열린마당
2013년 04월 14일 (수)
ⓒ 블로터닷넷, 최호섭 기자 allove@bloter.net
‘한 번만 누르면 된다.’
요즘 악성코드는 매우 친절하다. e메일, 문자메시지를 통해 온 링크를 한 번만 클릭하면 PC, 스마트폰에 악성코드가 깔리면서 해커에게 문을 활짝 열도록 만들어준다.
악성코드를 심어 상대방 스마트폰의 모든 정보와 음성통화, 카메라 정보까지 훔쳐낼 수 있는 도청 프로그램을 유통한 일당이 붙잡힌 적도 있다. 기본적인 연락처 정보를 빼내는 악성코드는 셀 수 없이 많다. 한국인터넷진흥원은 올해 들어 모바일 악성 앱에 대한 신고가 급격하게 늘어나고 있다고 보고하기도 했다. 대부분의 이용자들이 인지하지 못하고 있을 뿐이다.
▲한국인터넷진흥원의 악성 앱 신고가 부쩍 늘었다.
얼마나 잘 누르게 하느냐가 관건인 만큼 점점 더 자극적인 메시지와 알 수 없는 링크들이 유행한다. 동창회 이름으로, 이벤트 당첨으로, 혹은 전쟁처럼 예민한 소재도 악용된다. 메시지 안에 담긴 사이트 주소는 단축 URL로, 어느 사이트로 연결되는지 눌러보기 전까지는 확인할 방법이 없다.
이는 비단 한국만의 문제는 아니다. 일본은 ‘원클릭 사기 앱’이 사회적 문제가 되고 있다. 한 번만 누르면 휴대폰 번호, 개인 정보가 싹 유출되고 잠시후 소액결제가 이뤄졌다는 메시지까지 도착한다. 원치 않는 모바일 결제가 이뤄지는 것이다. 이런 앱들은 대체로 확인되지 않은 웹사이트에서 직접 내려받아 설치하는 경우가 많다. 요즘 국내에서도 비슷한 스미싱 범죄가 반복되고 있다. 보안업체들은 제어판에서 ‘확인되지 않은 앱’의 설치를 막는 것으로 1차적인 감염을 막아야 한다고 하지만 사실상 안드로이드라는 특성상 구글의 인증을 받은 앱만 쓰기는 어렵다.
일본은 한발 더 나아가고 있다. 구글플레이에서 내려받은 응용프로그램 안에 악성코드를 숨기려는 시도가 이어지고 있다. 앱을 내려받아서 설치하고 실행하는 동안에 안드로이드폰의 구글 계정과 전화번호를 비롯해 스마트폰에 담긴 여러가지 개인 정보를 앱 개발자에게 전송한다.
맥아피는 6일동안 120여건의 앱이 일본 구글플레이 스토어에 등록됐다고 밝혔다. 이 개발사는 사람들이 자극적으로 눌러보도록 만드는 성인용 콘텐츠들을 등록했다. 주로 퍼즐 게임인 것으로 알려졌는데, 조각을 완성하면 포르노 동영상을 보여주는 구조다. 소액 결제 등의 직접적인 피해는 없었지만 그 사이에 개인정보가 웹브라우저를 통해 빠져나갔을 가능성을 지울 수는 없다.
구글은 이 앱들을 즉각 삭제했지만 이 악성 앱 개발자는 3~5개의 개발 계정을 통해 매일 밤마다 5~6개씩 앱을 며칠동안 지속적으로 배포했다. 맥아피는 “한 번 삭제된 앱과 똑같은 앱은 등록되지 않기 때문에 조금씩 내용을 바꾼 변종 앱을 배포하는 것으로 이용자들을 낚았다”는 설명이다.
▲성인앱을 미끼로 악성코드를 심어 배포하는 일은 흔하지만 최근 구글플레이까지 위협하고 있다.
