전체메뉴

[애플경제 이보영 기자] 최근 ISO 첨부파일을 통해 범블비(Bumblebee) 악성코드가 국내에 유포하고 있어 안랩이나 EST시큐리티 등 보안업체들은 사용자들의 각별한 주의를 당부하고 있다. 특히 EST시큐리티는 원격관리도구(RAT)나, 보안앱, 각종 계약서 앱 등을 위장한 사이버 공격이 기승을 떨고 있다며 주의사항을 곁들이며 경고하고 있다.

우선 정상 이메일을 위장하여 범블비 악성코드를 유포하는 피싱 메일이 유행이다. 흔히 휴대폰 교체를 이유로 계정을 리셋하거나, 패스워드 초기화를 요청하는 악성메일을 통해 공격을 시도한다. 이같은 악성메일에는 첨부파일이 포함되어 있다.

안랩은 “특히 기존에 이메일을 주고 받았던 관련자의 계정을 사용하여 기존에 주고받았던 정상 이메일에 회신 형식으로 발송했다는 점이 이들의 특징”이라며 “이러한 방식을 통하여 좀 더 효과적으로 수신자를 속여 첨부파일을 실행하도록 유도한다”고 그 교묘한 수법을 소개했다. 이 경우 첨부파일에는 비밀번호가 걸려있으며, 비밀번호는 이메일 본문 내에 포함되어 있다. 첨부파일 내에는 또 ISO파일이 포함되어 있다.

범블비 악성코드는 2022년 3월 등장한 악성코드로서, 지속적으로 그 수법가 성능이 발전하고 있다. EST 시큐리티는 “범블비를 유포하는 피싱 메일의 경우, 이메일을 주고받은 적이 있는 사용자의 계정과 기존 이메일에 답장 형식으로 발송하기 때문에 사용자들이 쉽게 속을 수 있다.”면서 “이에 사용자들은 이메일 내 첨부파일을 실행할 때마다 특별한 주의를 기울여야 하며, 기존에 이메일을 주고받은적이 있는 사용자라고 하더라도 한번 더 확인하는 습관을 가져야 한다”고 당부하고 있다.

보안 솔루션을 가장한 악성 앱이나 RAT 등도 기승을 떨고 있다. EST시큐리티 시큐리티대응센터는 “스마트폰 해킹 수법에는 문자를 활용한 스미싱부터 각종 기관을 사칭한 보이스 피싱 그리고 SNS나 채팅을 통한 몸캠 피싱까지 다양한 방법들이 존재한다. 이로 인한 피해 금액도 심각한 수준이며 수법 또한, 더욱더 정교해지고 있어서 사용자들의 각별한 주의가 요구된다.”면서 이같이 주의를 요망했다.

EST시큐리티는 또 “개인이나 특정 사람들을 표적으로 한 공격 방식이 발견되고 있으며 주로 RAT을 통한 방식이 많이 확인되고 있다”고 지적했다. RAT은 ‘Remote Administration Tool’의 약자로 ‘원격 관리 도구’를 말한다. 대부분 오픈소스 소프트웨어이며, 빠르게 앱을 만들고 수정하여 원하는 기능을 직접 추가할 수 있다는 장점이 있다. 따라서 공격자들은 이미 만들어진 오픈소스를 활용하기도 한다.

이 회사에 따르면 RAT를 악용한 기능과 수법도 조금씩 추가하는 방식으로 날로 발전하고 있다. 이는 사용자의 정보를 탈취하고 기기를 원하는 대로 제어할 수 있다. 카메라, 연락처, 위치, 문자, 전화 등 다양한 기능을 수행할 수 있다. 또한 대상에 따라 원하는 형태로 배포 앱을 위장할 수 있으며, 또 다른 앱과 합쳐서 위장하기도 한다.

이들 악성 앱들은 다양한 권한들을 요구하는 앱으로 위장하여 공격하고 있다. 이들은 주로 은행들과 대출, 증권, 계약서로 위장하고 있는데, “최근엔 새로운 형태의 이미지를 사용하는 앱을 발견하였다.”는 얘기다. 이들 악성 앱은 전화 가로채기, 전화 기록 수정, 페이크 전화, 연락처 수정, 카메라 제어, 앱 삭제, 문자 탈취, 연락처 탈취, 위치정보 탈취, 녹음, C2 명령 수행 등 다양한 수법을 구사한다는게 EST시큐리티의 설명이다.

이들 악성 앱이 실행되는 순간, 리소스에 있는 웹 페이지 소스를 가져와 화면에 표시한다. 리소스에는 로그를 포함한 이미지와, 보이스 피싱에 활용할 수 있는 은행 안내 멘트 음성 파일이 포함되어 있다. 음성파일 이외에 여러 은행 계좌 번호나 해당 은행의 안내 멘트 mp3를 구분하여 저장하고 있다.

EST 시큐리티가 실증한 결과에 따르면 이는 또 전화를 가로챈 후 화면에 표시되는 번호를 바꾸고 가짜 음성파일을 출력해 피해자를 속이기도 한다. 아예 전화 기록을 확인하여 특정 기록을 삭제하거나 추가할 수도 있다. 이때 가짜 전화는 통화 연결음을 재생하여 실제 통화 중인 것처럼 위장한다. 그리고 이미지들을 불러와서 통화 화면을 그대로 구성하기도 한다. 이런 경우 특정 기기마다 화면이 다르므로 기종별로 필터링하여 해당 화면을 출력하는데, 연락처 목록을 삭제하거나 추가해서 넣는 것도 가능하다.

카메라 제어도 거침없이 한다. 예를 들어 명령어 패턴으로 위장하여,카메라 제어 명령이나, 마이크 제어명령을 하는 경우도 확인된다. 전면, 후면 카메라 등을 파악한 후 제어할 수도 있다. 또 설치된 앱 리스트들을 볼 수 있기 때문에 원하는 앱을 삭제할 수도 있다. 다양한 제어 기능에 맞게, GPS를 통한 위치 정보를 탈취하기도 하고, 문자 목록을 확보하여 탈취할 수도 있다.

명령을 내리는 C2 주소는 디코딩한 값을 표시하는 식으로 위장한다. 인코딩한 값을 볼 수도 있고, 다양한 포트 번호도 하드코딩되어 있다. EST 시큐리티는 “이처럼 다양한 RAT들이 존재하며 배포되는 앱의 형태 또한, 무궁무진하다”면서 “보안 솔루션으로 위장할 수도 있고 게임이나 다른 유틸리티로도 충분히 위장할 수 있다”고 했다. 그래서 “악성 앱은 일단 설치되기만 하면 정보를 탈취하고, 기기를 장악하여 원하는 대로 컨트롤할 수 있으므로 사전 예방이 무엇보다 중요하다”고 주의를 당부했다.

EST시큐리티는 나름의 악성 앱 공격 예방과 대응 방법을 소개하고 있다. 이에 따르면 우선 악성 앱을 예방하기 위해선 △출처가 불분명한 앱은 설치하지 않아야 하고, △ 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다. 또 △ SMS나 메일 등으로 보내는 앱은 설치하지 않는게 중요하다.

만약 악성 앱에 감염되었을 경우는 어떻게 해야 하는가. EST시큐리티에 따르면 △악성 앱을 다운로드만 하였을 경우는 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사를 해야 하고 △악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사하거나 악성 앱을 삭제해야 한다. 그리고 백신 앱이 악성 앱을 탐지하지 못했을 경우는 △백신 앱의 ‘신고하기’ 기능을 사용하여 신고하되, △ 수동으로 악성 앱을 삭제할 수도 있다.