모바일악성코드



모바일 악성코드란 모바일 기기에 악의적인 목적을 위해 설치되고 실행되는 프로그램을 총칭하는 말이다. 스마트폰이 악성코드로 침투하는 경로는 블루투스나 와이파이 등의 무선 통신, SMS나 MMS 메시지 수신, 애플리케이션 다운로드 및 설치, 외부 메모리 또는 PC 연결, 악성코드가 숨겨진 웹사이트 접속 등이다. 악성코드는 프로그램 오동작, 정보 유출, SMS나 MMS 메시지 무작위 전송, 데이터 변형, 기기 손상 등의 영향을 끼친다.

모바일 악성코드는 2000년대 들어 하나 둘 나타나다가, 2004년 블루투스를 통해 전파되는 모바일 바이러스 ‘카비르(Cabir)’가 발견되며 본격적으로 대중에게 인식되기 시작했다. 이 악성코드는 당시 노키아, 모토롤라 휴대폰에 사용된 심비안 OS에서 발견되었는데 휴대폰을 켤 때마다 ‘Caribe’라는 문자를 출력하는 바이러스였다. 이후 아이콘 모양을 해골 모양으로 바꾸는 ‘스컬스(Skulls)’, 주소록을 MMS로 전송시키는 ‘컴워리어(CommWarrior)’ 등 다양한 모바일 악성코드가 등장하기 시작했다.

현재 나타나는 악성코드의 형태도 비슷하다. 가장 많이 발견되는 악성코드의 유형으로 ‘트로이 목마(Trojan)’이 있다. 이 유형은 자기 복제 기능은 없지만, 유용한 프로그램으로 가장, 침투해 여러 가지 정보를 유출한다. 수신 받은 문자 메시지나 사용자 위치 정보를 유출하거나 SMS로 송신하여 과금을 유도하기도 한다. 최근에 발견된 ‘Android-Trojan/Zitmo’는 ‘Android Security Suite Premium’ 이름의 보안 애플리케이션으로 가장해 애플리케이션을 설치하면 과도한 권한을 요구하여 스마트폰 정보를 유출한다.

이외에 사용자에게 광고 팝업을 계속적으로 보여주는 ‘애드웨어(Adware)’, 사용자 허가 없이 설치해 사용자 정보를 수집하는 ‘스파이웨어(Spyware)’, 몰래 침투해 다른 악성 코드를 다운로드 시키는 ‘드로퍼(Dropper)’, 기기의 보안 취약점을 이용해 기기의 보안을 해제하거나 DoS(도스) 공격에 이용되는 좀비 스마트폰을 만드는 ‘익스플로잇(Exploit, 취약점 공격)’ 등이 있다. 이때 악성코드가 실행하는 보안 해제는, 스마트폰의 기능 제약을 풀어 기기의 모든 권한을 획득해 특정 애플리케이션 설치, 삭제, 녹음, 문자 발송 등의 작업을 할 수 있도록 하는 것을 말한다.

악성코드는 정상적인 애플리케이션에 악성코드를 삽입해 다시 제작하는 리버싱, 리패키징 작업을 통해 다시 배포하는 경우가 있다. 이 경우 공인된 앱 스토어가 아닌 비공식 앱 스토어인 서드 파티 마켓(Third-party Market)에 등록하는 경우가 많아 서드 파티 마켓이 악성 코드의 온상으로 자리 잡고 있다. 실제로 한 유명 게임 애플리케이션에 악성코드를 심어 중국 서드 파티 마켓에 재배포한 사건이 큰 문제가 되기도 했다. 이 애플리케이션에 사용된 악성코드는 Android-Exploit/Rootor.TC로 애플리케이션을 설치하면 정보 유출 및 보안 해제 등이 명령이 실행되었다.

악성 코드 이름을 보면 대부분 'Android'로 시작하는 것을 볼 수 있는데 이는 안드로이드 운영체제에서 동작하는 악성코드이기 때문이다. 안드로이드용 악성코드가 많은 이유는 안드로이드 운영체제가 오픈소스 형태를 가지고 있어서 악성코드로 접근하기 쉽기 때문이다. 반면 아이폰은 폐쇄적인 운영체제이고 애플리케이션도 애플사에서 직접 검사해서 등록하므로 애플리케이션을 통한 악성 코드가 안드로이드폰에 비해 '상대적으로' 적은 편이다.

모바일 악성코드에 대한 다양한 정보를 확인하려면, '안랩(AhnLab)' 홈페이지에 접속한다. [시큐리티 센터]-[신종 바이러스/스파이웨어] 메뉴에서 그동안 발견된 모바일 악성코드 정보를 볼 수 있고 [ASEC 리포트] 메뉴에서 분기별 보안 분석 정보를 볼 수 있다.