[보안 따라잡기]지난 10년간 모바일 악성코드 변화 살펴보니

(자료=금융보안원 제공)

[이데일리 이후섭 기자] 지난 2010년 스마트폰이 본격적으로 보급되기 시작하면서 `손 안의 금융`도 본격화됐다. 사람들은 스마트폰을 이용해 은행, 증권, 보험 등 모든 금융업무를 편리하게 이용하고 있다. 다만 기술의 혁신은 또다른 위협을 불러오면서 금융 모바일 악성코드도 지난 10년간 진화해 오면서 호시탐탐 `내 손 안의 금융비서`를 노리고 있다.

최근 금융보안원은 2010년부터 2020년까지 지난 10년간 발견된 국내외 금융 모바일 악성코드를 체계적이고 전문적으로 분석한 사이버 위협 인텔리전스 보고서 `금융 모바일 악성코드의 현재와 미래`를 발간했다.

국내에서 최초로 발견된 금융 모바일 악성코드는 WinCE/TerDial로, 윈도우 모바일 스마트폰에서 실행되는 악성코드였다. 이 악성코드는 모바일 게임 설치파일에 국제전화 발신 기능이 포함돼 과금 피해를 발생시켰다.

이후 2012년~2014년에 모바일 악성코드가 폭발적으로 증가했고 악성 기능도 스미싱, 인증서·OTP 탈취, 랜섬웨어 등으로 다양해졌다. 2014년부터는 비용만 지불하면 맞춤형 악성코드를 개발해 공격 환경을 제공하는 서비스형 악성코드(MaaS)가 등장했다. 악성코드에 대한 공격 방법 및 기술적인 이해가 없어도 다크웹 등에서 비용만 지불하면 손쉽게 악성코드를 제작·유포할 수 있게 된 것이다. 악성코드 등을 탐지하는 안티바이러스 우회 기능을 적용하는 등 공격 기법도 고도화됐다. 2016년부터는 지능형 지속위협(APT) 공격 그룹에서 모바일 악성코드를 활용하고, 보이스피싱 등 금융사기에도 사용되고 있다.

유포 방식도 진화했다. 초기에는 문자 메시지, 메신저, 피싱 페이지 등이 주로 사용됐는데 최근에는 기존 유포 방식을 사회적 이슈와 결합해 활용하고 있다. 광고 서버, 인증서 탈취, 공급망, 개발·유통사 홈페이지, 인터넷 공유기, TV셋톱박스 등을 해킹한 후 이를 활용하거나 앱 마켓 업데이트 관리 시스템의 신규 취약점을 이용해 유포되기도 한다.

금융 모바일 악성코드는 공격 목적에 따라 크게 △개인정보 탈취 △금융정보 탈취 △인증정보 탈취 △스미싱 소액결제 △보이스피싱 사기 등으로 분류된다. 문자 메시지, 메신저, 이메일에 악성 앱 설치 링크와 파일을 보내 악성 앱 설치를 유도해서 개인정보를 탈취하기도 하고, 공공기관을 사칭하거나 검색엔진에 노출되는 피싱 페이지를 통해 금융정보를 입력하도록 유도하는 방식도 사용한다. 또 2단계 인증 등의 과정에서 스마트폰이 악성 앱에 감염된 상태인 경우 공격자가 인증 정보를 탈취할 수 있게 되는데, 탈취된 금융정보와 인증정보 등을 통해 계좌 출금, 불법결제 등의 금전적 피해를 입을 수 있다.

앞으로는 어떤 모바일 악성코드들이 위협을 가할까. 금융보안원은 공격자가 모바일 개발자를 대상으로 개발 중인 앱에 악성 행위를 수행하는 코드를 추가하는 사회공학적 공격이 증가할 것으로 예상했다. 모바일 기기에서 사용자가 자주 입력하는 계정정보, 개인정보, 카드정보를 사전에 저장해 쉽게 불러오는 `자동완성(Autofill) 기능`을 악용해 해당 정보를 탈취하는 피싱 페이지도 늘어날 것으로 보인다.

보안 업계에서는 출처가 불분명한 이메일 첨부파일을 실행하거나 링크된 이미지를 클릭하지 않도록 주의해야 한다고 조언한다. 또 공식 스토어 이외의 앱 설치를 주의하고, 신뢰할 수 없는 사이트 방문을 자제할 필요가 있다.

(자료=금융보안원 제공)