼 수 있다”고 덧붙였다.
김인순기자 insoon@etnews.com