세계 130만개 구글 계정이 해킹 당하는 사건이 발생했다. 구글 포토와 구글 플레이, 구글 독스, 지메일 계정을 사용하는 구글 사용자들이 피해 대상이 됐다. 이번 해킹은 구형 안드로이드 운용체계(OS)인 `젤리 빈`과 `키캣`, `롤리팝`의 보안 취약점을 악용, 일어났다.
30일(현지시간) 외신에 따르면 글로벌 보안회사 체크포인트는 `굴리건(Gooligan)`이라는 악성코드(멀웨어)가 지난 8월 발견된 후 매일 1만3000개 안드로이드 기기를 감염시키고 있다고 밝혔다.
체크포인트에 따르면 이 감염으로 세계에서 130만개 이상 구글 계정이 유출됐다. 이중 57%는 아시아 지역 사용자 계정이다. 또 미국이 19%, 유럽과 아프리카가 각 9%다. 체크포인트는 “역대 최대 구글 계정 유출 사고”라고 설명했다.
이 멀웨어는 안드로이드 운용체계(OS) 4, 5 버전의 취약점을 공격한다. 서드파티 앱스토어에서 다운로드되는 앱으로 유포된다. `굴리건`은 정상적인 안드로이드 앱으로 위장한다. 체크포인트가 발견한 굴리건 포함 앱은 총 86건이다. 또 피싱메시지를 클릭해 굴리건에 감염되기도 한다.
굴리건이 포함된 앱이 기기에 설치되면 루트 권한을 탈취해 사용자 장치를 제어한다. 악성 코드가 지메일, 지메일드라이브, 포토 등 사용자 구글계정에 접속할 수 있는 토큰을 감염시켜 주요 계정정보를 해킹 명령서버로 보낸다.
구글은 조사 결과 멀웨어는 개인 이메일이나 파일에는 액세스하지 않았다고 밝혔다. 안드로이드 보안팀이 감염된 계정을 조사했지만 악성 코드가 데이터에 접근했거나 토큰을 악의적으로 사용했다는 증거는 아직 발견되지 않앗다. 특정 사람이나 조직을 대상으로하는 증거도 없었다.
구글은 “멀웨어 제작자는 구글플레이 앱순위를 관리하는 데 힘을 쏟는 것처럼 보인다”고 말했다. 악성 코드는 빼낸 계정으로 구글 플레이에 접속해 스폰서 앱을 자동설치하거나 별 5개 리뷰 평가를 남겨 광고비를 받는 방식으로 멀웨어를 악용한 것으로 드러났다고 체크포인트는 밝혔다.
권상희기자 shkwon@etnews.com
