본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

[이스트시큐리티 알약M개발팀 곽승권 책임]


마이크로소프트가 발표한 ‘2016년 네트워크 보안트렌드’ 보고서에 따르면, 공격자가 운영체제에 침입하기 위해 공격하는 주요 매체 경로를 ‘자바 취약점’에서 ‘어도비 플래시 플레이어 취약점’으로 옮겨간 것으로 분석됐다. 최근 발생하는 악성코드 공격의 대부분은 시스템과 어플리케이션의 취약점을 통해 이루어지고 있다.


You need to pay for us, otherwise we will sell portion of your personal information on black market every 30 minutes. WE GIVE 100% GUARANTEE THAT ALL FILES WILL RESTORE AFTER WE RECEIVE PAYMENT. WE WILL UNLOCK THE MOBILE DEVICE AND DELETE ALL YOUR DATA FROM OUR SERVER! TURNING OFF YOUR PHONE IS MEANINGLESS, ALL YOUR DATA IS ALREADY STORED ON OUR SERVERS! WE STILL CAN SELLING IT FOR SPAM, FAKE, BANK CRIME etc… We collect and download all of your personal data. All information about your social networks, Bank accounts, Credit Cards. We collect all data about your friends and family.

※출처 : 모바일 랜섬웨어의 위협 메시지 http://blog.checkpoint.com/2017/01/24/charger-malware


모바일 사용자 A씨는 어느 날, 평소처럼 스마트폰을 사용하려고 했으나 이상한 점을 발견했다. 스마트폰을 켜도 위와 같은 메시지만 보여지고 잠금 설정에서 아무런 동작도 할 수 없게 된 것이다. A씨는 모바일 랜섬웨어에 감염되어 스마트폰을 사용할 수 없을 뿐만 아니라, 개인정보까지 유출되는 피해를 입었다. 그는 스마트폰을 정상적으로 사용하기 위해 공격자에게 비용을 지불할까 고민했지만, 전문가들은 비용을 지불해도 피해를 복구할 수 없을 수 있다며 안타까움을 표했다.


이제 PC 뿐만 아니라, 모바일도 랜섬웨어의 위협에 노출되기 시작했다. 모바일 랜섬웨어는 2015년부터 조금씩 증가하기 시작하여, 2016년 2월에는 5배가 넘게 급증했다. 현재까지 한국에서 명확하게 보고된 사례는 없으나 최근 유럽이나 영어권 국가에서는 급증하고 있는 것으로 밝혀졌다.


       ▲ [그래프-1] 2014년 4월부터 2016년 3월까지 모바일 랜섬웨어를 한 번 이상 경험한 사용자 수 그래프
※출처 : 카스퍼스키 랩 시큐어리스트




랜섬웨어란 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. (※출처: 위키피디아) 공격자들은 악성 소프트웨어를 무단으로 설치하거나 가짜 앱의 형태로 속여 사용자가 스스로 이를 설치하게끔 유도한다. 그 후, 사진이나 연락처, 금융정보와 같은 중요한 파일들을 암호화하여 인질로 잡고 금전적인 요구를 한다. 모바일 랜섬웨어의 경우, 공격자들은 잠금화면을 장악하고 사용자의 접근을 원천적으로 차단한다.


‘모바일 랜섬웨어, 어떻게 확산되는가?
모바일 랜섬웨어는 주로 공식적인 앱마켓이 아닌 비공식적인 경로를 통해 확산된다. 비공식적인 앱 마켓이나 모바일 기반 인터넷 환경에서 승인되지 않은 APK 파일을 설치했을 때, 사용자는 모바일 랜섬웨어를 포함한 각종 악성앱에 쉽게 감염될 수 있다. 무심코 다운로드한 악성 APK파일은 이후 시스템앱 또는 인기있는 앱의 업데이트처럼 위장하여 사용자 스마트폰에 설치를 유도한다.이후 개인정보 탈취 등 다양한 악성 행위를 할 수 있으니 각별히 주의해야 한다.


악성 APK는 주로 블랙마켓을 통해 확산된다. 안드로이드에는 구글 스토어나 통신사가 제공하는 앱 스토어가 아닌, 블랙마켓이 존재한다. 블랙마켓 앱들은 보안성이 검증되지 않은 앱이 대부분이며, 공격자들의 악성앱 유포 경로로 자주 악용된다. 악성앱들은 정식 마켓에 등록된 정상앱의 아이콘과 이름을 사용하여 사용자를 속인다.


모바일 환경 특성상 악성 APK 파일은 링크(URL)를 통해 널리 퍼지기 쉽다. 이제 일반 사용자에게도 익숙한 스미싱(smishing) 공격이 바로 그것이다. 모바일 공격자는 문자메시지(SMS)에 링크(URL)를 삽입해 문자 수신자가 특정 페이지에 접속하여 악성앱을 내려받아 설치하도록(Fishing) 유도한다. 스미싱에는 주로 택배 도착 문자나 청첩장 문자 등 일반 사용자들의 생활과 밀접하게 연관된 문자가 악용되기 때문에 더욱 각별한 주의가 필요하다. 이스트시큐리티에 따르면, 최근까지도 스미싱 공격이 스마트폰 보안을 위협하고 있는 것으로 나타났다.
※참고 : 알약 블로그 http://blog.alyac.co.kr/1005


스미싱과 유사한 방법으로, 메신저 또는 메일에 첨부된 링크를 통해서 악성앱을 감염시키기도 한다. 따라서 출처가 불분명한 발신처로부터 온 메일이나 메시지에 포함된 링크는 열어보기 전에 한 번 더 주의해서 확인하는 것이 좋다.




