공유하기
택배 조회 QR로 위장…‘개인정보 금고’ 스마트폰 노리는 北 김수키
- 뉴시스(신문)
글자크기 설정
엔키화이트햇, 배송 조회 사칭 QR코드로 악성 앱 설치 유도 정황 포착
가짜 보안 앱 내려받게 한 뒤 스마트폰 원격 제어해 주의 필요
“출처 불분명 QR코드 절대 스캔 말아야”
북한 해커 조직 ‘김수키’가 택배 배송 조회 서비스로 속여 악성 앱 설치를 유도하는 정황이 포착됐다.
QR코드를 스캔하면 배송 추적용으로 위장한 악성 앱을 내려받도록 하는 방식이다. 연말 쇼핑 대목과 함께 크리스마스 특수, 신년 선물 등으로 택배 물량이 급증하는 만큼 배송 조회로 속인 문자·이메일 속 QR코드에 각별한 주의가 요구된다.
19일 엔키화이트햇에 따르면 회사 위협연구팀은 지난 9월 한 피싱 사이트에 게시된 QR코드를 통해 모바일 환경에서 악성 앱 설치·실행을 유도하는 공격을 확인했다.
◆택배 조회 사칭해 악성 앱 설치 유도…문자·통화기록, 카메라까지 해커 손에
PC 웹 환경에서 사이트에 접속하면 택배 배송사 로고 아래 “보안상의 이유로 PC에서는 조회할 수 없습니다. 스마트폰으로 접속해 주세요”라는 문구와 함께 QR코드가 표시된다.
QR코드를 통해 접속하면 가짜 보안 검사 화면이 나타난다. ‘보안 앱 설치하기’ 버튼을 누를 경우 ‘보안배송확인’이라는 이름의 APK 파일이 다운로드 된다. 이 과정에서 정상 보안 앱처럼 보이도록 화면을 구성해 사용자의 의심을 최소화했다.
이 서비스는 파일 접근, 문자 수·발신, 통화 기록, 위치 정보 수집은 물론 키로깅, 오디오 녹음, 카메라 제어 등 최대 57개 명령을 수행할 수 있는 것으로 분석됐다. 스마트폰이 사실상 공격자의 원격 통제에 놓이는 셈이다.
엔키화이트햇은 이번 공격을 김수키의 소행으로 판단했다. 악성 앱과 통신하는 C&C 서버 인프라가 과거 김수키의 네이버·카카오 로그인 피싱 캠페인에 사용된 서버와 다수 공유됐고 서버 루트 디렉터리에서 김수키 공격의 특징으로 알려진 ‘Million OK!!!’ 문자열도 확인됐기 때문이다.
또 악성 앱 유포 사이트와 코드 내부에서 한글 주석과 에러 문구가 다수 발견돼 한국어 사용 공격자가 지속적으로 변종을 개발·운용해 온 정황이 포착됐다고 설명했다.
연구팀은 출처가 불분명한 문자·이메일의 QR코드 스캔을 자제해야 한다고 말했다. 모르는 사람이 보낸 링크를 되도록 클릭하지 말고 지인에게서 온 링크라도 평소와 다른 내용이거나 의심스럽다면 클릭하기 전에 먼저 연락해 확인하는 과정을 거쳐야 한다고 전했다.
또 앱 설치 시 기능과 무관한, 과도한 권한 요청이 있는지 확인하는 것도 중요하다고 말했다. 안드로이드 앱이 시스템 기능에 접근하기 위해서는 사용자가 해당하는 런타임 권한을 허용해야 한다. 일반적으로 악성 앱은 실행과 동시에 파일 액세스, 전화, 문자 등 다양한 권한을 요구한다.
연구팀이 이번에 분석한 악성 앱 ‘보안배송알림’의 경우 파일 액세스, 전화 권한은 앱 목적에 크게 벗어난다. 정상 앱은 일반적으로 사용자가 특정 권한을 거부해도 해당 권한을 필요로 하는 기능을 실행할 때 권한을 다시 요청하도록 설계돼 일시적인 권한 거부가 앱 기능에 문제를 일으키지 않는다.
연구팀은 “사용자는 앱 이용 시 최소 권한 원칙을 적용해 해당 권한들이 앱 기능에 필수적인지를 보수적으로 판단하는 습관을 가져야 한다”고 강조했다.
엔키화이트햇은 “오늘날 스마트폰은 재산, 사생활 등 민감한 개인정보를 가득 담은 움직이는 금고가 됐다”며 “개인의 삶과 가장 맞닿아 있는 모바일, 웨어러블 환경을 침해해 귀중한 개인정보를 탈취하려는 공격 또한 지속적으로 이뤄지고 있다”고 말했다.
이어 “이미 스마트폰이 가장 가까운 친구이자 최고의 비서가 된 현대 사회의 개인들은 유사한 공격과 범행 수법을 미리 알고 예방하려는 노력이 필요하다”고 밝혔다.
[서울=뉴시스]
-
- 좋아요
- 0개
-
- 슬퍼요
- 0개
-
- 화나요
- 0개
댓글 0