가장 걱정되는 부분은 이런 해킹 앱들이 구글플레이까지 노리고 있다는 점이다. 구글플레이는 비교적 안심하고 쓸 수 있는 장터이지만, 등록 절차 자체에 제한을 두지 않기 때문에 잠깐 동안이라도 악성 앱이 등록될 우려가 있다. 구글은 “신고되는 앱 뿐 아니라 구글플레이에 등록되는 앱들을 수시로 검사해 해를 끼치는 앱인지, 음란물이 들어있는지 체크한다”라고 말한다. 또한 구글은 ‘바운서’라는 서비스를 통해 구글플레이에 등록되는 앱을 빠르고 정확하게 감시하도록 했다. 이 때문에 일본의 원클릭 사기 앱도 몇 시간 지나지 않아 삭제된 것으로 보인다. 하지만 사전 검수 없이 곧바로 등록되는 구글플레이의 구조상 조치가 이뤄지기 전까지 일부라도 다운로드가 이뤄질 수 있는 것은 사실이다.
T스토어를 비롯한 사설 앱장터들은 안전할까. 누가 관리하느냐에 따라 다르지만 적어도 국내 통신사들이 운영하는 스토어는 상대적으로 안전한 편이다. T스토어를 운영하는 SK플래닛 쪽은 “위해성, 음란물, 앱 자체의 완성도 등을 두루 따져 앱을 심사한다”라고 밝혔다. 특히 악성코드에 대해서는 모바일 시큐리티 솔루션을 이용해 바이러스, 악성코드를 검출하고, 지나친 개인정보를 수집하는지 따진다. 또한 어떤 목적으로 어떤 정보를 요구하는지 정확히 고지하도록 해 불량 앱이 등록되지 않도록 관리한다고 설명했다. 무료를 앞세운 사설 앱 장터는 절대 안심할 수 없다. 이미 잘 알려진 앱에도 악성코드를 심어 진짜 앱과 똑같이 작동하지만 원치 않는 작동을 하는 변종 앱을 내려받을 가능성도 높다.
구글과 맥아피는 보안을 스스로 챙길 것을 당부하고 있다. 맥아피는 블로그를 통해 “‘알 수 없는 소스’의 앱 설치를 허용하지 않는 것은 기본이고 앱이 어떤 권한을 요구하는지에 대해서도 따져봐야 한다”라고 말했다. 안드로이드는 모든 앱을 설치할 때마다 요구하는 권한이 정해져 있다. 특히 앱이 전화번호부, 캘린더, 통화 등을 비롯해 너무 많은 권한을 요구할 때는 설치를 한 번쯤 의심해볼 필요가 있다. 다양한 아이디어들이 자유롭게 경쟁하고 수익을 만들어내는 오픈소스의 강점만큼 그에 따르는 책임과 조심성이 요구되고 있다.
※ 본 내용은 (주)블로터 앤 미디어(http://www.bloter.net)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒ 블로터 앤 미디어. 무단전재 및 재배포 금지
[원문출처 : http://www.bloter.net/archives/149628]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 299657 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 289588 | 2020-10-27 |
| 1197 | 중소 SW업체, 빅데이터 시장 진출 `맞손` | 4356 | 2013-04-16 |
| 1196 | 국방부, DBMS 국산 `큐브리드`로 전면 교체 | 4990 | 2013-04-15 |
| 1195 | 무료 아마존 웹 서비스, 100% 알뜰하게 사용하는 방법 | 5428 | 2013-04-15 |
| 1194 | ‘액티브X’, 그만 사라져 주면 안 되겠니? | 5082 | 2013-04-15 |
| 1193 | 파이어폭스, ‘구글독스’ 같은 협업 도구 준비중 | 4385 | 2013-04-15 |
| 1192 | `DB서비스` 정부-민간 역할분담 수익모델 창출해야 | 4822 | 2013-04-15 |
| 1191 | [주간 클라우드 동향] 글로벌 IT업계, SDN으로 뭉쳤다 | 5037 | 2013-04-15 |
| 1190 | 스마트폰 악성코드, 구글플레이도 위협 | 4447 | 2013-04-15 |
| 1189 | 오픈스택 '그리즐리', 클라우드 통커졌네 | 4166 | 2013-04-15 |
| 1188 | 中 모바일 컨퍼런스 ‘코코아차이나 2013’ 개최 | 4904 | 2013-04-15 |
0개 댓글