모바일 랜섬웨어에 감염되었을 때, 현명하게 대처하는 방법은...
랜섬웨어가 잠금화면을 장악했다면, 어떻게 해야 할까? 공격자가 원하는 금전적인 요구를 들어준다고 해도, 잠금화면이 풀리고 암호화된 데이터가 복호화될 것이라는 확실한 보장은 없다. 그러니 섣불리 돈을 송금할 생각은 일단 멈추자. 만약 스마트폰의 데이터가 백업되어 있다면 공장 초기화를 진행하는 것도 좋은 방법이다. 그러나 데이터를 백업해두지 않았다면, 일단 악성앱을 삭제해야 할 것이다. 이 때, OS의 ‘안전모드’를 이용해서 악성 앱을 삭제할 수 있다.


‘안전모드’는 시스템이 일시적으로 불안하거나, 시스템에 영향을 미치는 앱이 있으면 사용하는 모드이다. 해당 모드에서는 써드파티 앱(기본으로 설치된 앱이 아닌 사용자가 직접 설치한 앱)이 실행되지 않는다. 안전 모드로 부팅하면 랜섬웨어 앱의 기기 관리자 권한을 해제하고 앱을 삭제할 수 있다. 그러나 정말 안타깝게도, 랜섬웨어가 이미 데이터를 암호화했다면 해당 앱을 삭제해도 암호화된 데이터가 복호화되지는 않는다.


일단 암호화되면 ‘벼랑 끝’... 랜섬웨어는 ‘예방’이 중요하다.
랜섬웨어 감염 위협을 사전에 예방하고, 좀 더 안전하게 모바일을 사용하는 방법은 없을까? 사실 방법은 그렇게 어렵지 않다. KISA 보호나라에서 제공하는 PC랜섬웨어 피해 예방 5대 수칙을 모바일 환경에 그대로 적용하면 된다.


1. 사용하는 모든 소프트웨어를 최신 버전으로 유지하기
공격자는 보안에 취약한 낮은 버전의 OS나 앱을 노리고 악성앱 공격을 시도할 수 있다. 이에 항상 대응하기 위해서는 안드로이드 OS와 사용하는 앱을 최신버전으로 유지해야 한다.


2. 최신 버전의 백신 소프트웨어를 사용하고 주기적으로 검사하기
랜섬웨어를 비롯한 각종 악성앱으로부터 모바일을 보호하기 위해서 ‘모바일 백신 설치’는 기본이다.백신을 설치한 후에는 신종 악성앱에 대응하기 위해 주기적인 DB 업데이트가 선행되어야 하며, 정기적으로 검사를 진행하는 것이 좋다. 매번 검사하기가 번거롭다면, 모바일 백신 알약 안드로이드에서 제공하는 클라우드 스캔 기능을 이용해보는 건 어떨까. ‘클라우드 스캔 기능’은 실시간으로 악성앱을 감시하고 차단하기 때문에 모바일 기기 보안을 더욱 강화할 수 있다.


3. 출처가 불명확한 문자/메신저/이메일 내 링크(URL) 주의하기
모바일 기기 사용량이 증가하면서 스미싱 문자, 메신저, 스팸 메일 등에 악성파일을 첨부하거나 랜섬웨어 다운로드로 연결되는 악성 링크를 삽입한 공격이 확산되고 있다. 따라서 출처가 불분명한 문자나 메일, 메시지는 바로 열지 않고 주의하는 습관이 필요하다. 또는 모바일 백신 알약 안드로이드, 스팸 차단 앱 후후 등의 도움을 받아, 스미싱으로 의심되는 문자 알림 서비스를 제공받는 방법도 있다.


4. P2P 사이트, 블랙마켓에서의 앱 다운로드 주의하기
P2P나 블랙마켓은 공격자들이 즐겨찾는 악성코드 유포 경로이다. 안전한 모바일 환경을 위해 앱을 다운로드 받을 때에는 되도록 공식 앱 마켓을 이용하기를 당부 드린다. 혹시 불가피하게 공식 앱 마켓이 아닌 경로에서 앱을 내려 받아야 할 때에는 모바일 백신의 실시간 감시 기능을 이용하도록 하자.


5. 중요 자료는 정기적으로 백업하기
개인적으로 중요한 문서나 사진 등은 반드시 주기적으로 백업하는 것이 좋다. 외장하드나 USB 등 별도의 저장매체를 이용해 중요한 파일을 저장하고, 운영체제에서 제공하는 사용자 파일백업 및 복원기능을 이용해 이중으로 백업하는 것을 권장한다.
※참고 : 랜섬웨어 예방수칙, 보호나라 http://www.boho.or.kr/ransomware/prevention.do


랜섬웨어의 피해를 최소화할 수 있는 방법은 위와 같이 ‘모바일 보안 수칙’을 잘 준수하는 것이다. 그러나 증가하는 피해 사례에도 불구하고 랜섬웨어에 대한 사용자의 인지도는 아직까지도 매우 낮다. 사용자 스스로 소중한 데이터를 지키기 위해 백업을 습관화하고, 관련 보안 수칙을 준수하는 자세가 필요하다. 또한 정부 기관과 유관 기업도 사용자 보안 의식을 개선하기 위해 관련 제도를 정비하고 효과적인 캠페인을 펼치는 등 노력해야 할 것이다.


갈수록 스마트해지는 모바일 기기처럼, 사용자 또한 스마트한 보안 의식을 갖추는 노력이 요구되는 시점이다. 고도화되는 모바일 랜섬웨어 위협에 똑 부러지게 대처할 수 있도록, 예방법을 다시금 확인하여 준수할 것을 간곡히 당부 드린다.